에이전트 AI 시대, 인프라 접근 재검토
출처: HashiCorp Blog
Identity and access management patterns have entered a new phase with the rapid growth of agentic AI adoption. Traditional identity and access management (IAM) models were built with human users and predictable access patterns in mind. However, AI agents operate in a different manner. Agents can reason and invoke tools, accessing services and databases across your infrastructure landscape in unpredictable and dynamic ways.
AI 에이전트가 실험 단계에서 프로덕션 단계로 넘어가면서, 데이터베이스, API, 내부 웹 서비스, 클라우드 플랫폼, 운영 시스템 등 핵심 인프라 자원에 대한 직접 네트워크 접근 권한이 점점 더 많이 부여될 것입니다. 또한, 에이전트에게 장기간 고정된 자격 증명이 부적절하게 제공되고, 관리가 미흡하며, 회전이 거의 이루어지지 않고 감사가 어려운 경우도 우려됩니다. 이는 광범위한 접근 권한과 제한된 감독이 결합된 위험한 상황을 초래합니다. 적절한 가드레일이 없으면 AI 에이전트는 자율적으로 의사결정을 내리거나 행동을 실행해 프로덕션 워크로드에 악영향을 주고, 데이터를 손상시키며, 장애를 일으키거나 민감한 정보를 의도치 않게 노출시킬 수 있습니다. 또한, 환경 전반에 걸친 각 에이전트의 행동에 대한 통합 가시성이 부족하면 보안 및 감사 측면에서도 문제가 됩니다. 많은 조직이 어떤 세션이 활성화되어 있는지, AI 에이전트가 어떤 시스템에 접근하고 있는지, 언제 접근했는지, 어떤 작업을 수행했는지, 정책에서 벗어난 행동을 하는지는 모니터링할 방법이 필요합니다.
The dynamic nature of agentic runtimes changes when access controls need to apply. Identity, authorization, and session control policies can’t be set at deploy time and left alone; they need to be enforced at the time of access. As agentic workloads scale, each agent needs a unique identity and just-in-time (JIT) privileges to ensure that expanding your AI footprint doesn’t also expand your attack surface.
HashiCorp Boundary와 에이전트형 AI 워크플로우
Boundary는 에이전트형 AI 워크플로우에 매우 적합합니다. 인간 사용자의 접근 제어를 위한 기본 기능을 바탕으로, 비인간 및 에이전트 정체성도 과도한 권한을 갖지 않도록 하고, 정적 장기 자격 증명을 다루지 않도록 동일한 원칙을 적용합니다. AI 에이전트가 점점 더 자율적으로 행동하게 되면, Boundary는 보안 및 IT 관리자가 AI 에이전트가 접근할 수 있는 범위를 정확히 제어할 수 있도록 권한을 되돌려 줍니다. 또한, Boundary는 모니터링, 감사 로그, 세션 녹화를 제공하여 세션 접근 중 AI 에이전트가 수행한 상세 행동을 재생하고 확인할 수 있게 합니다. Boundary는 인간, 비인간, AI 에이전트 정체성에 대한 인프라 접근을 전반적으로 제어하고 모니터링할 수 있는 중앙 보안 요소가 됩니다.
JIT 접근
Boundary는 네트워크 자원에 대한 JIT 접근을 제공하면서, 정체성 기반 인가와 역할 기반 접근 제어(RBAC)를 강제합니다. 이는 에이전트형 AI 워크로드에 특히 중요합니다. 왜냐하면 Boundary는 단순히 인증이나 비밀 관리 레이어가 아니라, 프라이빗 호스트와 서비스에 대한 안전한 사용 시점 접근 레이어이기 때문입니다.
Boundary의 인가 흐름을 통해 특정 자원에 대한 접근은 필요할 때만, 특정 작업에 한해, 해당 세션 기간 동안만 부여됩니다. 이는 조직이 거버넌스를 강화하고 AI 에이전트가 핵심 인프라에 접근하는 방식을 보다 엄격히 통제하도록 돕습니다.
동적 자격 증명 및 추상화
수년간 비밀 관리가 발전했음에도 불구하고, 많은 조직이 여전히 정적 자격 증명의 사용을 허용하고 있습니다. 정적 자격 증명은 회전이 빈번하지 않고 여러 팀과 워크로드에 공유되는 경우가 많아 심각한 보안 위험을 초래합니다. Boundary는 이를 두 가지 방법으로 해결합니다.
