Log4Shell이 터졌을 때 전 세계 보안팀이 공황에 빠진 이유는 단 하나입니다. 어떤 시스템에 Log4j가 들어가 있는지 몰랐기 때문입니다. 그 경험이 SBOM(소프트웨어 자재명세서)을 보안 필수 요건으로 만들었습니다. 2026년, AI가 그 Log4Shell의 자리에 앉아 있습니다. 엔지니어가 개인 Anthropic API 키로 몰래 붙인 에이전트, 팀장이 승인 없이 연결한 MCP 서버, 인사팀이 쓰는 외부 AI 챗봇 — 이것들이 지금 여러분 조직의 IT 경계 안에 있습니다. Shadow AI가 전년 대비 4배 급증한 2026년, Cisco가 오픈소스 스캐너를 냈고 G7+CISA가 표준을 발표했습니다. AI-BOM이 왜 지금 뜨는지, 무엇을 담아야 하는지, 어떻게 시작하는지 정리했습니다.이 포스트 ..