Security Standard · Palantir Technologies

Mission Assurance
Security Standard

MA-S2  ·  v1.0 / May 2026  ·  4 Control Domains  ·  20 Controls

"사이버 특화 LLM의 역량이 급격히 고도화되고, 적들도 점점 능숙하게 이를 무기화하고 있다. 이는 미션 크리티컬 기관의 공격 표면을 확장시켰다." — Shyam Sankar, CTO Palantir

ma-s2.com
CVS
Domain 0 · 5 controls
Continuous AI-Augmented Vulnerability Scanning
APM
Domain 1 · 4 controls
Attack Path Modeling & AI Adversarial Simulation
INV
Domain 2 · 5 controls
Real-Time Software Inventory & Domain Awareness
ARO
Domain 3 · 6 controls
Autonomous Remediation Orchestration
Architecture · 4 Domain Feedback Loop
MA-S2 통제 도메인의 작동 흐름
ADVERSARY · AI-ARMED THREAT ACTORS ↓ EXPANDED ATTACK SURFACE INV D2 · 5 CONTROLS 실시간 인벤토리 SBOM · 런타임 공급망 · 에어갭 "무엇이 돌아가는가" CVS D0 · 5 CONTROLS AI 지속 스캐닝 CVE · EPSS · KEV Zero-day discovery "구멍을 쉬지 않고" APM D1 · 4 CONTROLS 공격 경로 모델링 Adversarial AI MITRE ATT&CK "해커처럼 생각하라" ARO D3 · 6 CONTROLS 자율 교정 Auto-patch · Fleet Rollback · Compliance "자동으로 막아라" SCAN TARGETS RAW FINDINGS PRIORITIZED RISK STATE UPDATE · REMEDIATED RELEASES BACK INTO INVENTORY PLATFORM TELEMETRY · CONTINUOUS · AIR-GAP READY 자기 어테스테이션만으로는 미충족
INV · 인벤토리
CVS · 스캐닝
APM · 모델링
ARO · 교정
한 줄로 보는 MA-S2 · Plain Language Summary

"AI가 해킹 도구가 됐으니, 소프트웨어 회사들도 AI로 방어해야 한다"는 Palantir의 새 보안 기준표

왜 나왔냐면 — 예전엔 "취약점 찾기"가 제일 어려운 일이었다. 전문가 팀이 몇 달씩 붙어야 했다. 그런데 이제 AI가 그걸 자동으로, 빠르게, 대량으로 해버린다. 해커들도 이미 이 AI를 쓰고 있다. 그러니까 방어하는 쪽도 속도를 올려야 한다는 것이다.
MA-S2가 요구하는 4가지를 일상 언어로
취약점 스캔
CVS
"구멍을 쉬지 않고 찾아라"
소프트웨어에 보안 구멍이 생기면 즉시 자동으로 발견하고, 심각하면 사람이 개입하기도 전에 일단 막아놔야 한다. 분기에 한 번 검사하는 건 이제 안 된다.
공격 경로 모델링
APM
"해커 입장에서 생각해라"
구멍 하나가 별거 아닌 것 같아도, 여러 구멍을 이어서 뚫으면 치명적일 수 있다. 그 연결 고리까지 미리 시뮬레이션해야 한다.
인벤토리
INV
"지금 뭐가 돌아가고 있는지 실시간으로 알아라"
"우리 서버에 어떤 소프트웨어 몇 버전이 깔려있어요?" — 이걸 실시간으로 못 대답하면 탈락이다. 인터넷 안 되는 군사급 폐쇄망도 포함해서.
자동 패치
ARO
"구멍 발견하면 자동으로 막아라"
취약점 발견 → 패치 → 전 세계 서버에 배포, 이 과정을 사람이 일일이 클릭하지 않아도 자동으로 돌아가야 한다.
결론적으로 기존 보안 인증(SOC2, FedRAMP 같은 것들)은 "기본은 됐네" 수준이고, MA-S2는 "AI 시대에 진짜 안전한가?"를 따지는 더 높은 기준이다. Palantir가 이걸 공개 표준으로 제안한 것인데, 자기들 제품이 딱 이 기준을 충족하도록 만들어져 있다는 점에서 마케팅 성격도 꽤 있다는 점은 감안해야 한다.
