미국 AI 보안 명령, 취약점 clearinghouse와 모델 사전 접근

AI 요약

• 무슨 일: 백악관이 2026년 6월 2일 AI innovation and security 행정명령을 공개했습니다.
  • CISA 지침, Treasury 주도 AI cybersecurity clearinghouse, NSA 관여 classified benchmark가 30일·60일 일정으로 묶였습니다.
• 모델 공개: 개발사는 covered frontier model 여부를 정부와 자발적으로 확인하고, trusted partner 공개 전 최대 30일 접근을 제공하는 framework가 설계됩니다.
• 개발자 영향: 취약점 scanning, validation, patch 우선순위가 정부 clearinghouse와 critical infrastructure 방어 절차에 들어갑니다.
  • 명령은 mandatory licensing이나 preclearance를 만들지 않는다고 선을 그었지만, release checklist에는 새 정책 접점이 생깁니다.

백악관이 2026년 6월 2일 Promoting Advanced Artificial Intelligence Innovation and Security 행정명령을 공개했습니다. 원문은 미국이 AI innovation을 촉진하면서 national security와 cybersecurity를 강화한다는 정치 문장으로 시작하지만, 개발자와 AI 회사가 봐야 할 부분은 일정표입니다. 명령은 30일 안에 CISA 지침과 Treasury 주도 clearinghouse를 요구하고, 60일 안에 covered frontier model을 가르는 classified benchmark와 voluntary pre-release access framework를 설계하라고 지시합니다.

이번 명령은 "AI 규제를 완화한다"는 문장만으로 설명되지 않습니다. 원문은 과도한 규제가 미국 AI 개발자와 연구자를 막아서는 안 된다고 쓰면서도, 고급 AI 능력이 새로운 national security consideration을 만든다고 적었습니다. 정부가 만드는 장치는 허가제라는 단어를 피합니다. 대신 cyber defense, vulnerability clearinghouse, classified benchmark, trusted partner early access 같은 운영 절차를 배치합니다.

30일 안에 CISA 지침과 clearinghouse가 움직입니다

첫 번째 deadline은 30일입니다. 명령 2조는 Committee on National Security Systems와 Department of War 정보 시스템의 cyber defense를 우선하라고 씁니다. CISA에는 civilian Federal Government information systems 방어를 빠르게 처리할 Binding Operational Directives와 지침을 내라고 합니다. 적용 대상은 연방 시스템에 머물지 않습니다. 원문은 agencies, state and local authorities, rural hospitals, community banks, local utilities를 예로 듭니다. 이런 critical infrastructure operator가 cybersecurity tools와 services에 접근하도록 facilitate하라는 문장입니다.

개발자에게 더 직접적인 조항은 2조 d항입니다. Treasury Secretary는 National Cyber Director, NSA, CISA와 협의해 AI cybersecurity clearinghouse를 구성해야 합니다. 명령이 적은 기능은 네 가지입니다. software vulnerability scanning을 조율하고 deconflict합니다. 취약점을 discover하고 validate합니다. remediation 우선순위를 조정합니다. vulnerability patches의 distribution을 coordination합니다.

이 표에서 clearinghouse는 단순한 정보 공유 포럼보다 강한 의미를 갖습니다. 최근 Anthropic Project Glasswing이 드러낸 문제는 취약점 발견이 아니라 검증, 공개, 패치 속도였습니다. 백악관 명령은 바로 그 구간을 정부 구조로 가져옵니다. AI가 취약점 후보를 대량으로 만들면, 여러 조직이 같은 프로젝트를 중복 스캔하거나 같은 maintainer에게 서로 다른 품질의 report를 보낼 수 있습니다. deconflicts scanning이라는 표현은 이 중복과 충돌을 줄이려는 문장입니다.

다만 원문은 clearinghouse가 어떤 API, portal, reporting schema, CVE CNA 관계를 쓸지 말하지 않습니다. 30일 안에 만들어질 것은 완성된 제품이 아니라 운영 구조와 agency 책임선에 가깝습니다. software vendor, open-source maintainer, cloud provider, critical infrastructure operator가 실제로 무엇을 제출해야 하는지는 후속 지침을 봐야 합니다.

covered frontier model은 보안 능력 기준으로 정의됩니다

두 번째 축은 모델 평가입니다. 3조는 Treasury, Department of War의 NSA, Homeland Security의 CISA가 60일 안에 classified benchmarking process를 만들라고 합니다. 협의 대상에는 White House Chief of Staff, National Cyber Director, APST, Commerce Department의 NIST가 들어갑니다. 목적은 AI 모델의 advanced cyber capabilities를 평가하고, 어느 threshold에서 모델을 covered frontier model로 지정할지 정하는 일입니다.

