“위험한 조합”: AI 에이전트 워크플로를 ‘오염시킬’ 수 있는 두 요인
출처: The New Stack
거의 모든 직장인의 업무 경험이 이제 우리가 매일 사용하는 애플리케이션을 통해 AI 에이전트 기반 행동을 맞이하도록 설정되어 있으며, 이러한 급속한 진화는 신원 및 접근 관리(IAM) 방식에 심각한 영향을 미칩니다.
전통적인 IAM 모델은 인간 사용자와 그들의 예측 가능한 접근 패턴을 염두에 두고 설계되었지만, AI 에이전트는 전혀 다른 방식으로 작동합니다.
AI 에이전트는 비즈니스 분석이 이사회 수준 관리 대시보드에 전달되는 방식을 빠르게 추론할 수 있고, 새로운 API 연결을 만들거나 데이터베이스를 업데이트하거나 새로운 소프트웨어 스크립트를 실행하는 도구를 호출할 수 있으며, 조직 인프라와 전체 소프트웨어 스택에 걸쳐 다른 소프트웨어 서비스와 데이터 자원을 동적이고 연속적이며 때로는 예측 불가능한 방식으로 접근할 수 있습니다.
클라우드 인프라 자동화 및 보안 기업 HashiCorp 은 오랫동안 에이전트 시대에 대응할 수 있는 IAM 서비스를 제공하려고 노력해 왔습니다.
지난해 2월 IBM에 인수되기 전(IBM이 HashiCorp를 다중 클라우드 IT 자동화를 위해 인수), HashiCorp는 2020년에 Boundary 를 오픈소스 프로젝트로 선보였으며, 이는 소프트웨어 엔지니어가 직접 네트워크에 접근하지 않고도 세밀한 권한 부여를 통해 동적 호스트와 서비스에 안전하게 접근할 수 있게 해줍니다.
IBM 수석 솔루션 엔지니어 Andre Faria 와 HashiCorp 수석 기술 제품 마케팅 매니저 Van Phan 가 6월 4일에 블로그 를 올려, 에이전트가 이제 실운영 시스템에 투입되면서 내부 웹 서비스, 클라우드 플랫폼, 기타 운영 시스템과 같은 “핵심 인프라 자원” 에 접근하게 된다고 설명했습니다.
두 사람은 에이전트에게 관리가 부실하고 오래된 정적 자격 증명이 제공될 경우, 이는 회전이 거의 이루어지지 않고 감사가 어려워 우려된다고 지적했습니다.
관리가 부실한 자격 증명: “위험한 조합”
“이는 광범위한 접근 권한과 제한된 감독이라는 위험한 조합을 만들게 됩니다. 적절한 가드레일이 없으면 AI 에이전트가 자율적으로 결정을 내리거나 행동을 실행해 생산 워크로드에 부정적인 영향을 주고, 데이터를 손상시키며, 장애를 일으키거나 민감한 정보를 의도치 않게 노출시킬 수 있습니다.” — Faria와 Phan
그들은 또한 조직이 어떤 세션이 활성화되어 있는지, AI 에이전트가 어떤 시스템에 접근했는지, 언제 접근했는지, 어떤 행동을 수행했는지, 그리고 그 행동이 정책에서 벗어났는지를 모니터링할 수 있는 방법이 필요하다고 강조했습니다.
에이전트 런타임과 개별 실행 행동은 본질적으로 유동적이고 변하기 쉬우므로, 배포 시점에 신원 관리, 권한 부여 및 세션 제어 정책을 설정할 수 없습니다 — 모든 에이전트는 고유한 신원과 Just‑In‑Time(JIT) 권한을 가져야 하며, 이는 안전한 사용 시점 접근 레이어 역할을 합니다.
이제는 Just‑In‑Time의 시대
에이전트 런타임과 개별 실행 행동이 본질적으로 유동적이고 변하기 쉬우므로, 배포 시점에 신원 관리, 권한 부여 및 세션 제어 정책 을 설정할 수 없습니다. 모든 에이전트는 고유한 신원과 Just‑In‑Time(JIT) 권한(제로 트러스트 기반 비밀 관리 기법으로, 안전한 사용 시점 접근 레이어 역할)을 가져야 하며, 이를 통해 소프트웨어 시스템이 규모가 커지면서 취약해지거나 공격에 노출되는 것을 방지할 수 있습니다.