Control Domain 0
0
CVS — Continuous, AI-Augmented Vulnerability Scanning
지속적 AI 강화 취약점 스캐닝
모든 소프트웨어 컴포넌트에 대해 AI 보조 분석과 결정론적 스캐닝을 결합한 지속적 스캐닝을 수행해야 한다. 배포 형태(컨테이너, VM, 바이너리, 서버리스, 펌웨어)에 관계없이 전체 소프트웨어 풋프린트에 걸쳐 취약점 현황의 살아있는 기록을 유지해야 한다. 포인트인타임 스캐닝은 불충분하다.
CVS-0.1
자동화된 컨테이너 및 의존성 스캐닝
배포 전 모든 릴리즈 아티팩트에 대해 자동 취약점 스캐닝 필수. 아티팩트 자체, 직접 의존성, 전이적 의존성(transitive dependencies) 모두 포함.
Pre-deploy scan Transitive deps All artifact types
CVS-0.2
현행 표준을 사용한 심각도 분류
CVSS v3.x 이상으로 심각도 분류(Critical / High / Medium / Low / Informational). 반드시 EPSS 점수와 CISA KEV 카탈로그 교차 참조 병행.
  • CVSS 단독 사용 → 이 컨트롤 미충족으로 명시
  • EPSS: 실제 익스플로잇 발생 가능성 예측 점수
  • CISA KEV: 실제 악용이 확인된 취약점 카탈로그
CVSS v3.x+ EPSS 필수 CISA KEV 필수
CVS-0.3
AI 보조 취약점 분석
파인튜닝된 보안 모델, 보안 특화 컨텍스트 하네스를 장착한 범용 프론티어 모델, 또는 검증된 3rd-party AI 스캐닝 서비스 중 하나 이상을 파이프라인에 통합.
  • 특정 모델 지정은 하지 않음 (tooling agnostic)
  • CVE 데이터베이스 패턴 매칭만으로는 불충분
  • CVE 미할당 제로데이급 신규 취약점도 파이프라인 내 발견 가능해야 함
AI 통합 필수 Zero-day discovery Beyond CVE DB
CVS-0.4
Critical 발견 시 자동 탐지·완화·리콜
Critical 또는 High 심각도에 알려진 익스플로잇이 존재하는 경우 세 가지를 동시에 충족해야 한다.
  • 자동 탐지 및 에스컬레이션: 수동 개입 없이 대응 워크플로우로 자동 연결
  • 자동 임시 완화: 네트워크 격리, 기능 비활성화, 구성 변경 등 보상 제어 자동 적용
  • 원클릭 플릿 전체 리콜/격리: 전 환경을 단일 오케스트레이션 액션으로 처리. 인간의 승인은 허용하되 인간이 실행 병목이 되어선 안 됨
Auto-escalation Interim mitigation One-action recall
CVS-0.5
컨텍스트 취약점 우선순위화 및 SLA
SLA는 두 가지 요건을 모두 충족해야 한다.
  • 컨텍스트 기반 우선순위화: EPSS·KEV 보강 + 소스코드·런타임 레벨 도달 가능성(reachability) 분석 + 자산·데이터 컨텍스트(폭발 반경) + APM-1.3의 공격 경로 컨텍스트
  • 도달 불가능하거나 비익스플로잇 취약점은 ARO-3.4 억압 메커니즘으로 위험 수용 가능 (문서화 필수)
  • SLA 정의 및 준수: 심각도 티어별 SLA 공개 + 플랫폼 텔레메트리 기반 준수율 보고 (수동 리포팅 불가)
  • CVSS 동일 점수라도 KEV 등재·높은 EPSS의 취약점은 materially shorter SLA 필수
Reachability analysis Contextual SLA Platform telemetry
실격 조건 — Domain 0
  • 자동화 없이 주기적 수동 스캐닝만 존재
  • EPSS 또는 KEV 보강 없는 취약점 분류
  • AI 보조 컴포넌트가 발견 파이프라인에 없음
  • Critical/High 발견 시 자동 에스컬레이션 워크플로우 부재
  • 문서화되고 측정 가능한 교정 SLA 없음
Control Domain 1
1
APM — Attack Path Modeling & AI-Assisted Adversarial Simulation
공격 경로 모델링 및 AI 적대 시뮬레이션
적대 세력이 AI를 이용해 멀티스테이지 공격 경로를 탐색하는 상황을 모델링해야 한다. 개별 CVE 수준의 관리를 넘어, 아키텍처 전반의 컴포넌트·마이크로서비스·요소에 걸쳐 공격 경로를 모델링하고, 개별 발견이 낮은 심각도이더라도 체인 시 높은 심각도를 구성하는 경우를 적절히 처리해야 한다.
