무슨 일이 있었나
Infosecurity Europe 기간 중 OWASP GenAI Security Summit(2026년 6월 4일)에서 OWASP GenAI Security Project는 2026년 6월 3일 논문 'State of Agentic AI Security and Governance v2.01'에서 도출한 에이전틱 AI를 위한 엔터프라이즈 도입 성숙도 모델을 소개했다. 이 모델은 6가지 에이전트 배포 수준(AT0 섀도우 AI부터 AT5 맞춤형 자체 구축 에이전트까지)을 4가지 거버넌스 성숙도 수준(임시 거버넌스부터 지속적인 거버넌스-as-코드까지)에 대비시켜 거버넌스가 배포와 일치하지 않는 지점을 표시하는 빨강/노랑/초록 매트릭스를 생성한다. OWASP는 또한 에이전틱 시스템을 위한 지속적인 보안 연구를 조율하기 위한 Agentic Research Council의 결성을 발표했다.
왜 중요한가
에이전트를 배포하는 대부분의 조직은 '빨강 셀'에서 운영 중이다 — AT3–AT5 자율 에이전트를 배포하면서도 AI 코파일럿을 위해 설계된 AT1 수준의 거버넌스만 운영하고 있다. 성숙도 모델은 컨설팅 팀과 CISO가 특정 제어 투자나 자율성 감소를 정당화하기 위해 즉시 적용할 수 있는 위협 모델링, 조달 요구사항 및 감사 기준을 위한 공유 언어를 제공한다.
필요한 조치
조직에 배포된 에이전트를 OWASP 배포-거버넌스 매트릭스에 표시하라. 빨강 셀에 있는 모든 에이전트는 명시된 소유자 책임, AI-SBOM, 실시간 로깅 및 자율성 제한을 확보하여 수준 2에 도달하거나, 기존 제어 조치가 충분할 때까지 도구 범위와 권한을 감소시켜야 한다.