“위험한 조합”: AI 에이전트 워크플로를 ‘오염’시킬 두 요인
출처: The New Stack
거의 모든 사람의 직장 경험이 이제 일상적으로 사용하는 애플리케이션을 통해 AI 에이전트가 주도하는 행동을 맞이하도록 설정되었으며, 이러한 급속한 진화는 ID 및 액세스 관리(IAM)의 작동 방식에 중대한 영향을 미칩니다.
전통적인 IAM 모델은 인간 사용자를 염두에 두고 그들의 예측 가능한 접근 패턴을 기반으로 설계되었지만, AI 에이전트는 전혀 다른 방식으로 작동합니다.
AI 에이전트는 비즈니스 분석이 이사회 수준 관리 대시보드에 전달되는 방식을 빠르게 추론할 수 있고, 새로운 API 연결을 만들고, 데이터베이스를 업데이트하거나 새로운 소프트웨어 스크립트를 실행하는 도구를 호출할 수 있으며, 조직의 인프라와 전체 소프트웨어 스택 전반에 걸쳐 다른 소프트웨어 서비스와 데이터 자원에 동적이고 지속적이며 때로는 예측할 수 없는 방식으로 접근할 수 있습니다.
클라우드 인프라 자동화 및 보안 기업인 HashiCorp는 한동안 에이전트 시대를 지원할 수 있는 IAM 서비스를 제공하려고 노력해 왔습니다.
작년 2월 IBM에 인수되기 전(IBM이 HashiCorp를 다중 클라우드 IT 자동화를 위해 인수), HashiCorp는 2020년에 오픈소스 프로젝트 Boundary(HashiCorp Boundary 소개)를 출시해 소프트웨어 엔지니어가 직접 네트워크에 접근하지 않고도 세밀한 권한 부여를 통해 동적 호스트와 서비스에 안전하게 접근할 수 있도록 했습니다.
IBM 수석 솔루션 엔지니어 Andre Faria와 HashiCorp 수석 기술 제품 마케팅 매니저 Van Phan은 6월 4일에 블로그를 올리며(에이전트 AI 시대의 인프라 접근 재고) 에이전트가 실제 운영 시스템에 투입되면 내부 웹 서비스, 클라우드 플랫폼, 기타 운영 시스템 등 “핵심 인프라 자원”에 접근하게 된다고 설명했습니다.
두 사람은 에이전트에게 장기간 지속되는 정적 자격 증명이 부실하게 관리되고, 거의 회전되지 않으며, 감사가 어려운 상태로 제공될 경우 문제가 될 수 있다고 경고했습니다.
부실하게 관리되는 자격 증명: “위험한 조합”
“이는 광범위한 접근 권한과 제한된 감독이 결합된 위험한 조합을 만들게 됩니다. 적절한 가드레일이 없으면 AI 에이전트는 생산 워크로드에 부정적인 영향을 미치거나 데이터를 손상시키고, 장애를 일으키며, 민감한 정보를 의도치 않게 노출시킬 수 있는 결정을 자율적으로 내리거나 행동을 실행할 수 있습니다.”
— Faria와 Phan
그들은 또한 조직이 어떤 세션이 활성화되어 있는지, AI 에이전트가 어떤 시스템에 접근했는지, 언제 접근했는지, 어떤 행동을 수행했는지, 그리고 그 행동이 정책에서 벗어났는지를 모니터링할 수 있는 방법이 필요하다고 지적했습니다.
에이전트 런타임과 개별 실행 행동은 본질적으로 유동적이고 변하기 쉬우므로, 배포 시점에 정체성 관리, 권한 부여 및 세션 제어 정책을 설정할 수 없습니다. 모든 에이전트는 고유한 정체성과 Just‑In‑Time(JIT) 권한(보안 사용 지점(access layer) 역할을 하는 제로 트러스트 기반 비밀 관리 기법)을 가져야 하며, 이를 통해 소프트웨어 시스템이 규모가 커지면서 취약해지거나 공격에 노출되는 것을 방지할 수 있습니다.
이제는 Just‑In‑Time의 시대
에이전트 런타임과 개별 실행 행동은 본질적으로 유동적이고 변하기 쉬우므로, 배포 시점에 정체성 관리, 권한 부여 및 세션 제어 정책을 설정할 수 없습니다. 모든 에이전트는 고유한 정체성과 Just‑In‑Time(JIT) 권한(제로 트러스트 기반 비밀 관리 기법으로, 보안 사용 지점(access layer) 역할을 함)을 가져야 하며, 이를 통해 소프트웨어 시스템이 규모가 커지면서 취약해지거나 공격에 노출되는 것을 방지할 수 있습니다.