APM-1.1
공격 경로 모델링 역량
전용 위협 모델링 플랫폼, AI 보조 공격 그래프 생성, 또는 정기 검토되는 수동 위협 모델링 방법론 중 하나로 구현. 공격 경로 모델링 결과물은 취약점 우선순위화 도구 및 의사결정에 기술적으로 통합되어야 한다.
Attack graph Threat modeling Prioritization 통합
APM-1.2
적대적 AI 시뮬레이션
공격 경로 단계에 걸쳐 취약점을 체이닝하는 적대자 행동을 시뮬레이션하는 AI 보조 도구로 소프트웨어를 테스트한 증거 필요.
  • 내부 레드팀의 AI 도구 사용 결과
  • 3rd-party AI 보조 침투 테스트 보고서
  • AI 네이티브 버그 바운티 프로그램 참여
  • 전통적 침투 테스트를 넘어서는 증거 필수
AI Red team Vuln chaining Beyond pentest
APM-1.3
컨텍스트 트리아지 통합
공격 경로 컨텍스트가 교정 우선순위화에 반영되어야 한다. 문서의 핵심 예시:
  • 외부 공격 표면에서 도달 불가한 컴포넌트의 Critical CVE → 적절히 낮은 우선순위로 미룰 수 있음
  • 권한 자격증명 저장소로의 공격 경로 첫 번째 링크인 컴포넌트의 Medium CVE → 긴급 처리 필수
  • 트리아지 워크플로우가 원시 CVE 심각도 점수만 의존하지 않음을 증명해야 함
Attack path context Reachability Beyond CVSS alone
APM-1.4
위협 인텔리전스 통합
MITRE ATT&CK 프레임워크 기반 국가 행위자 TTP를 포함하는 현행 위협 인텔리전스 피드를 공격 경로 모델링에 반영. 업데이트되지 않는 정적 위협 모델은 불충분. 고객 업계의 주요 위협 행위자 역량과 타기팅 우선순위를 반영해야 함.
MITRE ATT&CK Nation-state TTPs Dynamic threat model
실격 조건 — Domain 1
  • 개별 CVE 관리를 넘어서는 공격 경로 모델링 역량 부재
  • 지속적인 AI 보조 적대 시뮬레이션 없음
  • 원시 CVE 점수만 의존하는 트리아지 워크플로우
  • 우선순위화에 외부 위협 인텔리전스 통합 없음
Control Domain 2
2
INV — Real-Time Software Inventory & Domain Awareness
실시간 소프트웨어 인벤토리 및 도메인 인식
소프트웨어가 운영되는 모든 환경에 걸쳐 모든 소프트웨어 컴포넌트의 완전하고 실시간인 기계 판독 가능 인벤토리를 유지해야 한다. 온디맨드 생성이 아닌 지속적으로 업데이트되어야 하며, 에어갭 환경을 포함한 이기종 환경 전체를 포괄해야 한다.
INV-2.1
릴리즈 시 SBOM (Software Bill of Materials)
모든 릴리즈 아티팩트에 SPDX 또는 CycloneDX 포맷의 기계 판독 가능 SBOM 동반 필수.
  • 직접·전이적 의존성 모두 명시적 버전 핀닝 포함
  • 범위 버전(예: ≥1.0.0) 사용 불가 — 정확한 버전 명시 필수
  • 현재 및 이전 릴리즈 SBOM 모두 제공 가능해야 함
SPDX / CycloneDX Exact version pins Machine-readable
INV-2.2
런타임 인벤토리 지속 대조
각 배포 릴리즈의 SBOM과 각 배포 환경의 실제 런타임 상태를 지속적으로 대조하는 역량.
  • SBOM에 없는 컴포넌트가 런타임에 존재 → 자동 알림
  • SBOM에 있는 컴포넌트가 런타임에 없음 → 자동 알림
  • 제한적·간헐적 연결 환경 포함 이기종 환경 전체에서 작동 필수
Continuous reconcile Drift detection Auto-alert
INV-2.3
환경 수준 배포 가시성
각 환경별로 아래 정보를 제공하는 기계 판독 가능 API + 인간 사용 운영 도구 필수:
  • 배포된 정확한 릴리즈 버전
  • 가장 최근 성공적 배포 타임스탬프
  • 가장 최근 해당 배포 버전 스캔 타임스탬프
  • 해당 환경의 미해결 발견 현황
Machine-readable API Per-environment Open findings
INV-2.4
공급망 가시성
1st-party 코드를 넘어선 업스트림 소프트웨어 공급망 전체의 보안 태세 가시성.
