software

Token Security가 Innovation Sandbox 최종 후보에 올랐습니다. 이것이 AI Agent Governance에 의미하는 바는 다음과 같습니다.

발행: (2026년 3월 18일 AM 11:49 GMT+9)
14 분 소요
원문: Dev.to

Source: Dev.to

Douglas Walseth

개요

RSAC 2026은 Token Security를 10개의 Innovation Sandbox 최종 후보 중 하나로 선정했으며, Day 1(3월 23일)에 발표했습니다. 이 프로그램은 강력한 실적을 가지고 있으며, 이전 수상자에는 Wiz, Apiiro, Abnormal Security가 포함되며, 이들 모두 현재 수십억 달러 규모입니다.

Token Security는 전통적인 의미의 거버넌스 공급업체가 아닙니다. 그들은 비인간 아이덴티티(NHIs)—AI 에이전트, 서비스 계정, API 키, 그리고 기업 인프라에서 인간 사용자보다 빠르게 늘어나고 있는 머신 자격 증명—에 특화된 아이덴티티 보안을 구축하고 있습니다. 그들의 논리는 간단합니다: 기존 IAM은 인간을 위해 설계되었으며, AI 에이전트의 폭발적인 증가는 머신‑first 아이덴티티 아키텍처를 필요로 합니다.

  • Funding: $28 M Series A led by Notable Capital (Jan 2026)
  • Visibility: Innovation Sandbox selection puts them in front of the largest security audience of the year.

What Token Security Actually Does

Token Security의 플랫폼은 AI 에이전트와 NHI(비인간 정체성)의 아이덴티티 레이어에서 작동합니다. 네 가지 핵심 기능을 제공합니다:

  1. Continuous NHI Discovery – 클라우드 인프라 전반에 걸쳐 AI 에이전트와 비인간 정체성을 자동으로 찾아내고, 존재하는 것과 연결된 대상을 매핑합니다.
  2. Contextual Identity Graph – 에이전트, 서비스, 리소스, 권한 간의 관계를 쿼리 가능한 그래프 구조로 시각화합니다.
  3. Permission Drift Detection – 에이전트 권한이 의도된 범위에서 벗어나는 경우를 모니터링하여, 권한 상승이 보안 사고가 되기 전에 포착합니다.
  4. Intent‑Based Access Controls – 정적 역할 할당이 아니라 에이전트가 수행해야 할 작업을 기준으로 접근을 허용하거나 제한합니다.

또한 MCP 서버와 통합되어 에이전트 툴체인 레이어—에이전트가 사용하는 도구와 해당 도구가 접근하는 리소스—에 대한 가시성을 제공합니다.

RSA를 앞두고 진행한 콘텐츠 마케팅은 특히 공격적이었습니다: 한 주에 10개 이상의 블로그 포스트를 게시했으며, 각각은 NHI 보안 내러티브의 다른 세그먼트를 목표로 했습니다. 이는 마케팅 성숙도와 Innovation Sandbox 피치에 대한 자신감을 동시에 보여주는 정교한 시장 진입 실행이라 할 수 있습니다.

The Question Token Security Answers — And the One It Does Not

Token Security answers a critical question:

“Who are your AI agents, and what can they access?”

이것은 실제 문제입니다. 대부분의 조직은 비인간 정체성(NHI)에 대한 인벤토리가 없습니다. AI 에이전트는 아무도 추적하지 않는 자격 증명으로 스핀업됩니다. 권한 확산이 조용히 발생합니다. 보안 팀이 “어떤 에이전트가 프로덕션 데이터에 접근할 수 있나요?” 라고 물으면, 보통 답변이 없습니다.

Token Security는 그 답을 제공합니다. 그들의 아이덴티티 그래프와 지속적인 탐지는 NHI 거버넌스를 불가능하게 만드는 가시성 격차를 해결합니다. 이는 가치 있고 필수적인 작업입니다.

하지만 아이덴티티 거버넌스가 다루지 못하는 두 번째 질문이 있습니다:

“에이전트가 그 접근 권한을 가지고 무엇을 할 것이며, 위반을 어떻게 방지할 것인가?”

AI 에이전트는 Token Security의 아이덴티티 그래프에서 완전히 발견될 수 있고, 올바르게 범위가 지정된 권한을 가질 수 있으며, 모든 NHI 컴플라이언스 검사를 통과할 수 있습니다—그럼에도 컴플라이언스 정책을 위반하는 출력을 생성할 수 있습니다. 행동 제약 조건에서 벗어나거나 수정하는 코드베이스에 거버넌스 퇴행을 도입할 수 있습니다. 아이덴티티 검증은 올바른 에이전트가 올바른 접근 권한을 갖고 있음을 보장하지만, 그 에이전트가 그 접근 권한을 올바르게 사용하는지는 보장하지 않습니다.

이것이 아이덴티티‑행동 격차입니다. Token Security는 아이덴티티 레이어에서 작동하고, 행동 강제는 제약 레이어에서 작동합니다. 이는 서로 다른 문제이며 서로 다른 아키텍처를 필요로 합니다.

