AI 에이전트가 실험 데모에서 프로덕션 인프라로 넘어가고 있다. Microsoft, Google, Anthropic, OpenAI, Salesforce가 모두 앱과 데이터를 넘나드는 에이전틱 AI 시스템을 배포 중이다. Gartner에 따르면 2026년 말까지 기업 애플리케이션의 40%에 태스크 전용 AI 에이전트가 내장될 전망이다. 2025년에는 5% 미만이었다.
문제는, 이 자율성이 바로 공격 표면이 된다는 것이다.
위협은 이미 현실이다
McKinsey의 내부 AI 플랫폼 “Lilli”가 통제된 레드팀 훈련에서 자율 에이전트에 의해 2시간 만에 광범위한 시스템 접근 권한이 탈취당했다. Dark Reading의 설문에서는 사이버보안 전문가의 48%가 에이전틱 AI를 가장 위험한 공격 벡터로 지목했다.
IBM의 2025 데이터 유출 비용 보고서는 더 무서운 숫자를 보여준다:
| 유형 | 평균 비용 |
|---|---|
| 일반 데이터 유출 | $396만 |
| Shadow AI 관련 유출 | $463만 |
| 차이 | +$67만 (+17%) |
단순히 비용이 높은 것이 아니다. 구조적으로 다르다. 에이전틱 공격은 시스템을 횡단하고, 데이터를 유출하고, 권한을 상승시키는 일을 머신 속도로 수행한다 — 사람 분석가가 티켓을 열기도 전에.
핵심 패러다임 전환: “도구”가 아니라 “행위자”
Ada의 CPTO Mike Gozzo는 이렇게 설명한다:
“AI 에이전트는 도구가 아니라 행위자(actor)다. 결정을 내리고, 행동을 하고, 고객을 대신해 시스템과 상호작용한다. 행위자를 보안하는 것은 도구를 보안하는 것과 근본적으로 다른 문제인데, 업계 대부분이 아직 따라잡지 못했다.”
CyberArk도 동일한 관점이다: “모든 AI 에이전트는 하나의 아이덴티티(identity)다. 데이터베이스, 클라우드, 코드 저장소에 접근하려면 자격 증명이 필요하다. 더 많은 작업을 맡길수록 더 많은 권한이 축적되고, 공격자에게 더 매력적인 표적이 된다.”
여기에 에이전트 고유의 속성이 문제를 키운다: 비결정적(nondeterministic) 행동. 전통적 보안은 예측 가능한 실행을 전제로 한다. 에이전트는 같은 목표를 다른 경로로 달성할 수 있기 때문에 규칙 기반 보안이 통하지 않는다.
4개 공격 레이어
OWASP의 분석에 따르면 AI 에이전트는 대부분 기존 취약점을 증폭하는 것이지, 완전히 새로운 유형을 만드는 것은 아니다. 자격 증명 탈취, 권한 상승, 데이터 유출 — 위협 유형은 같다. 달라진 것은 피해 범위와 속도다.
에이전틱 환경의 공격 표면은 4개 레이어로 나뉜다:
1. 엔드포인트 레이어
Cursor, GitHub Copilot 같은 코딩 에이전트가 동작하는 지점. 개발자의 로컬 환경에서 코드를 읽고 쓰며, 파일 시스템과 터미널에 접근한다.
2. API / MCP 게이트웨이
에이전트가 외부 도구를 호출하고 명령을 주고받는 지점. Model Context Protocol(MCP) 취약점이 여기서 발생한다.
3. SaaS 플랫폼
Salesforce, Microsoft 365 등 핵심 비즈니스 워크플로우에 에이전트가 내장된 지점. 이메일 발송, CRM 수정, 문서 편집 등의 권한을 갖는다.
4. 아이덴티티 레이어
자격 증명과 접근 권한이 부여되고 축적되는 지점. 에이전트에 부여된 권한이 시간이 지나도 검토되지 않은 채 남아 있는 경우가 많다.
Bessemer의 3단계 보안 프레임워크
Bessemer Venture Partners가 제시한 프레임워크는 실용적이다. 각 단계가 다음 단계의 전제 조건이 된다.