  • 업스트림 SBOM 수집 증거
  • 업스트림 취약점 모니터링
  • 공급업체 보안 어테스테이션 요건 적용
  • 화이트레이블 도구 포함 모든 소스 컴포넌트 대상
Supply chain Upstream SBOM Supplier attestation
INV-2.5
에어갭 및 단절 환경 커버리지
인벤토리·모니터링 역량이 단절·에어갭·제한 연결 환경까지 확장되어야 한다.
  • 지속적 외부 연결이 필요한 인벤토리 시스템 → 이 컨트롤 미충족
  • 연결 가용 시 인벤토리 업데이트 동기화
  • 최종 알려진 상태와 현재 상태 간 최대 허용 드리프트 정의 필수
Air-gapped Offline support Sync on connect
실격 조건 — Domain 2
  • 현재 및 이전 릴리즈에 대한 기계 판독 가능 SBOM 미제공
  • 지속적 런타임 대조 역량 없음
  • API를 통한 환경 수준 배포 상태 가시성 없음
  • 1st-party 코드를 넘어선 포괄적 공급망 가시성 부재
  • 에어갭 또는 단절 환경에 대한 지속적 인벤토리 커버리지 없음
Control Domain 3
3
ARO — Autonomous Remediation Orchestration
자율 교정 오케스트레이션
전체 배포 플릿에 걸쳐 교정 액션을 자율적으로 오케스트레이션하는 역량을 갖춰야 한다. 패치 배포, 취약 릴리즈 롤백, 환경 특화 발견 억압 등을 포함한다. 인간의 승인은 요구될 수 있으나, 인간이 병목이 되어선 안 된다.
ARO-3.1
자동화된 패치 배포
스캔 검증 및 승인 워크플로우 완료 후 패치 릴리즈를 영향 환경에 자동 배포하는 역량.
  • 운영적으로 요구되는 환경에서 제로 다운타임 배포
  • 롤백 역량 테스트 및 문서화, 복구 시간 목표(RTO) 증명
  • 일관되고 신속한 예상 롤백 RTO 보유
Auto-deploy Zero-downtime Rollback RTO
ARO-3.2
플릿 전체 교정 오케스트레이션
단일 컨트롤 플레인에서 전체 배포 플릿에 걸쳐 패치 배포를 오케스트레이션하는 역량.
  • 모든 고객 환경에 동시 또는 제어된 순차 롤아웃
  • 단절 및 에어갭 환경 포함 플릿 전체 오케스트레이션
  • 하나의 컨트롤 플레인 → N개 이기종 환경
Single control plane Fleet-wide Air-gap included
ARO-3.3
컴플라이언스 인식 변경 관리
환경별 요건을 모델링하고 준수하는 교정 오케스트레이션.
  • 승인 요건, 변경 동결 기간, 인증 제약(FedRAMP, IL5/IL6) 모델링 및 자동화
  • 운영자 정의 배포 정책 준수
  • 환경별 제약과 보안 교정 액션 간 불일치 시 오케스트레이션 레이어가 자동으로 충돌 해소
Compliance-aware FedRAMP / IL5/6 Auto-conflict resolve
ARO-3.4
감사 추적을 포함한 취약점 억압
특정 취약점에 대한 시간 제한부 위험 수용 억압을 위한 공식 메커니즘 + 완전한 감사 추적.
