기업의 AI 도입 방식이 근본적으로 달라지고 있습니다. 단순한 챗봇이나 코드 보조 도구의 단계를 넘어, 이제 AI는 데이터를 읽고 툴을 호출하며 스스로 판단해 실행하는 에이전트로 진화하고 있습니다. Microsoft 2025 Work Trend Index에 따르면 경영진의 81%가 향후 12~18개월 안에 AI 에이전트를 전략에 통합할 계획이며, 이미 조직 전반에 배포를 완료한 비율도 24%에 달합니다. 그런데 이 전환은 기업 보안 체계에 전혀 다른 성격의 문제를 불러옵니다. AI 에이전트가 조직 내부에서 실제로 작동하기 시작하는 순간, 기존의 아이덴티티·접근 관리(IAM) 체계가 전제로 삼아 온 구조 자체가 흔들립니다. Gartner는 현재 머신 아이덴티티와 휴먼 아이덴티티의 비율이 45대 1에 달한다고 발표했으며, AI 에이전트의 확산은 이 불균형을 더욱 빠르게 가속시키고 있습니다.
기존 IAM이 에이전트에 통하지 않는 이유
전통적인 IAM은 사람을 중심으로 설계되었습니다. 예측 가능한 패턴과 행동을 전제로, 역할(role)을 통해 접근 권한을 부여하고 주기적으로 검토하는 방식입니다. 이 체계는 클라우드 전환과 자동화가 확산되는 과정에서도 큰 틀을 유지해 왔습니다.
AI 에이전트는 이 전제를 정면으로 무너뜨립니다. 에이전트는 다양한 툴·데이터베이스·API에 걸쳐 자율적으로 행동하며, 다른 에이전트를 직접 호출하는 것도 가능합니다. 이 유연성이 에이전트가 제공하는 가치의 핵심이지만, 보안 관점에서 보면 접근 경로가 한 번의 실행에서 다음 실행으로 예측 없이 바뀐다는 것을 의미합니다. 정해진 패턴이 없는 환경에서 정적 IAM 모델은 빠르게 한계를 드러냅니다.
2025 HashiCorp 클라우드 복잡성 보고서는 조직의 97%가 클라우드 환경을 관리하기 위해 복수의 툴이나 서비스를 사용하고 있다고 밝혔으며, 73%는 플랫폼 엔지니어링과 보안이 통합된 기능으로 작동하지 않는다고 답했습니다. 에이전틱 AI의 확산은 이미 복잡한 이 환경 위에 새로운 복잡성을 더하고 있습니다.
에이전틱 AI 환경에서 반복적으로 나타나는 4가지 위험
현재 산업 전반의 AI 워크플로에서 공통적으로 관찰되는 구조적 위험은 네 가지입니다.
첫 번째는 가시성 없는 과잉 권한입니다. 에이전트는 필요 이상의 접근 권한을 축적하는 경향이 있습니다. 사람이 애플리케이션을 호출하고, 그 애플리케이션이 AI 에이전트를 호출하며, 에이전트가 다시 다른 에이전트를 호출하는 다계층 구조에서 권한은 체인을 따라 흘러 내려갑니다. 대부분의 환경에서 이 전체 체인을 명확히 파악하고 있는 팀은 없습니다. 결과적으로 에이전트가 수행할 수 있는 모든 작업을 수용하기 위해 권한이 과도하게 부여되며, 에이전트가 침해되거나 조작될 경우 피해 범위(blast radius)가 매우 커집니다.
두 번째는 실시간 정책 적용의 부재입니다. AI 에이전트가 툴을 호출하거나 데이터베이스를 조회하거나 시스템을 수정하는 시점에 정책이 실제로 적용되어야 합니다. 그러나 많은 팀이 이 점검이 이미 다른 계층에서 처리되고 있다고 가정하며, 실제로는 해당 검사가 존재하지 않는 경우가 대부분입니다. 이것이 대부분의 조직에서 엔드-투-엔드 보안이 실패하는 지점입니다.
