Skip content

OWASP AISVS 1.0: CISO가 주목해야 할 새로운 AI 보안 표준

사이버 랩

OWASP의 인공지능 보안 검증 표준(Artificial Intelligence Security Verification Standard, AISVS) 1.0 발표는 인공지능을 통제된 파일럿 단계에서 실제 운영 시스템, 고객 플랫폼, 개발자 워크플로우 및 에이전트 기반 자동화 환경으로 확장하려는 조직에 중요한 진전으로 평가됩니다.

최고정보보안책임자(CISO)에게 AISVS 1.0은 이미 복잡해진 거버넌스 환경 속에서 시급히 필요했던 기준을 제공합니다. 즉, AI 시스템이 안전하게 구축되고 운영되고 있는지를 검증할 수 있는 실용적이고 테스트 가능하며, 특정 벤더에 종속되지 않는 방법을 제시합니다.

OWASP는 AISVS를 AI 기반 시스템을 위한 테스트 가능한 보안 요구사항의 커뮤니티 주도형 카탈로그로 설명합니다. 이 표준은 개발자, 아키텍트, 보안 엔지니어 및 감사인이 데이터 수집과 모델 학습부터 배포, 모니터링, 폐기에 이르기까지 전체 라이프사이클 전반에서 AI 애플리케이션을 설계, 구축, 테스트 및 검증할 수 있도록 지원하기 위해 마련되었습니다. AISVS는 OWASP의 애플리케이션 보안 검증 표준(Application Security Verification Standard, ASVS)을 모델로 하며, 검증 가능하고 테스트 가능하며 실행 가능한 요구사항에 중점을 둔다는 점에서도 동일한 방향성을 갖고 있습니다.

AI 거버넌스에서 AI 보증으로

AI 거버넌스는 이제 이사회 차원의 핵심 의제로 자리 잡았습니다. ISO/IEC 42001과 같은 표준은 조직이 책임 있는 AI를 위한 경영시스템을 수립하는 데 도움을 주고 있으며, LRQA는 규제 감독과 이해관계자의 기대가 높아지는 가운데 ISO/IEC 42001이 글로벌 벤치마크로 부상하고 있다고 설명한 바 있습니다.

하지만 거버넌스 문서만으로는 AI 통제가 실제로 효과적으로 작동하고 있음을 입증할 수 없습니다. 바로 이 지점에서 AISVS 1.0은 전략적으로 중요한 의미를 갖습니다.

AISVS는 의도적으로 거버넌스 프레임워크나 리스크 관리 프레임워크, 또는 벤더 추천 목록으로 설계된 것이 아닙니다. 대신 리스크 및 거버넌스 프레임워크가 참조할 수 있는 기술적 통제 계층을 제공합니다. OWASP는 AISVS를 NIST AI 리스크 관리 프레임워크(AI RMF), ISO/IEC 42001, OWASP 대규모 언어 모델 애플리케이션 Top 10, OWASP 에이전트형 애플리케이션 Top 10과 상호 보완적인 표준으로 제시하고 있습니다.

이러한 구분은 중요합니다. 이사회가 AI 정책을 승인하고, 리스크 위원회가 AI 리스크 등록부를 검토하며, 조달팀이 공급업체의 증빙 자료를 요청할 수는 있습니다. 그러나 CISO에게는 여전히 모델의 동작, 데이터 흐름, 에이전트 권한, 프롬프트 입력, 벡터 데이터베이스, 모델 산출물 및 모니터링 통제가 기술적으로 검증되었음을 보여주는 근거가 필요합니다.

AISVS는 조직이 이러한 의도를 실제 증거로 전환할 수 있는 방법을 제공합니다.

왜 지금 중요한가?

AI 도입 속도는 기존의 보증 및 검증 주기보다 빠르게 가속화되고 있습니다. 많은 조직이 이미 소프트웨어 개발, 고객 서비스, 분석, 부정행위 탐지, 운영 의사결정 및 자율 워크플로우에 AI를 통합하고 있습니다. 동시에 위협 행위자들도 자동화를 점점 더 적극적으로 활용하고 있으며, LRQA는 소프트웨어와 AI 기반 시스템이 지속적으로 변화함에 따라 연 1회 또는 비정기적으로 수행되는 검증 모델이 압박을 받고 있다고 경고한 바 있습니다.

이로 인해 보증의 공백이 발생합니다. 조직은 AI 정책, 모델 인벤토리 및 리스크 평가를 갖추고 있을 수 있지만, 통제가 실제 적대적 조건에서도 효과적으로 작동한다는 반복 가능한 증거는 여전히 부족할 수 있습니다.