  • 억압은 자동 만료 대상
  • 요청 시 감사 추적 제공 가능
  • CVS-0.5의 컨텍스트 우선순위화와 연계 (비도달 취약점 위험 수용 근거 문서화)
Time-bounded Audit trail Auto-expire
ARO-3.5
개발자-운영자 워크플로우 통합
개발팀(패치 생산)과 운영팀(배포 승인)이 조직적으로 분리된 경우, 세 마일스톤의 측정 가능한 타임스탬프 기록 필수:
  • 취약점 발견: 식별 및 담당 개발자 할당 시점
  • 패치 가용: 해결된 버전의 배포 가용 시점
  • 배포 승인: 각 영향 환경별 운영자 배포 승인 시점
  • 슬랙 메시지, 이메일, 코드 리뷰 토론 → 이 컨트롤 범위 밖
3 milestones System of record Timestamped
ARO-3.6
교정 메트릭 및 리포팅
합의된 주기로 아래 메트릭을 포함한 교정 보고서를 플랫폼 텔레메트리 기반으로 생성:
  • 심각도 티어별 평균 교정 소요 시간 (MTTR)
  • SLA 준수율
  • 심각도·기간별 미해결 발견 건수
  • 억압 인벤토리
  • 플릿 전체 배포 커버리지
MTTR by tier SLA compliance Platform telemetry
실격 조건 — Domain 3
  • 자동화된 패치 배포 없음
  • 자율적 플릿 전체 오케스트레이션 역량 없음
  • 컴플라이언스 인식 변경 관리 없음
  • 공식적·감사 가능한 억압 메커니즘 없음
  • 플랫폼 텔레메트리 기반 MTTR 및 SLA 준수율 보고 없음
어테스테이션 및 증거 요건
3rd-party 감사 보고서
독립적인 자격을 갖춘 평가자가 검토한 감사 결과물
플랫폼 생성 텔레메트리
자동 생성된 메트릭 및 운영 데이터 (수동 리포팅 불가)
아키텍처 문서
자격 있는 독립 평가자가 검토한 아키텍처 문서
SLA 계약 약정
정의된 측정 방법론을 포함한 계약적 SLA 약정
자기 어테스테이션(Self-attestation)만으로는 불충분. 지원 증거 없는 자기 어테스테이션은 허용되지 않는다.
소프트웨어 조달 평가 핵심 질문 7
1
자동화된 취약점 스캐닝 프로세스를 설명하라. 릴리즈 파이프라인의 어느 시점에 스캐닝이 발생하는가? 어떤 도구를 사용하며, 알려진 CVE 패턴 매칭을 넘어서는 신규 취약점의 AI 보조 발견을 포함하는가?
→ CVS-0.1 · CVS-0.3
2
취약점을 어떻게 분류하고 우선순위화하는가? CVSS 점수 외에 EPSS 점수와 CISA KEV 카탈로그를 반영하는가?
→ CVS-0.2 · CVS-0.5
3
소프트웨어 인벤토리 역량을 설명하라. 에어갭 환경을 포함하여 소프트웨어가 배포된 모든 환경의 각 순열에서 실행 중인 버전을 실시간으로 기계 판독 가능 인벤토리로 제공할 수 있는가? 이 인벤토리는 어떻게 최신 상태를 유지하는가?
→ INV-2.1 · INV-2.2 · INV-2.3 · INV-2.5
4
멀티스테이지 공격 경로에 걸쳐 취약점을 체이닝하는 AI 보조 적대 시뮬레이션으로 소프트웨어를 테스트한 적이 있는가? 방법론을 설명하고 요약 결과 또는 3rd-party 어테스테이션을 제공하라.
→ APM-1.1 · APM-1.2 · APM-1.3
5
플릿 전체에 걸쳐 패치 배포를 어떻게 오케스트레이션하는가? 단일 컨트롤 플레인에서 모든 영향 고객 환경에 패치 릴리즈를 배포할 수 있는가? 증명된 롤백 시간은 얼마인가?
→ ARO-3.1 · ARO-3.2
6
제품의 취약점 교정 담당자는 누구이며, 식별에서 고객 환경의 수정 배포까지 얼마나 걸리는가?
→ ARO-3.5 · ARO-3.6
7
에어갭·분류·컴플라이언스 제약 환경을 가진 고객에 대해 교정 프로세스가 어떻게 고려하는가? 해당 환경에 걸쳐 자동화된 컴플라이언스 인식 변경 관리를 증명할 수 있는가?
→ ARO-3.2 · ARO-3.3 · INV-2.5
기존 프레임워크와의 관계
SOC 2 Type 2 FedRAMP Moderate FedRAMP High DISA IL5 DISA IL6 NIST SP 800-53 ISO 27001 + MA-S2

기존 프레임워크를 보유한 벤더는 기반 통제가 마련된 것으로 기대된다. MA-S2는 AI 네이티브 공격 벡터의 확산으로 발생한 다음 단계의 보안 요구사항을 다룬다. 두 가지는 상호 보완적이며, MA-S2가 기존 프레임워크를 대체하지 않는다.