Identity Layer vs. Behavioral Layer

LayerTypical Failures
Identity layer (Token Security)• 프로덕션 인프라에서 작동하는 알 수 없는 에이전트
• 과도한 권한을 가진 오래된 자격 증명
• NHI 인구 전반에 걸친 권한 확산
• 어떤 에이전트가 존재하고 무엇에 연결되는지에 대한 감사 추적이 없음
Behavioral layer (Walseth AI)• 규정 정책을 위반하는 출력을 생성하는 에이전트
• 에이전트 행동이 의도와 달라지는 컨텍스트 드리프트
• 코드 변경으로 거버넌스 제어가 약화될 때 제약 회귀
• 런타임 이전에 위반 클래스를 구조적으로 방지하지 않음

완벽한 아이덴티티 거버넌스를 갖추어도 행동 실패가 발생할 수 있습니다. 반대로, 완벽한 행동 시행을 갖추어도 NHI 가시성 격차가 남을 수 있습니다. 기업은 계층 모두가 필요합니다.

혁신 샌드박스가 시장에 의미하는 바

혁신 샌드박스 선정은 NHI 보안이 이제 RSA에서 일류 카테고리로 인정받으며, 기존 IAM 내의 틈새가 아니라는 것을 검증합니다. 이는 다음 세 가지 이유 때문에 중요합니다:

  1. 가시성 – 혁신 샌드박스 최종 후보자는 5 백만 달러 이상에 해당하는 언론 노출을 얻습니다. 3월 23일 Token Security의 발표는 RSA에 참석한 모든 CISO, 보안 아키텍트, 기업 구매자를 대상으로 NHI 아이덴티티 보안을 앞에 놓습니다. “Token Security”, “NHI security” 및 관련 키워드에 대한 검색량은 그 주에 급증할 것입니다.
  2. 검증 – 카테고리 리더가 되는 기업을 선정해 온 프로그램의 실적은 심사위원들이 NHI 아이덴티티를 실제로 투자 가능하고 확장 가능한 시장으로 보고 있음을 시사합니다. 이는 아이덴티티 레이어에 대한 투자와 경쟁을 더욱 촉진합니다.
  3. 보완적 포지셔닝 – AI 에이전트 보안을 평가하는 조직에게 Token Security의 혁신 샌드박스 참여는 두 층 구조를 명확히 합니다:
    • 아이덴티티 거버넌스 – 에이전트가 누구이며 무엇에 접근할 수 있는가.
    • 행동 집행 – 에이전트가 무엇을 수행하고 어떻게 규정을 준수하는가.

두 레이어를 모두 도입하는 기업은 급속히 확대되는 비인간 아이덴티티의 우주를 보다 효과적으로 보호할 수 있게 됩니다.

Prepared by Douglas Walseth
dev.to/douglasrw

Source:

NHI 탐색을 위한 정체성은 여전히 발견된 에이전트에 대한 행동 제약이 필요합니다

기업이 필요로 하는 두‑계층 아키텍처

가장 강력한 AI‑에이전트 보안 태세는 계층을 모두 결합합니다:

  • 토큰 보안 – 모든 에이전트를 발견하고, 모든 권한을 매핑하며, 모든 정체성 변화를 감지합니다.
  • 행동 강제 – 발견된 모든 에이전트가 정책을 준수하고, 컨텍스트 무결성을 유지하며, 거버넌스에 부합하는 결과물을 생성하도록 보장합니다.

두 계층 중 하나만으로는 충분하지 않습니다.
행동 제약이 없는 정체성은 에이전트가 누구인지는 알지만 그들의 행동을 막을 수 없다는 의미입니다.
정체성 관리가 없는 행동 제약은 에이전트 행동을 통제하지만 전체 NHI 표면을 파악할 수 없다는 의미입니다.

우리의 enforcement ladder는 서면 문서부터 자동화된 훅에 이르는 다섯 단계로 운영되며, 각 단계는 이전 단계 위에 겹쳐집니다. 이 구성 단계에서 방지(prevent‑by‑construction) 접근 방식은 위반 클래스를 런타임에 도달하기 전에 제거합니다—정체성 거버넌스가 다루지 못하는 정확한 계층입니다.

RSA에서 주목할 내용

Token Security3월 23일에 Innovation Sandbox 심사위원 앞에서 발표합니다. 다음 사항에 주목하세요:

  • 기존 IAM 벤더와 비교했을 때 NHI 탐지를 어떻게 포지셔닝하는지 (특히 기업 아이덴티티 측면에서 NHI 거버넌스를 목표로 하는 Okta for AI Agents와의 관계).
  • 발표가 행동 격차를 다루는지, 아니면 아이덴티티에만 집중하는지.
  • 에이전트가 탐지되고 권한이 부여된 후에 어떤 일이 일어나는지에 대한 청중 질문.

RSA에 참가하는 모든 AI‑거버넌스 벤더를 비교한 전체 표는 우리의 벤더 맵에서 확인할 수 있습니다. 행동 시행이 여러분의 저장소에 어떻게 점수를 매기는지 확인하려면, 무료 스캐너를 실행하거나 AI 거버넌스 리더보드를 살펴보세요.

관련 자료: 자세한 기능 비교는 Walseth AI vs Token Security를 참고하세요.

원문은 walseth.ai에서 처음 게시되었습니다.

0 조회
#software #programming #community
원문 보기
Share:
Back to Blog

관련 글

더 보기 »