무슨 일이 있었나
영국 국가사이버보안센터(NCSC)는 2026년 5월 18일 'agentic AI 도입 전 신중하게 생각하기'라는 제목의 블로그를 발표했으며, Five Eyes 파트너(호주, 캐나다, 뉴질랜드, 미국)와 공동으로 작성한 지침을 요약했다. 'agentic AI 서비스의 신중한 도입'이라는 전체 지침 문서는 agentic AI 시스템을 배포하는 조직을 위한 권장사항을 제시한다—이러한 시스템은 목표 달성을 위해 계획을 수립하고, 의사결정을 내리고, 데이터 소스에 접근하고, 도구를 사용하며, 자율적인 조치를 취할 수 있다.
왜 중요한가
이는 agentic AI 배포 위험을 구체적으로 다루는 첫 번째 조정된 Five Eyes 지침이다. 이 지침은 agentic AI를 연구 주제에서 공식적인 사이버보안 거버넌스 관심사로 끌어올리며, 인간의 책임성, 최소 권한 접근 제어, 런타임 모니터링, 그리고 개입 능력을 요구한다. NCSC는 명시적으로 다음과 같이 언급한다: '에이전트의 조치를 이해하고, 모니터링하거나, 제한할 수 없다면, 배포할 준비가 되어 있지 않은 것이다.' AI 보안 실무자들에게 있어 이는 agentic 시스템이 특권 자동화와 동일한 엄격함으로 관리되어야 하며, 파일럿 배포는 제어 체계가 입증될 때까지 저위험 작업으로 제한되어야 한다는 기준 기대를 확립한다.
필요한 조치
NCSC의 제어 프레임워크에 대해 계획되었거나 기존의 agentic AI 배포를 검토하라: 에이전트 접근에 최소 권한을 적용하고, 배포 전에 인간의 책임성을 정의하고, 런타임 모니터링 및 설명 가능성 메커니즘을 구현하고, 개입 절차를 수립하라. Five Eyes 관할권에 있거나 이들에게 서비스를 공급하는 조직의 경우, 이 지침을 규제 신호로 취급하라—규제 당국 및 조달 기관이 이러한 권장사항을 기준 기대치로 채택할 수 있다.