이 문장은 AI 모델 개발사에 현실적인 질문을 던집니다. 일반 공개 benchmark에서 coding score가 높다는 사실과, 정부가 classified cyber benchmark에서 위험 threshold를 넘었다고 판단하는 일은 별개입니다. 원문은 이 판단을 NSA Director가 National Cyber Director, APST, CISA Director, Department of War 관계자와 협의해 내린다고 적었습니다. NIST는 benchmark 설계와 표준 쪽에서 이름이 들어가지만, designation 판단의 중심에는 national security 조직이 있습니다.

이 구조는 Anthropic Mythos Preview나 여러 cyber eval 글을 떠올리게 합니다. 공개된 exploit benchmark는 V8, OSS-Fuzz, smart contract simulation 같은 환경에서 모델이 취약점 재현과 exploit chain을 만들 수 있는지 측정합니다. 백악관 명령은 그런 능력이 정부 내부 classified benchmark로 옮겨갈 수 있다고 말합니다. 공개 논문이나 red-team blog에 나오지 않는 target, task, scoring rule이 release risk 판단에 들어갈 수 있습니다.

개발팀 입장에서는 "covered"라는 이름보다 기준의 불확실성이 더 큽니다. 어떤 모델이 threshold를 넘는지, fine-tuned cyber model과 general-purpose frontier model을 어떻게 구분하는지는 아직 정해지지 않았습니다. tool access가 있는 agent scaffold까지 포함하는지도 미확정입니다. model weights와 hosted API가 같은 기준을 받는지도 60일 framework가 답해야 할 질문입니다.

사전 접근은 자발적이지만 release checklist를 바꿉니다

3조 b항은 voluntary framework를 요구합니다. 개발사는 정부와 협력해 개발 중인 model이 covered frontier model designation에 해당하는지 확인할 수 있습니다. covered frontier model에는 trusted partners에게 공개하기 전 최대 30일 동안 정부 접근을 제공할 수 있습니다. 이 접근은 confidentiality, cybersecurity, insider-risk, intellectual-property protection, use, nondisclosure requirements를 전제로 합니다.

여기서 원문이 조심스럽게 선을 긋는 대목이 있습니다. 3조 c항은 이 조항이 새로운 AI 모델의 개발, publication, release, distribution에 대한 mandatory governmental licensing, preclearance, permitting requirement를 만들 권한으로 해석되어서는 안 된다고 씁니다. 문장상으로는 허가제가 아닙니다. 개발사가 무조건 정부 승인을 받아야 한다는 구조도 아닙니다.

그럼에도 실무에서는 release checklist가 달라질 수 있습니다. 정부와 critical infrastructure 고객을 상대하는 frontier model 개발사는 "우리는 covered threshold에 해당하지 않는다"는 내부 판단 근거를 남겨야 할 수 있습니다. 해당한다고 판단하면 30일 access, NDA, insider-risk control, evaluation environment, logging, model snapshot freeze 같은 운영 항목이 필요합니다. 법적 의무가 아니어도 procurement와 trusted partner 관계에서 사실상의 expectation이 될 수 있습니다.

이 부분은 미국의 AI 정책이 규제 문서보다 조달과 보안 운영 문서로 움직이는 사례입니다. mandatory licensing을 만들지 않는다고 말하면서, 정부 고객과 critical infrastructure 고객에게 필요한 방어 도구 접근을 넓히고, 모델 개발사와 정부가 early access를 조율하는 framework를 만듭니다. AI 회사가 출시 버튼을 누르기 전에 법무팀, public policy, security, eval team이 함께 봐야 할 항목이 늘어납니다.

취약점 발견보다 패치 배포가 정책 대상이 됐습니다

이 행정명령은 최근 AI 보안 뉴스의 방향과 맞습니다. 2026년 5월 Anthropic은 Project Glasswing 초기 업데이트에서 약 50개 파트너가 Claude Mythos Preview로 1만 건 이상의 high 또는 critical 취약점을 찾았다고 밝혔습니다. 같은 업데이트는 오픈소스 1,000개 이상 프로젝트에서 23,019개 잠재 취약점 후보를 찾았고, 검증과 disclosure, patch가 병목이라고 설명했습니다.

