가설 목록에서 실측 통계로

2026년 6월 1일 발간된 OWASP 'State of Agentic AI Security and Governance' v2.01은 초판에서 가설로 제시했던 위협 대부분에 실제 CVE, 벤더 보안 권고, 침해 보고를 연결했습니다. 에이전트 위협모델링의 근거가 "일어날 법한 시나리오"에서 "이미 발생한 인시던트"로 옮겨 갔다는 뜻입니다. Help Net Security의 분석대로 프로덕션 실패를 가장 많이 유발하는 단일 기법은 여전히 프롬프트 인젝션이지만, 공개 인시던트가 가장 많이 쌓인 카테고리는 공급망(ASI04)과 코드 실행(ASI05) 두 곳입니다.

내 스택의 권고 건수부터 세어 본다

보고서가 추적하는 53개 프로젝트 가운데 28개가 코딩 에이전트이고, 보안 권고 건수는 n8n 57건, Claude Code 22건, AutoGPT 15건 순입니다. 워크플로 자동화에 n8n을, 개발 파이프라인에 Claude Code를 함께 쓰는 팀이라면 두 도구에서만 79건의 권고가 나온 셈인데, 이 피드를 구독조차 하지 않는 조직이 드물지 않습니다. 위협모델의 첫 입력값은 추상적 공격 시나리오가 아니라 자기가 의존하는 도구의 권고 이력이어야 맞습니다.

보고 시한은 규제가 먼저 정해 놓았다

같은 보고서는 10개 관할권의 42개 규제를 정리했는데, 인시던트 보고 시한이 DORA 4시간, NIS2 24시간, 뉴욕 RAISE 72시간, 캘리포니아 SB53 15일로 제각각입니다. 대응 절차가 이 시한과 무관하게 설계돼 있으면 기술적으로 복구에 성공하고도 규제 위반이 남습니다.

분기 갱신 루틴: 입력 소스에서 리허설까지

목표부터 숫자로 고정합니다. 위협모델 갱신 주기는 분기 1회, 의존 도구 권고의 반영 리드타임은 공개 시점부터 패치 또는 완화 조치 적용까지 7일 이내, 관할 규제별 보고 SLA 리허설은 연 2회 전 항목 통과를 기본선으로 둡니다. 리드타임 측정 구간을 문서에 명시해 두면 담당자가 바뀌어도 지표가 흔들리지 않습니다.

루틴의 입력 소스는 세 갈래입니다. 첫째는 의존 도구별 보안 권고 피드(자기 스택 기준으로 n8n·Claude Code 등), 둘째는 OWASP 인시던트 트래커 같은 공개 인시던트 집계, 셋째는 CVE 데이터베이스입니다. 분기 리뷰에서는 세 소스의 신규 항목을 위협모델 카테고리별로 대사하고, ASI04·ASI05처럼 실측 인시던트가 몰리는 항목에는 통제를 추가로 배치합니다.

실패는 세 형태로 반복됩니다. 출시 시점의 위협모델을 그대로 두는 방치형, 자기 도구의 권고 건수를 세지 않는 무추적형, 보고 시한 규제와 동떨어진 인시던트 프로세스를 유지하는 단절형입니다. 셋 모두 v2.01이 실패 사례로 지목한 패턴입니다.

복구는 유형별로 갈립니다. 방치형이라면 v2.01의 카테고리 목록과 기존 문서를 전면 대사해 공백 항목부터 다시 씁니다. 무추적형은 n8n 57건, Claude Code 22건 같은 권고 피드 구독과 리드타임 계측을 첫 조치로 삼고, 단절형은 DORA 4시간·NIS2 24시간 같은 시한을 인시던트 런북의 타이머 항목으로 옮겨 넣는 데서 출발합니다.

체크리스트에서 AI SBOM 섹션은 구체 항목으로 채웁니다. 모델 버전과 제공자, 시스템 프롬프트 해시, 연결된 도구·MCP 서버 목록, 외부 API 의존성, 서드파티 워크플로 템플릿 출처가 최소 구성입니다. 에이전트 신원 섹션에는 에이전트 전용 자격증명 발급, 사람 계정과의 권한 혼용 금지, 세션 단위 토큰 만료, 에이전트별 행위 감사 로그를 항목으로 넣습니다.

리허설 없는 SLA는 문서일 뿐입니다. DORA 기준이라면 탐지에서 분류, 보고서 초안까지 4시간 안에 끝나는지 모의 인시던트로 측정하고, 통과·미통과와 병목 구간을 기록합니다. 분기 리뷰 말미에는 권고 건수 추이와 리드타임 변화를 대시보드에 남기고, OWASP 보고서의 차기 버전 발간을 다음 갱신의 트리거로 등록해 두면 루틴이 끊기지 않습니다.

한눈에 보는 적용 포인트

위협모델은 v2.01처럼 CVE와 권고, 침해 보고가 붙은 실측 데이터로 분기마다 갱신하고, ASI04·ASI05 최다 인시던트 카테고리에 통제를 집중합니다. 의존 도구 권고 반영 리드타임 7일, 갱신 주기 분기 1회, 규제별 보고 SLA 리허설 연 2회 통과를 지표로 삼고, AI SBOM과 에이전트 신원을 체크리스트의 고정 섹션으로 유지하십시오.

참고 링크

OWASP GenAI Security Project: State of Agentic AI Security and Governance 2.01
Help Net Security: Prompt injection still drives most agentic AI security failures in production