AI 발견 취약점의 Noise 제거를 위한 Triage Queue 기반 워크플로우 설계

Context

AI 기반의 취약점 발견 도구 도입으로 인해 보고되는 버그의 양이 급증하는 추세임. 단순 알림 채널을 통한 보고 방식은 소유권 부재와 불필요한 긴급성을 유발하여 실질적인 Risk Reduction을 저해하는 한계를 가짐.

Technical Solution

• AI 보고 결과와 엔지니어 검증 단계를 분리한 Triage Queue 구조 설계
• New부터 Closed까지 9단계의 정교한 State Machine을 도입하여 취약점 생명주기 관리
• Deterministic Reproduction 증거를 필수 조건으로 설정하여 무분별한 긴급 대응 방지
• Internet Exposed 여부와 Customer Data Access 가능성을 포함한 Blast-Radius Control 지표 정의
• 엔지니어링 상태와 별개로 Embargo 및 CVE 상태를 추적하는 Disclosure Queue 분리 운영
• 서비스별 기술 소유자 할당 및 Critical 이슈에 대한 24h SLA 적용으로 운영 체계 정립