무슨 일이 있었나
CISA, NSA, 호주의 ASD ACSC, 캐나다 사이버보안센터, 뉴질랜드 NCSC, 영국 NCSC는 2026년 5월 1일 'Agentic AI 서비스의 신중한 채택'이라는 제목의 공동 지침을 발표했으며, 5개 분류(권한, 설계 및 구성, 행동, 구조, 책임)에 걸쳐 23가지의 서로 다른 위험을 설명했다. 이 지침은 agentic AI 시스템이 연결된 도구, 메모리 시스템, 외부 데이터 소스를 활용하여 자율적으로 추론하고 의사결정을 내리며 조치를 취한다는 점에서 기존 GenAI와 다르다는 점을 강조한다.
왜 중요한가
이는 agentic AI 시스템을 구체적으로 다루는 첫 번째 조율된 다중정부 보안 지침으로, 자율 에이전트 위험을 신흥 벤더 문제에서 중요 국가 기반시설 분류로 상향 조정한다. 이 지침은 과도한 권한을 가진 AI 에이전트가 결제를 승인하고 계약을 수정하며 기록을 조작하고 로그를 삭제하며 감사 추적에서 정상으로 나타나면서 민감한 정보를 유출할 수 있음을 경고한다. AI를 운영 기술, 보안 운영 또는 엔터프라이즈 자동화에 통합하는 조직들은 새로운 사이버 및 거버넌스 과제에 직면한다.
필요한 조치
조직들은 단계적 AI 배포, 제약된 권한, 고위험 작업에 대한 인간 개입 승인, 지속적인 모니터링 및 감사, 강력한 로깅, 분할된 환경, 견고한 위협 모델링, 안전 설계 기반 구현을 실행해야 한다. 이 지침은 AI 보안을 독립적인 규율보다는 기존 사이버보안 프레임워크에 내장된 것으로 취급할 것을 권장한다.