세 번째는 위임 행위의 비가시성입니다. 대다수 조직은 에이전트가 자신을 호출한 사람의 아이덴티티를 그대로 사용해 작업을 수행하도록 허용합니다. 이 방식은 구현이 간편하지만 감사 추적을 깨뜨리고 위임 사실을 숨깁니다. 어떤 행위가 사람이 직접 한 것인지, 에이전트가 수행한 것인지 구분할 수 없게 되고, 보안팀이 사고를 조사할 때 책임 소재를 명확히 할 수 없습니다.
네 번째는 책임 귀속의 부재입니다. 에이전트별 고유 아이덴티티, 런타임 정책 검사, 상세 로깅 없이는 "이 작업을 누가 승인했는가", "어떤 에이전트가 실행했는가", "어떤 권한으로 처리됐는가"라는 질문에 답할 수 없습니다. 이는 보안팀만의 문제가 아니라 감사인과 규제 기관이 요구하는 기본 통제 사항입니다. IBM 2025 데이터 침해 비용 보고서에 따르면, AI 관련 보안 사고를 경험한 조직의 97%가 AI 전용 접근 통제 체계를 갖추지 않은 상태였으며, 63%는 AI 거버넌스 정책 자체가 존재하지 않았습니다.
에이전틱 AI 보안을 위한 5가지 구현 원칙
에이전틱 AI 전략을 안전하게 구축하기 위해 각 조직이 반드시 수립해야 할 구현 원칙은 다음과 같습니다.
첫째, 모든 에이전트를 등록하고 고유 아이덴티티를 부여해야 합니다. 공유 키나 서비스 계정을 사용하거나 사람의 아이덴티티 뒤에 숨는 방식은 허용되지 않아야 합니다. mTLS, SPIFFE, 혹은 클라우드 프로바이더 아이덴티티를 활용해 각 에이전트에 암호학적으로 검증 가능한 아이덴티티를 발급해야 합니다.
둘째, 상시 부여된 권한(standing privilege)을 제거해야 합니다. 최소 권한 원칙은 기존 접근 권한을 취소하는 것에서 시작합니다. 실행 체인 전반에 걸쳐 특정 TTL(유효 시간)이 설정된 JIT(Just-In-Time) 동적 자격증명을 제공하는 시스템은 에이전트가 침해됐을 때의 피해 범위를 획기적으로 줄입니다.
셋째, 에이전트의 행위를 사람의 의도와 연결해야 합니다. 사용자별 데이터나 관리 작업이 포함된 요청에서는 시스템이 사용자 컨텍스트·동의·위임을 명시적으로 캡처해야 합니다. "에이전트 X가 이 작업을 할 수 있다"는 막연한 서술이 아니라 "에이전트 X가 사용자 Y를 위해 목적 Z를 위한 세션 B 동안 이 작업을 할 수 있다"는 수준으로 행위를 의도에 귀속시켜야 합니다.
넷째, 사용 시점에서 정책을 강제 적용해야 합니다. 모든 API 호출·쿼리·툴 호출은 런타임에 정책에 따라 검증되어야 합니다. 에이전트가 특정 시스템이나 리소스에 접근할 권한이 없다면 해당 요청은 거부되어야 하며, 이 검사는 로그인이나 배포 시점이 아닌 실제 행위가 실행되기 직전에 이루어져야 합니다.
다섯째, 통제의 증거를 생성해야 합니다. 보안팀에는 가정이 아닌 증거가 필요합니다. 감사 추적은 질문에 신속하게 답할 수 있어야 하며, 에이전트가 접근해서는 안 되는 데이터베이스에 접근하는 것과 같은 위반 사항을 준실시간으로 감지할 수 있어야 합니다. 사용자 인증·SSO·동의는 IdP(아이덴티티 프로바이더)의 역할이고, 워크로드 아이덴티티·자격증명 중개·정책 적용·감사는 시크릿 관리 시스템의 역할이라는 명확한 책임 분리가 전제되어야 합니다.