백악관 명령은 특정 회사나 모델 이름을 말하지 않습니다. 하지만 clearinghouse 조항은 같은 병목을 정부 언어로 바꿉니다. AI가 취약점을 더 빨리 찾는다면, 누가 같은 코드를 중복 스캔하지 않도록 조정할지, 누가 finding을 validate할지, 어떤 패치를 먼저 배포할지, rural hospital이나 local utility처럼 보안 인력이 적은 운영자에게 어떤 서비스를 우선 줄지가 정책 문제가 됩니다.

이 변화는 AppSec 제품에도 압력을 줍니다. 앞으로 AI security scanner가 "몇 개 찾았다"만으로는 부족합니다. government clearinghouse나 critical infrastructure 고객이 요구할 가능성이 큰 항목은 reproducible evidence, severity 기준, duplicate collapse입니다. exploitability proof, patch suggestion, advisory 상태, affected version range도 report에 들어가야 합니다. report가 많아질수록 낮은 품질의 AI-generated bug report는 유지보수자와 보안팀의 시간을 더 많이 먹습니다.

AI agent 범죄 조항도 들어갔습니다

4조는 법 집행 우선순위를 적습니다. Attorney General은 18 U.S.C. 1028, 1030, 1343과 다른 연방법을 우선 집행해야 합니다. 대상은 AI를 이용해 권한 없이 컴퓨터에 접근하거나 손상시키는 사람입니다. 불법 접근 중 AI를 이용해 다른 범죄를 저지르는 사람도 포함됩니다. 원문은 public or private information technology system 침해를 직접 언급합니다. AI agents를 이용해 불법적으로 data나 information에 접근한 뒤 범죄나 불법 목적에 쓰는 행위도 같은 문장에 들어갑니다.

이 조항은 새 형법을 만들지는 않습니다. Computer Fraud and Abuse Act와 wire fraud 같은 기존 법을 AI 사용 사건에 우선 적용하겠다는 지시입니다. 하지만 문장에 AI agents가 들어간 것은 개발자에게 작지 않습니다. agent가 브라우저, SaaS, code host, database, internal admin tool을 호출하는 제품은 abuse monitoring과 customer terms를 더 구체적으로 써야 합니다. "모델이 했다"는 주장은 책임 회피가 되기 어렵습니다.

보안 로그도 달라집니다. 4조의 AI agent 문구를 기준으로 보면, tool invocation log와 user identity는 incident response 근거가 됩니다. target system, permission grant, output hash, external request metadata도 법 집행 협력에서 쓰일 수 있습니다. 개인정보와 고객 비밀 보호 때문에 로그를 무한히 모을 수는 없지만, 아무 로그도 없으면 abuse claim과 false accusation을 구분하기 어렵습니다.

정부와 회사 사이에 생길 질문

3조의 가장 큰 미확정 영역은 voluntary framework입니다. 첫째, covered frontier model 지정 기준이 비공개 benchmark에 묶이면 외부 개발사는 자신의 모델이 왜 해당하는지 확인하기 어렵습니다. 정부가 assessment를 AI developers and researchers와 적절히 공유한다고 했지만, classified benchmark의 세부 task를 그대로 공개하기는 어렵습니다. 설명 가능한 designation summary가 필요합니다.

둘째, 30일 government access는 모델 보안과 IP 보호를 동시에 요구합니다. 3조 b항은 confidentiality, cybersecurity, insider-risk, intellectual-property protection, nondisclosure를 모두 나열했습니다. 모델 개발사는 evaluation endpoint를 어떻게 격리할지 확인해야 합니다. weight 접근 없이 capability를 평가할 수 있는지, prompt와 output이 어떤 retention policy를 따르는지도 별도 항목입니다. benchmark transcript가 discovery나 FOIA 이슈에 노출될 수 있는지도 법무 검토 대상입니다.

셋째, trusted partners의 범위가 중요합니다. 3조 b항은 covered frontier model에 대한 early access를 trusted partners 선정과 연결합니다. 목적은 critical infrastructure cybersecurity 강화입니다. 이 말은 정부, AI 개발사, critical infrastructure operator가 같은 모델을 서로 다른 위험 관점에서 보게 된다는 뜻입니다. 전력, 물, 병원, 금융, 통신 운영자는 모델 성능보다 data boundary, deployment support, emergency patch workflow를 먼저 묻습니다.