Stage 1: 가시성 — 뭐가 있는지 파악
가장 기본적이면서 가장 소홀한 단계다. 대부분의 기업은 자신의 환경에서 어떤 AI 에이전트가 동작하는지 정확한 인벤토리가 없다.
확인해야 할 것:
- 어떤 에이전트가 존재하는가?
- 어떤 권한을 가지고 있는가?
- 누가 승인했는가?
- 어떤 목적으로 만들어졌는가?
좁은 태스크용으로 배포된 에이전트가 CRM 전체 접근 권한을 갖고 있다면, 사고가 나기를 기다리는 미스컨피규레이션이다.
Stage 2: 구성 — 공격 전에 피해 반경 줄이기
인벤토리가 확보되면, 구성의 안전성을 점검한다. 현재 대부분의 악용 가능 위험은 여기에 있다:
- 과도한 권한 부여
- 약하거나 공유된 자격 증명
- 감지되지 않은 정책 위반
- 정책 범위 내이지만 비정상적인 접근 패턴
구성은 일회성 감사가 아니다. 에이전트가 업데이트되거나 새 도구에 연결될 때마다 공격 표면이 변한다. 실시간 구성 드리프트 추적이 필요하다.
Stage 3: 런타임 보호 — 머신 속도로 탐지·대응
손상된 에이전트는 기다리지 않는다. 추론하고, 피벗하고, 자율적으로 권한을 상승시킨다. 기존 보안 도구로는 부족한 3가지 역량이 필요하다:
- 에이전틱 조사: 에이전트가 무엇을 했고 왜 했는지 이해
- 실시간 탐지: 비결정적 행동을 해석 (서명 매칭이 아님)
- 컨텍스트 인식 차단: 특정 행동만 중단 (전체 워크플로우가 아님)
마지막 항목 — 진행 중인 작업에서 특정 행동만 골라 차단하는 것 — 이 시장에서 가장 미개발된 영역이다.
CISO가 지금 해야 할 5가지
Bessemer가 현장 CISO들과의 대화에서 도출한 우선순위:
1. 구매 전에 리스크 포스처 정의
도구를 사기 전에, 조직의 AI 에이전트 입장을 먼저 정해야 한다. 올인할 것인가? 조심스럽게 시작할 것인가? 관망할 것인가? 이 결정이 보안 접근 방식의 기본 틀을 결정한다.
2. 에이전트 인벤토리 확보
지금 당장 환경에서 동작하는 AI 에이전트 전수 조사. Shadow AI(승인 없이 도입된 에이전트)를 포함해야 한다.
3. 최소 권한 원칙 적용
에이전트에 부여된 권한을 태스크 단위로 최소화. 권한 축적을 주기적으로 검토하고 불필요한 것은 회수.
4. MCP 및 API 게이트웨이 보안 강화
에이전트가 외부 도구와 통신하는 경로를 모니터링하고, 비정상적 호출 패턴을 탐지.
5. 런타임 모니터링 도입
에이전트의 실시간 행동을 추적하고, 이상 행위 시 자동 차단하는 체계 구축.
마무리: 역량과 위험은 함께 커진다
AI 에이전트 보안의 핵심 긴장은 이것이다: 에이전트를 유용하게 만드는 자율성이 바로 위험하게 만드는 요소다. 더 많은 시스템에 접근하고, 더 복잡한 워크플로우를 수행할수록, 손상됐을 때의 피해도 기하급수적으로 커진다.
2026년은 이 문제를 인식하는 해에서 실제로 대응하는 해로 넘어가는 전환점이다. 도구가 완성되기를 기다릴 시간은 없다 — 가시성 확보부터 시작하는 것이 지금 할 수 있는 가장 중요한 일이다.
참고 출처
- Bessemer VP: Securing AI agents
- OWASP Top 10 for Agentic Applications 2026
- Gartner: 40% of enterprise apps will feature AI agents by 2026
- IBM 2025 Cost of a Data Breach Report
- Dark Reading: Agentic AI Attack Surface