-
자격 증명 주입 – 자격 증명이 정적이라 하더라도 노출되지 않도록 보장합니다. 세션이 시작될 때 Boundary는 AI 에이전트를 대신해 자격 증명을 세션에 직접 주입함으로써, 에이전트가 자격 증명을 직접 관리하거나 영구 저장하지 않게 합니다. 이렇게 하면 정적 자격 증명이라도 재사용·공유·노출될 가능성이 사라집니다.
-
동적 자격 증명 활용 – Boundary는 정적 자격 증명 대신 최신 동적 자격 증명의 사용을 촉진합니다. HashiCorp Vault와 연동하면 동적 자격 증명을 손쉽게 사용할 수 있습니다. Vault의 비밀 엔진은 사용 후 만료되는 단명(短命) 자격 증명을 생성하므로, 설령 자격 증명이 탈취되더라도 악용이 불가능합니다. AI 에이전트가 인증된 대상에 세션을 시작하면, Boundary는 Vault에서 동적 자격 증명을 자동으로 가져와 세션에 주입합니다. 이는 도구 실행기, MCP 서버, 오케스트레이션 프레임워크 등에 삽입된 비밀이 스택 내 가장 악용되기 쉬운 공격 벡터인 에이전트형 워크로드에서 특히 중요합니다.
세션 중심 제어 플레인
에이전트형 워크플로우에 접근 권한을 제공할 때 조직이 흔히 직면하는 과제는 각 정체성이 접근할 수 있는 세션과 연결을 제어하는 것입니다. 이는 인간 정체성에서도 기존에 존재하던 문제이지만, AI 에이전트가 네트워크 구석구석까지 접근을 시도하면서 더욱 악화되었습니다. 오케스트레이션 프레임워크와 MCP 서버는 에이전트가 도구를 발견하고 호출하도록 돕지만, 인프라 수준의 런타임 접근 제어나 세션 브로커 역할을 하도록 설계되지 않았습니다. 일부 아키텍처는 모든 도구/API 요청을 검사·중재하는 애플리케이션 레이어 게이트웨이에 의존하는데, 이는 에이전트 활동이 확대될수록 복잡성을 추가합니다.
Boundary는 인프라 접근이 설정되기 전, 연결·세션 레이어에서 정체성 인식 인가를 강제합니다. AI 에이전트의 정체성이 인증되면, 해당 에이전트는 사전에 정의된 그룹이나 역할에 배정되어 어떤 인프라 자원에 접근할 수 있는지가 자동으로 결정됩니다. 전체 네트워크는 에이전트로부터 추상화되어, 무제한 네트워크 접근을 방지합니다. 모든 연결은 Boundary 프록시를 거치므로, 인가된 정체성만이 세션을 설정할 수 있습니다.
완전한 가시성 및 감사 가능성
에이전트 수가 기하급수적으로 증가함에 따라 조직은 눈에 보이지 않는 수많은 에이전트가 어떤 접근을 하는지 추적하는 어려움에 직면합니다. 이는 제로 트러스트 적용과 포괄적인 가시성을 매우 중요하게 만듭니다. Boundary는 이미 접근을 관리하고 있기 때문에 AI 에이전트와 이들을 대신하는 인간 정체성 모두에 대한 중앙 집중식 가시성을 제공합니다. 보안·IT 관리 팀은 각 정체성이 수행한 모든 접근을 Boundary를 통해 추적·로그할 수 있습니다. 세션 모니터링을 통해 관리자는 필요 시 실시간 세션을 종료할 수 있으며, 의심스러운 인터랙티브 SSH 접근(다른 프로토콜도 추후 지원) 은 재생하여 분석·조치를 취할 수 있습니다. 이러한 기능은 조직이 AI 에이전트에 더 많은 제어권을 부여하더라도 규정 준수를 유지하도록 보장합니다. 조직은 에이전트형 워크플로우를 프로덕션 환경에 확장하면서, 가장 중요한 인프라가 부적절한 접근으로부터 안전하도록 할 수 있습니다.
예시 사용 사례
사고 대응 로컬 AI 에이전트가 여러 프로덕션 시스템에 접근
일반적인 에이전트형 워크플로우는 알림을 분류하고, 텔레메트리를 수집하며, 적절한 승인 하에 특정 호스트나 자원에 대해 지정된 작업을 수행하는 사고 대응 보조자입니다. 이 시나리오에서 흔히 보이는 위험은 로컬 에이전트가 정적 SSH 키와 기타 자격 증명을 보유하고, 시스템 전반에 걸친 광범위한 접근 권한을 가지고 있다는 점입니다. 오케스트레이션 레이어가 침해되거나 로컬 에이전트가 의도치 않은 자원에 대한 작업을 수행하도록 조작될 경우, 과도한 폭발 반경이 발생할 위험이 있습니다.
Boundary