넷째, 2조 d항의 clearinghouse가 오픈소스 유지보수자를 어떻게 대할지 아직 비어 있습니다. AI가 찾은 취약점이 critical open-source dependency에 몰리면 maintainer는 정부, 보안 업체, AI 회사, downstream vendor로부터 동시에 연락을 받을 수 있습니다. clearinghouse가 실제로 도움이 되려면 report format, duplicate handling, embargo coordination, maintainer consent, funding support가 함께 있어야 합니다.

한국 개발팀이 지금 확인할 항목

한국의 AI 모델 개발사나 보안 제품 회사가 미국 정부와 직접 계약하지 않더라도 영향은 생길 수 있습니다. 미국 critical infrastructure 고객에게 제품을 팔거나, 미국 cloud marketplace와 partner channel을 통해 frontier model 또는 agent security tool을 제공한다면 이 명령의 후속 지침이 procurement questionnaire에 들어올 수 있습니다.

첫 번째 확인 항목은 cyber capability eval입니다. 모델이 code generation만 잘하는지, exploit chain 구성이나 vulnerability reproduction까지 할 수 있는지 내부 평가를 분리해야 합니다. 공개 benchmark 점수와 내부 red-team 결과, tool access가 있는 agent mode 결과를 따로 기록해야 합니다. 나중에 government 또는 enterprise 고객이 "covered frontier model에 해당할 수 있는가"를 물을 때 답할 근거가 됩니다.

두 번째는 vulnerability report workflow입니다. AI scanner나 coding agent가 취약점 후보를 만들면, report에는 재현 절차, 영향을 받는 버전, severity rationale, false positive 검토, patch 후보, regression test가 붙어야 합니다. clearinghouse가 어떤 형식으로 나오든, 이런 구조화된 report가 없으면 대량 finding은 고객에게 도움이 아니라 업무 부담이 됩니다.

세 번째는 agent abuse logging입니다. AI agent가 외부 시스템에 로그인하거나 data를 가져오거나 shell command를 실행한다면, 권한 부여와 실행 로그를 분리해 보관해야 합니다. 사용자 privacy를 지키면서도 불법 접근 조사에 필요한 최소 증거를 남기는 설계가 필요합니다. 특히 enterprise customer는 role-based access, exportable audit log, webhook, SIEM integration을 요구할 가능성이 큽니다.

네 번째는 release governance입니다. frontier model release가 더 이상 model card와 가격표만으로 끝나지 않습니다. cybersecurity eval, misuse safeguards, trusted partner access가 release document에 들어갑니다. government contact point, incident disclosure, IP protection 절차도 같은 문서에 필요합니다. 명령은 의무 허가제가 아니라고 하지만, 미국 정부와 critical infrastructure 시장에서는 이 문서들이 신뢰의 일부가 됩니다.

의무 허가제가 아니어도 기준선은 생깁니다

백악관 행정명령의 정치적 문장은 규제 완화와 AI dominance를 앞세웁니다. 그러나 운영 조항은 더 구체적입니다. CISA는 30일 안에 지침을 내고, Treasury는 30일 안에 AI cybersecurity clearinghouse를 만듭니다. NSA와 CISA 등은 60일 안에 covered frontier model benchmark와 voluntary access framework를 설계합니다. 이 날짜는 AI 회사와 보안팀이 후속 문서를 추적해야 하는 달력입니다.

가장 중요한 변화는 모델 능력과 취약점 운영이 같은 정책 문서 안에 들어갔다는 점입니다. frontier model이 취약점을 더 잘 찾고 exploit할 수 있다면, 정부는 그 능력을 막기만 할 수 없습니다. critical infrastructure를 방어하려면 같은 능력을 방어자에게도 제공해야 합니다. 그래서 명령은 release 전 접근, classified benchmark, vulnerability clearinghouse, patch distribution을 한 묶음으로 배치합니다.

개발자가 지금 할 일은 행정명령의 찬반 논쟁에 머무르는 것이 아닙니다. 후속 30일과 60일 지침에서 어떤 데이터 제출, 평가, 로그, patch workflow가 요구되는지 봐야 합니다. AI 보안의 실무 기준은 "모델이 취약점을 찾았다"에서 "누가 검증하고, 누가 패치하고, 누가 배포까지 조율했는가"로 이동하고 있습니다. 이번 명령은 그 이동을 미국 연방 정부 일정표에 올렸습니다.