Zero Trust 에이전틱 AI 아키텍처: 가드레일 뒤에서 자율성 설계

Source: Dev.to

소개

에이전트형 AI 시스템은 새로운 수준의 자율성을 약속합니다. 에이전트는 최소한의 인간 개입으로 도구와 시스템 전반에 걸쳐 추론하고, 계획하고, 협업하며, 행동할 수 있습니다. 그러나 이러한 자율성은 기업에 어려운 현실을 제시합니다: 결정론적 마이크로서비스에 적용되던 보안 모델은 자율 에이전트에게는 적용되지 않습니다.

팀이 가장 크게 저지르는 실수는 지능이 능력 있어 보이면 암묵적으로 신뢰할 수 있다고 가정하는 것입니다. 프로덕션 시스템에서 그 가정은 위험합니다.

현재 보안 접근 방식의 문제점

많은 보안 논의는 에이전트형 AI에 대해 다음에 초점을 맞춥니다:

• 프롬프트 강화
• 에이전트 수준 가드레일
• 실행 후 모니터링

실제로 이러한 접근 방식은 프로덕션 환경에서 어려움을 겪습니다. 필요한 것은 더 똑똑한 에이전트가 아니라 자율성이 시작되는 지점과 멈춰야 하는 지점을 정의하는 명확한 아키텍처 경계입니다.

에이전트형 AI가 고전적인 기업 보안 가정을 깨는 방법

고전적인 기업 보안 모델은 다음을 가정합니다:

1. 예측 가능한 실행 경로
2. 안정적인 서비스 아이덴티티
3. 제한된 의사결정 권한

에이전트형 AI는 이 세 가지 모두를 깨뜨립니다:

• 에이전트는 런타임에 어떤 도구를 호출할지 결정할 수 있습니다.
• 도메인 간에 작업을 연쇄적으로 수행할 수 있습니다.
• 컨텍스트와 메모리를 기반으로 행동을 조정하여, 명시적으로 설계되지 않은 새로운 실행 경로를 생성합니다.

보안이 에이전트 내부에 내장되거나 프롬프트를 통해 암묵적으로 처리될 경우, 시스템은 다음과 같이 됩니다:

• 이해하기 어려움
• 감사가 불가능함
• 프롬프트 인젝션 및 권한 상승에 취약함
• 운영적으로 취약하고 비용이 많이 듦

이는 AI 문제라기보다 보안 아키텍처 문제입니다.

Zero Trust를 Agentic AI의 기반으로

Zero Trust는 기본 전제가 “기본적으로 아무 것도 신뢰되지 않는다, 내부 구성 요소조차도”라는 단순한 전제에서 시작합니다. 이를 Agentic AI에 적용하면 다음과 같습니다:

• 에이전트는 신뢰되지 않는 워크로드입니다.
• 정체성은 가정되지 않고 발급됩니다.
• 권한 부여는 정적인 것이 아니라 지속적입니다.
• 실행은 직접적인 것이 아니라 중재됩니다.

가장 중요한 점은 보안 결정이 에이전트에게 속하지 않는다는 것입니다.

책임을 플랫폼으로 전환

Zero Trust Agentic AI 설계에서는 보안 집행이 에이전트가 행동하도록 허용되기 전에 이루어집니다. 정체성과 권한 부여는 에이전트가 아니라 플랫폼의 책임이 됩니다. 그 결과, 에이전트 AI 시스템은 이해하기 쉽고, 운영 및 감시가 용이해집니다.

아키텍처 개요

User / External Event
   ↓
Identity Provider
   ↓
Scoped Identity & Permissions
   ↓
Policy Engine
   ↓
Agent Runtime
   ↓
LLM Reasoning
   ↓
Tool Gateway
   ↓
Enterprise APIs
   ↓
Audit & Observability

핵심 요소

1. 플랫폼‑소유 아이덴티티 – 아이덴티티는 에이전트 런타임 외부에서 단기간, 범위가 지정된 자격 증명을 사용해 강제됩니다. 이를 통해 에이전트가 오작동하거나 실패할 경우 즉시 권한을 회수하고 안전하게 종료할 수 있습니다.
2. 정책‑기반 자율성 – 정책은 에이전트가 호출할 수 있는 도구, 접근 가능한 데이터 도메인, 적용되는 실행 또는 비용 제한을 정의합니다. 이러한 검사는 행동 이후가 아니라 이전에 수행됩니다.
3. 추론은 권한이 아니다 – LLM은 에이전트가 무엇을 하고 싶은지 결정하는 데 도움을 주지만, 무엇을 할 수 있는지는 결정하지 않습니다. 추론 결과를 의도로 간주하면 프롬프트 기반 권한 상승을 방지할 수 있습니다.
4. 중재된 실행 – 모든 외부 작업은 검증, 허용 목록, 속도 제한 및 환경 격리를 적용하는 제어된 도구 게이트웨이를 통과합니다. 에이전트와 기업 시스템 사이에 직접적인 경로는 없습니다.

실패를 위한 설계

Agents will misreason, loop, exceed cost thresholds, or attempt disallowed actions. A Zero Trust architecture expects this and responds safely by:

• Denying execution
• Revoking identity
• Terminating the agent
• Preserving audit trails

Many Agentic AI designs focus only on the happy path. Production systems must also handle denial paths explicitly.

Positive vs. Negative Flows

A robust architecture supports:

• Positive flows where identity and policy allow execution.
• Negative flows where actions are denied safely and predictably.

If denial paths are not designed intentionally, they will appear implicitly—and often dangerously.

가드레일이 적용된 자율성의 이점

• 행동이 예측 가능해짐
• 비용이 제어 가능해짐
• 컴플라이언스가 입증 가능해짐
• 신뢰가 강제 가능해짐

이것이 에이전틱 AI가 실험 단계에서 생산 단계로 전환되는 방식입니다.

결론

에이전트 AI는 자율성을 증가시키지만, 동시에 건축적 규율의 필요성도 증가시킵니다. 제로 트러스트는 지능을 제한하는 것이 아니라, 가드레일 뒤에서 자율성을 신중하게 설계하여 지능형 행동이 안전하게 확장될 수 있도록 하는 것입니다.