AISVS 1.0은 보안팀에 구조화된 검증 기준선을 제공함으로써 이러한 공백을 해소하는 데 도움을 줍니다. 이 표준은 학습 데이터 무결성, 입력 검증, 모델 라이프사이클 관리, 인프라 보안, 접근 통제, 모델 공급망 보안, 모델 동작, 메모리 및 벡터 데이터베이스 보안, 오케스트레이션 및 에이전트형 보안, 모델 컨텍스트 프로토콜(MCP) 보안, 적대적 견고성, 모니터링·로깅 및 이상 징후 탐지 등 12개 요구사항 장으로 구성되어 있습니다. OWASP의 저장소에서도 관련 연구 위키가 60개 페이지에 걸쳐 191개 요구사항을 다루고 있다고 설명하고 있습니다.

CISO에게 시사하는 바는 분명합니다. AI 보안은 이제 측정 가능한 영역으로 이동하고 있습니다. 선제적으로 대응하는 조직은 AISVS를 능동적인 엔지니어링 및 보증 프로그램으로 전환할 수 있습니다. 반면 대응을 미루는 조직은 감사인, 규제기관, 고객 또는 이사회로부터 압박을 받은 후에야 통제를 사후적으로 보완해야 하는 상황에 놓일 수 있습니다.

새로운 통제 영역: 에이전트, 도구 및 MCP

AISVS 1.0의 가장 중요한 가치는 단순한 챗봇 인터페이스를 넘어서는 현대적 AI 아키텍처를 다룬다는 점에 있습니다.

에이전트형 AI 시스템은 도구를 호출하고, 업무를 위임하며, 의사결정을 내리고, 워크플로우를 실행하고, 기업 시스템과 상호작용할 수 있습니다. AISVS는 이러한 리스크를 직접적으로 다룹니다. 오케스트레이션 및 에이전트형 보안 장에서는 실행 예산, 루프 제어, 서킷 브레이커, 영향도가 높은 작업에 대한 사람의 승인, 도구 격리, 에이전트 신원, 런타임 권한 부여 및 킬 스위치 메커니즘에 대한 요구사항을 포함하고 있습니다.

또한 이 표준은 모델 컨텍스트 프로토콜(Model Context Protocol, MCP) 보안도 다룹니다. 여기에는 신뢰할 수 있는 MCP 구성요소, 허용 목록에 등록된 MCP 서버, 요청별 액세스 토큰 검증, OAuth 2.1 클레임 검증, 도구 수준의 권한 부여, 안전한 전송, 스키마 검증, 그리고 MCP 도구 응답이 모델 컨텍스트에 주입되기 전에 간접 프롬프트 인젝션 여부를 선별하는 절차가 포함됩니다.

이것이 CISO가 가장 주의 깊게 살펴봐야 할 변화입니다. 에이전트형 시스템은 모델의 출력과 실제 운영 영향 사이의 간극을 크게 줄입니다. 제대로 관리되지 않는 모델은 잘못된 답변을 생성할 수 있습니다. 그러나 제대로 관리되지 않는 에이전트는 데이터를 변경하거나, 내부 도구를 호출하거나, 거래를 실행하거나, 민감한 정보를 노출할 수 있습니다.

AISVS는 보안 리더가 더 나은 질문을 던질 수 있도록 프레임워크를 제공합니다. 어떤 AI 작업에 승인이 필요한가? 에이전트는 어떤 도구를 호출할 수 있는가? 도구의 출력은 신뢰할 수 없는 정보로 취급되고 있는가? 에이전트의 신원은 해당 작업과 암호학적으로 연결되어 있는가? 시스템이 예상치 못한 방식으로 작동할 때 사람이 이를 중단할 수 있는가?

이러한 질문들은 이제 명확한 운영 통제로 연결됩니다.

실질적인 도입을 위한 설계

AISVS 1.0은 세 가지 검증 수준을 정의합니다. 레벨 1은 AI 시스템을 위한 필수 기본 통제를 다룹니다. 레벨 2는 운영 환경에 적용되는 시스템, 고객 대면 AI, 개인정보를 처리하거나 중요한 의사결정을 수행하는 시스템을 대상으로 합니다. 레벨 3은 중요 인프라, 안전이 중요한 AI, 규제 산업 및 고가치 표적과 같은 높은 수준의 보증이 요구되는 환경을 위해 마련되었습니다. OWASP는 대부분의 운영 시스템이 최소한 레벨 2를 목표로 해야 한다고 설명합니다.