HashiCorp Vault의 역할: 에이전트를 위한 동적 시크릿과 아이덴티티 통제
HashiCorp Vault는 아이덴티티 기반 통제를 활용해 시크릿·머신 아이덴티티·서비스 아이덴티티·데이터 접근 자격증명의 전체 라이프사이클을 보호·검사·연결·관리합니다. Vault의 정책은 시크릿·아이덴티티·PKI·암호화 및 복호화·키 서명 등 작업에 대한 세밀한 접근 통제를 제공하며, 상세 로그·보고·감사·컴플라이언스를 위한 중앙화된 위치도 함께 제공합니다.
에이전틱 AI 환경에서 Vault는 세 가지 방식으로 핵심 역할을 수행합니다.
동적 JIT 자격증명 발급은 Vault의 가장 직접적인 기여입니다. 에이전트가 다운스트림 데이터 소스에 접근하기 위해 필요한 자격증명을 Vault가 명시적인 TTL과 함께 JIT로 생성합니다. 자격증명은 만료 전에 자동으로 갱신할 수 있으며, 작업이 완료되면 접근 권한도 함께 소멸합니다.
JWT 기반 인증과 외부 그룹 클레임 매핑은 사용자 아이덴티티를 에이전트 행위까지 연결하는 핵심 메커니즘입니다. IdP(Microsoft Entra ID 또는 IBM Verify 등)가 사용자 컨텍스트·세션 ID·위임 클레임을 담은 JWT 토큰을 발급하면, Vault는 이 토큰을 검증하고 그룹 클레임에 기반한 적절한 Vault 정책에 매핑합니다. 이를 통해 에이전트의 모든 행위는 이를 시작한 사람의 아이덴티티까지 소급 추적이 가능합니다.
OBO(On-Behalf-Of) 토큰 교환은 위임 체인 전반에 걸친 추적성을 보장합니다. AI 에이전트는 사용자 JWT를 수신하고 이를 OBO 토큰으로 교환합니다. 이 OBO 토큰은 에이전트의 아이덴티티와 원래 사용자의 클레임을 모두 포함해 엔드-투-엔드 추적성을 확보합니다. MCP(Model Context Protocol) 서버 계층에서는 이 OBO 토큰을 기반으로 Vault에 인증하고, 사용자 그룹 클레임에 맵핑된 동적 자격증명을 획득해 보호된 리소스에 접근합니다.
3가지 실제 적용 시나리오
HashiCorp가 제시하는 에이전틱 AI 유즈케이스는 권한 수준에 따라 세 가지 단계로 구분됩니다.
첫 번째는 읽기 전용 정보 조회 에이전트입니다. 사용자가 "비밀번호를 어떻게 재설정하나요?", "영업 시간이 어떻게 되나요?"처럼 모든 사용자에게 동일한 정보를 조회하는 챗봇 인터페이스에서, AI 에이전트는 Vault와 연동해 다운스트림 데이터 소스 접근에 필요한 동적 JIT 자격증명을 발급받습니다. 이 시나리오에서는 사용자 컨텍스트나 동의가 별도로 필요하지 않습니다. Vault가 명시적 TTL과 함께 자격증명을 생성하며 만료 전 자동 갱신도 지원합니다.
두 번째는 개인화 정보 조회 에이전트입니다. 고객별 데이터, 계정 정보, 개인화된 추천을 조회해야 하는 시나리오에서는 사용자 컨텍스트와 동의가 필요합니다. IdP를 통한 OAuth2.0 인가 플로우가 도입되며, JWT 토큰은 특정 사용자 컨텍스트·세션 ID·위임 클레임을 담습니다. Vault는 동일한 방식으로 JIT 동적 자격증명을 생성하되, 이번에는 사용자의 그룹 클레임에 기반한 역할별 정책이 적용됩니다.