“Boundary의 권한 부여 흐름에서는 특정 리소스에 대한 접근이 필요할 때만, 특정 작업에 한해, 그 세션 기간 동안만 부여됩니다. 이는 조직이 거버넌스를 강화하고 AI 에이전트가 핵심 인프라에 접근하는 방식을 보다 엄격히 통제하도록 돕습니다.” — Faria와 Phan
Boundary는 인간이 아닌 에이전트 신원이 과도한 권한을 갖지 않도록 하고, 정적이고 장기적인 자격 증명을 다루지 않도록 동일한 원칙을 적용합니다. 또한 이 소프트웨어는 모니터링, 감사 로그, 세션 녹화 기능을 제공해 AI 에이전트가 세션 접근 중 수행한 상세 행동을 재생하고 확인할 수 있게 합니다.
동적 자격 증명 브로커링 도입
원본 블로그에서 IBM의 Faria는 The New Stack에 IBM 2025 데이터 유출 비용 보고서 가 전 세계 평균 데이터 유출 비용이 440만 달러에 달한다는 사실을 인용했습니다. 그는 또한 AI 관련 보안 사고를 보고한 조직의 **97%**가 전용 AI 접근 제어를 갖추지 못했으며, **63%**는 AI 거버넌스 정책 자체가 없었다고 밝혔습니다.
“이러한 통계가 보여주는 위험성과 에이전트 침해가 현재 업계에서 가장 빠르게 성장하는 공격 벡터라는 사실은, 에이전트 AI 워크플로우를 위한 견고하고 안전한 인프라 접근 전략을 정의하는 것이 시급함을 입증합니다.” — Faria
그는 또한 HashiCorp Vault 가 Boundary와 연계될 때 동적 자격 증명 브로커링에서 수행하는 역할을 강조했습니다.
Boundary는 정적 자격 증명 대신 동적 자격 증명 사용을 촉진합니다. Vault와 결합하면, Vault의 비밀 엔진이 짧은 수명의 자격 증명을 생성해 사용 후 자동으로 만료됩니다. 설령 자격 증명이 탈취되더라도, 이미 사용된 뒤라면 손상을 입히는 데 사용할 수 없습니다.
하지만 이것만으로 충분할까요?
“에이전트는 비결정적이며 기계 속도로 작동합니다. 이를 제어하려면, 생산 환경에 손을 대기 전에 행동을 관리할 수 있는 경화된 격리 런타임이 필요합니다. 암호화된 신원, Just‑In‑Time, 짧은 수명의 권한, 그리고 에이전트가 운영될 일시적이고 신뢰할 수 있는 런타임—이것이 기준입니다.” — Ev Kontsevoy, Teleport
불변의 암호화 하드웨어 신뢰 루트
AI 인프라 신원 전문 기업 Teleport 의 CEO 겸 공동 설립자 Ev Kontsevoy 는 The New Stack에 Just‑In‑Time 권한과 AI 에이전트에 대한 감사 가능한 제어가 새로운 개념은 아니라고 설명했습니다. 그는 오늘날 모든 에이전트는 “하드웨어 신뢰 루트”(hardware root of trust) 로 보호되는 자체 암호화 신원을 가져야 한다고 조언합니다. 이는 칩 수준에 존재하는 불변의 암호화 키를 의미합니다.
“인프라 전반에 걸쳐 정책을 일관되게 적용하려면, 소프트웨어 엔지니어링 팀이 통합 신원 레이어를 가져야 합니다. 이 레이어는 인간, 기계, 워크로드, AI 에이전트를 동일한 1급 신원으로 취급합니다.” — Kontsevoy
그는 또한 현재 운영 중인 서비스 계정과 도구에서 자격 증명 스프롤이 생산 인프라의 가장 큰 공격 표면 중 하나라고 지적했습니다.
“자격 증명을 더 잘 관리하는 것만으로는 충분하지 않습니다. 자격 증명을 완전히 제거해 더 이상 지속적인 권한이나 의도치 않은 행동을 일으키지 못하도록 해야 합니다. 암호화된 신원, Just‑In‑Time, 짧은 수명의 권한, 그리고 에이전트가 운영될 일시적이고 신뢰할 수 있는 런타임—이것이 기준입니다.” — Kontsevoy
“개발자와 에이전트 신원은 인프라를 프로비저닝하고, 비밀을 가져오며, 파이프라인을 트리거하고, 데이터 스토어를 조회하거나 다른 서비스로부터 신뢰를 물려받을 수 있기 때문에, 중요한 시스템에 대한 공격 경로에 자주 놓이게 됩니다.” — Justin Kohler, SpecterOps
중요한 시스템에 대한 공격 경로 정의
에이전트 접근과 행동을 신원 서비스로 제어하려는 과정에서, 우리는 신원 자체가 클라우드, 개발, 생산 환경 전반에 걸쳐 작용할 수 있다는 점을 간과하고 있을지도 모