이러한 구조 덕분에 AISVS는 보안 기능을 넘어 다양한 조직 영역에서 활용될 수 있습니다. 제품팀은 설계 단계에서 이를 활용할 수 있고, 엔지니어링팀은 안전한 개발 라이프사이클 활동, 코드 리뷰, 지속적 통합 및 지속적 배포(CI/CD) 파이프라인에 이를 통합할 수 있습니다. 보안팀은 침투 테스트와 감사 과정에서 이를 적용할 수 있으며, 조달팀은 AI 공급업체, 타사 모델 및 AI 기반 플랫폼을 평가할 때 특정 AISVS 요구사항을 참조할 수 있습니다.

CISO에게 이는 실질적인 운영 모델을 제시합니다.

  1. AI 시스템을 리스크 등급에 따라 AISVS에 매핑합니다. 내부용 또는 저위험 시스템에는 레벨 1을 적용하고, 운영 환경의 시스템에는 레벨 2를 기본 목표로 설정하며, 비즈니스 영향, 규제 노출 또는 적대적 위협 수준이 더 높은 보증을 필요로 하는 경우에는 레벨 3을 적용합니다.
  2. AISVS 요구사항을 엔지니어링 및 개발 워크플로우에 내재화합니다. 이를 연례 체크리스트로 취급하기보다는, 아키텍처, 보안 설계 검토, 위협 모델링, 테스트 케이스, 조달 요구사항 및 감사 증거를 형성하는 통제 라이브러리로 활용해야 합니다.
  3. AISVS를 활용해 AI 침투 테스트를 강화합니다. LRQA는 AI 침투 테스트가 이론적 컴플라이언스가 아닌 실질적인 보증을 제공한다고 강조해 왔습니다.

선도적인 도입 기업을 위한 경쟁 우위

AISVS 1.0의 발표는 시장의 중요한 신호이기도 합니다. AI 보증은 점차 성숙해지고 있으며, 고객, 규제기관, 투자자 및 이사회는 조직이 AI를 어디에 사용하고 있는지, 그리고 이를 어떻게 보호하고 검증하고 있는지에 대해 점점 더 명확한 설명을 요구하게 될 것입니다.

초기 도입 기업은 이러한 변화에 앞서 대응할 수 있는 기회를 갖게 됩니다. 사이버 보안, 엔지니어링, 리스크, 컴플라이언스 및 조달 전반에 걸쳐 공통의 언어를 마련하고, 단편적인 통제 체크리스트를 보다 효과적인 이사회 보고와 신뢰할 수 있는 보증 증거로 대체할 수 있습니다. 이는 외부의 검토와 요구가 더욱 강화되기 전에 선제적으로 준비할 수 있다는 점에서 중요합니다.

반대로, AI 시스템이 조직의 보안, 테스트 및 거버넌스 역량보다 더 빠르게 배포되었다는 사실을 뒤늦게 발견하는 것은 훨씬 더 바람직하지 않은 상황입니다.

CISO의 우선 순위

CISO에게 당장의 우선 과제는 AI 리스크가 이미 중요한 수준에 도달한 영역에서 AISVS를 실제 운영에 적용하는 것입니다.

먼저 가장 중요한 AI 시스템부터 시작해야 합니다. 고객 대면 모델, 민감 데이터를 처리하는 시스템, 개발자 지원 워크플로우, 검색 증강 생성(RAG) 시스템, 자율 에이전트, MCP 지원 도구, 그리고 권한이 높은 비즈니스 프로세스와 연결된 모든 AI 기능이 여기에 해당합니다. 이러한 시스템을 AISVS에 매핑하고, 격차를 식별한 뒤, 비즈니스 영향도에 따라 개선 우선순위를 정해야 합니다. 그런 다음 그 결과를 경영진, 감사인 및 고객이 이해할 수 있는 증거로 전환해야 합니다.

이를 지금 실행하는 조직은 엔지니어링 및 제품팀이 기준으로 삼을 수 있는 명확하고 검증된 통제 체계를 제공할 수 있습니다. 이를 통해 AI는 나중에 보안을 덧붙이는 방식이 아니라, 처음부터 보안이 고려된 상태로 출시될 수 있습니다.

OWASP AISVS 1.0은 이러한 전환을 위한 실질적인 기반을 시장에 제공합니다. CISO에게 전달되는 메시지는 분명합니다. AI 보안은 더 이상 있으면 좋은 요소가 아니라, 반드시 갖춰야 할 필수 요건으로 이동하고 있습니다.

 

LRQA 사이버 보안 서비스에 대해 더 알아보기

최신 뉴스, 인사이트 및 이벤트