세 번째는 권한 위임이 필요한 특권 에이전트입니다. 금융 거래 처리, 인사 온보딩·오프보딩, 문서 작성 등 상승된 권한이 필요한 작업을 포함하는 시나리오입니다. 사용자 컨텍스트와 동의 외에 명시적 위임이 추가로 요구됩니다. OAuth2.0 CIBA(Client-Initiated Backchannel Authentication) 인가 플로우를 통해, 에이전트가 사용자를 대신해 상승된 작업을 시도할 때마다 사용자의 모바일 기기로 승인 알림이 전송됩니다. 이는 통제의 증거와 완전한 감사 가능성을 보장하며, 전체 운영 흐름에 걸친 명확한 책임 분리를 제공합니다.
엔드투엔드 추적성: 감사 로그로 연결되는 사용자-에이전트-자격증명 체인
HashiCorp가 제시하는 검증된 아키텍처(Validated Pattern)에서 추적성은 기술 구현의 핵심 요소입니다. 앞서 설명한 OBO 토큰 교환이 아이덴티티 위임의 구조를 만든다면, Correlation ID 기반 감사 로그는 그 위임 체인이 실제로 어떻게 실행됐는지를 기록합니다. Vault의 감사 장치를 활성화하면 에이전트가 Vault API에 요청할 때마다 X-Correlation-ID 헤더를 포함해 사용자·세션·서비스 정보를 연결할 수 있습니다.
이 구조에서 Web UI, AI 에이전트, MCP 서버, Vault JWT 인증, Vault 동적 자격증명 발급까지의 전체 체인이 단일한 Correlation ID로 연결됩니다. 즉, 보안팀은 "어떤 사용자가 언제 어떤 에이전트를 통해 어떤 자격증명으로 어떤 리소스에 접근했는가"를 단일 감사 로그 흐름에서 재구성할 수 있습니다. SOC2·GDPR·PCI DSS 등 규제 요건이 요구하는 고유 아이덴티티·감사 추적·신속한 권한 취소를 이 구조가 기술적으로 뒷받침합니다.
플랫폼 팀·AI/ML 엔지니어·보안 엔지니어 간의 역할 분리도 이 아키텍처의 중요한 구성 요소입니다. 모든 Vault 구성과 정책 변경을 Infrastructure as Code(IaC)와 Git 기반 워크플로로 관리하고, 공통 패턴에 대한 표준화된 Vault 정책 템플릿을 사전에 정의함으로써 팀별 사일로 구현과 비일관적 통제의 위험을 방지할 수 있습니다.
에이전틱 AI 보안의 현실적 출발점
에이전틱 AI는 이미 실험 단계를 넘었습니다. 그러나 Deloitte의 조사에 따르면 AI 에이전트를 배포할 계획인 조직 가운데 에이전트 거버넌스 모델이 성숙한 수준에 있다고 답한 비율은 21%에 불과합니다. 거버넌스 체계 없이 배포를 진행하면 통제 실패로 이어질 수 있습니다.
에이전트별 고유 아이덴티티 발급, JIT 동적 자격증명, 런타임 정책 적용, 감사 로그 등의 보안 원칙들을 실제로 구현하는 도구가 HashiCorp Vault입니다. 에이전틱 AI 도입 초기에 Vault를 중심으로 보안 패턴을 정의해 두면, 팀별 사일로 구현 없이 조직 전반이 일관된 통제 기반 위에서 AI 워크플로를 안전하게 확장할 수 있습니다. 속도와 통제를 함께 가져가려는 조직에게, Vault는 에이전틱 AI 전략의 보안 기반이 될 수 있습니다.
HashiCorp 공식 파트너인 클라우드네트웍스는 Vault 도입부터 구축·운영까지 전 과정을 지원합니다. 에이전틱 AI 보안 환경 구성에 대해 궁금하신 점은 클라우드네트웍스에 문의해 주세요.
