기업 내부 AI 에이전트의 급격하고 통제되지 않은 성장은 생산성 향상과 보안 및 비용 리스크 증가를 대립시키는 복합적인 새로운 문제를 야기하고 있습니다.
뒤로
AI 에이전트 무분별 확산, 15만 개 이상의 기업용 봇에 새로운 리스크 초래
자율형 AI 에이전트의 급격한 확산으로 향후 2년 내 일반적인 포춘 500대 기업에서 평균 15만 개의 봇이 운영될 것으로 예상되는 가운데, 생산성 향상을 저해할 수 있는 심각한 관리 및 사이버 보안 과제가 부상하고 있습니다.
매그넘 아이스크림(Magnum Ice Cream)의 미주 지역 CIO인 마이클 프리들랜더(Michael Friedlander)는 월스트리트저널(WSJ)과의 인터뷰에서 "누구나 할 수 있기 때문에 결국 많은 사람이 동일한 유형의 에이전트를 갖게 될 것"이라며 문제의 탈중앙화된 특성을 강조했습니다.
Lyft, DaVita, Fair Isaac(FICO)과 같은 기업들은 Anthropic의 Claude Cowork와 같은 플랫폼을 통해 봇 제작이 용이해짐에 따라 발생하는 이러한 'AI 에이전트 확산' 문제를 이미 겪고 있습니다. 신장 관리 전문 기업 DaVita의 직원들은 이미 1만 개 이상의 AI 에이전트를 생성했습니다. 시장 조사 기관 가트너(Gartner)에 따르면 현재 적절한 AI 에이전트 거버넌스를 갖추고 있다고 믿는 조직은 13%에 불과합니다.
이러한 거버넌스 부재는 심각한 재무 및 보안 리스크를 초래합니다. 중복된 에이전트는 컴퓨팅 비용을 증가시키고, 잘못 설정된 봇은 민감한 내부 시스템을 노출시킵니다. 마이크로소프트는 이러한 취약점이 이미 공격자들에 의해 활발히 악용되고 있다고 보고했습니다.
AI 민주화의 양날의 검
문제의 핵심은 AI 도구를 매력적으로 만드는 접근성 그 자체에서 비롯됩니다. Anthropic과 같은 기업의 플랫폼과 OpenClaw, Microsoft의 AutoGen Studio와 같은 오픈 소스 프레임워크 덕분에 비기술직 직원들도 이메일 요약, 코드 작성, 데이터 분석과 같은 작업을 위한 에이전트를 쉽게 구축하고 배포할 수 있습니다. FICO의 CIO인 마이크 트케이(Mike Trkay)는 회사 전체 계층에 걸쳐 매일 수십 개의 새로운 에이전트가 생성되고 있다고 밝혔습니다.
이것이 혁신을 촉진할 수 있지만 동시에 혼란을 야기합니다. 여러 에이전트가 동일한 작업을 수행하여 토큰 및 컴퓨팅 비용을 불필요하게 높일 수 있습니다. 더 심각한 것은 동일한 데이터에서 상충하는 결과를 생성하여 의사 결정을 저해할 수 있다는 점입니다. 이를 관리하기 위해 DaVita는 토큰 비용을 관리하고 성과가 저조한 에이전트를 억제하는 내부 플랫폼을 개발했으며, Lyft는 IT 제어 기능을 갖춘 중앙 집중식 플랫폼을 구축하고 있습니다.
확산에서 악용 가능한 설정 오류까지
통제되지 않은 에이전트 증가의 가장 심각한 리스크는 사이버 보안에 있습니다. Microsoft Defender for Cloud 연구에 따르면, 많은 AI 배포가 인증이 취약하거나 없는 상태로 Kubernetes와 같은 클라우드 네이티브 플랫폼에 성급하게 투입되고 있습니다. 이러한 '악용 가능한 설정 오류'는 저비용 고효율의 공격 경로를 생성합니다.
연구원들은 널리 사용되는 오픈 소스 AI 도구가 안전하지 않은 기본 설정으로 배포된 사례를 발견했습니다. 데이터 및 AI 파이프라인 플랫폼인 Mage AI는 인증이 없는 웹 UI를 노출하여 클러스터 관리자 권한으로 임의의 코드를 실행할 수 있는 것으로 나타났습니다. 이 문제는 이후 패치되었으나 실제 공격에 악용되는 것이 관찰되었습니다. 마찬가지로 Kubernetes에서 AI 에이전트를 실행하기 위한 kagent 프레임워크도 기본적으로 인증 기능이 부족하여 애플리케이션이 외부에 노출될 경우 익명 사용자가 악성 워크로드를 배포할 수 있는 것으로 밝혀졌습니다.
이러한 취약점을 통해 공격자는 정교한 제로데이 취약점 없이도 원격 코드 실행을 달성하고, 자격 증명을 훔치며, 민감한 내부 도구 및 데이터에 액세스할 수 있습니다. 마이크로소프트는 에이전트가 외부 도구와 상호 작용할 수 있게 해주는 모델 컨텍스트 프로토콜(MCP) 서버 중 원격 배포된 서버의 15%가 안전하지 않아 내부 HR 시스템 및 비공개 코드 저장소에 대한 비인증 액세스를 허용하고 있음을 발견했습니다.
에이전트 보안을 위한 '심층 방어' 전략
확산에 대응하기 위해 보안 전문가들은 구축자가 가장 많은 권한을 갖는 애플리케이션 계층에 집중한 '심층 방어(Defense in Depth)' 전략을 권장합니다. 이 접근 방식은 AI 모델 자체의 확률적 안전 기능에 의존하는 것을 넘어 에이전트 구축 및 거버넌스 방식에 구조적 통제를 구현합니다.
마이크로소프트 보안 아키텍트들은 네 가지 핵심 설계 패턴을 옹호합니다. 첫째, 에이전트를 마이크로서비스처럼 설계하여 좁은 책임 범위와 격리된 권한을 부여함으로써 단일 침해의 피해 범위(blast radius)를 제한하는 것입니다. 이는 한 봇이 너무 광범위한 액세스 권한을 갖는 '만능 에이전트' 실패 모드에 대응합니다.
둘째는 최소 권한 원칙(least privilege)을 시행하는 것으로, 에이전트는 권한이 없는 상태에서 시작하여 특정 작업에 필요한 도구와 데이터에 대해서만 명시적으로 액세스 권한을 부여받아야 합니다. 셋째, 위험도가 높은 결정에 대해 결정론적인 사람 참여(human-in-the-loop, HITL) 검토를 구현하는 것입니다. 결정적으로, 사람의 검토를 유도하는 트리거는 코드에 정의되고 애플리케이션에 의해 강제되어야 하며 에이전트 자신의 판단에 맡겨져서는 안 됩니다.
마지막으로 에이전트 ID를 핵심 보안 프리미티브로 설정하는 것이 중요합니다. 각 에이전트는 이를 생성한 사용자와 분리된 고유하고 검증 가능한 ID를 가져야 합니다. 이를 통해 세분화된 권한 부여, 수명 주기 거버넌스 및 명확한 감사 추적이 가능해지며, 수천 개의 에이전트가 배포되더라도 그 활동을 추적, 관리하고 필요한 경우 취소할 수 있습니다.
이 기사는 정보 제공만을 목적으로 하며 투자 조언을 구성하지 않습니다.