“Boundary의 권한 부여 흐름을 통해 특정 리소스에 대한 접근은 필요할 때만, 특정 작업에 대해서만, 해당 세션 기간 동안만 부여됩니다. 이는 조직이 거버넌스를 강화하고 AI 에이전트가 핵심 인프라에 접근하는 방식을 보다 엄격히 통제하도록 돕습니다.”
— Faria와 Phan
Boundary는 비인간 및 에이전트 정체성이 과도한 권한을 갖거나 정적 장기 자격 증명을 다루지 않도록 유사한 원칙을 적용합니다. 또한 소프트웨어는 모니터링, 감사 로그, 세션 녹화를 제공하여 AI 에이전트가 세션 접근 중 수행한 상세 행동을 재생하고 확인할 수 있게 합니다.
동적 자격 증명 브로커링 채택
IBM의 Faria는 원본 블로그에서 The New Stack에게 IBM 2025 데이터 유출 비용 보고서(보고서 링크)가 전 세계 평균 유출 비용이 440만 달러에 달한다는 점을 강조했습니다. 그는 또한 AI 관련 보안 사고를 보고한 조직의 97%가 전용 AI 접근 제어가 없었고, 63%는 AI를 관리하거나 섀도우 AI를 방지할 정책이 없었다고 언급했습니다.
“이러한 통계가 보여주는 위험과 에이전트 침해가 현재 업계에서 가장 빠르게 성장하는 공격 벡터라는 사실은, 에이전트 AI 워크플로우를 위한 견고하고 안전한 인프라 접근 전략을 정의하는 것이 시급함을 보여줍니다.”
— Faria
그는 또한 HashiCorp Vault(Vault 제품 페이지)가 Boundary와 연계될 때 동적 자격 증명 브로커링에서 어떤 역할을 하는지 강조했습니다.
Boundary는 정적 자격 증명 대신 동적 자격 증명을 활용하도록 지원합니다. HashiCorp Vault와 결합하면 Vault의 시크릿 엔진이 사용 후 만료되는 단기 자격 증명을 생성하므로, 동적 자격 증명을 통한 접근이 현실이 됩니다. 설령 자격 증명이 탈취되더라도 사용 기한이 짧아 피해를 입히기 어렵습니다.
하지만 이것만으로 충분할까요?
“에이전트는 비결정적이며 기계 속도로 동작합니다. 이를 억제하려면 생산 환경에 손대기 전에 행동을 제어할 수 있는 강화된 격리 런타임이 필요합니다. 암호화된 정체성, Just‑In‑Time 단기 권한, 그리고 에이전트가 운영될 수 있는 일시적이고 신뢰할 수 있는 런타임—이것이 기준입니다.” – Ev Kontsevoy, Teleport.
불변의 암호화 하드웨어 신뢰 루트
Ev Kontsevoy, AI 인프라 정체성 전문 기업 Teleport(Teleport 홈페이지)의 CEO 겸 공동 설립자는 The New Stack에 Just‑In‑Time 권한과 AI 에이전트에 대한 감사 가능한 제어가 새로운 개념은 아니라고 설명했습니다. 그는 오늘날 모든 에이전트가 “하드웨어 신뢰 루트”(칩 수준에 존재하는 불변의 암호화 키)로 암호화된 자체 정체성을 가져야 한다고 조언합니다.
“인프라 전반에 걸쳐 정책을 일관되게 적용하려면, 소프트웨어 엔지니어링 팀은 인간, 머신, 워크로드, AI 에이전트를 동일한 1급 정체성으로 취급하는 통합 정체성 레이어가 필요합니다.”
— Kontsevoy
그는 또한 현재 서비스 계정과 툴링에서 발생하는 자격 증명 확산이 생산 인프라의 가장 큰 공격 표면 중 하나라고 지적했습니다.
“자격 증명을 더 잘 관리하는 것만으로는 충분하지 않습니다. 자격 증명을 완전히 없애야만 남아있는 권한이나 의도치 않은 행동을 방지할 수 있습니다. 암호화된 정체성, Just‑In‑Time 단기 권한, 그리고 에이전트가 운영될 수 있는 일시적이고 신뢰할 수 있는 런타임—이것