[에이전트와 보안④] AI 에이전트 보안, ‘거버넌스’가 관건이다

AI 요약

인공지능(AI) 에이전트가 메일과 문서, 데이터베이스, 외부 도구에 접근해 실제 작업을 처리하면서 앤트로픽의 클로드 미토스 프리뷰와 오픈AI의 GPT-5.4-사이버 공개로 AI 모델의 취약점 탐지 능력이 주목받는 가운데, 에이전트 자율성 확대는 통제해야 할 권한과 연결 지점을 늘려 보안 위협을 키우고 있습니다. 가시성 확보, 권한 분리, 신원 검증, 가드레일, 샌드박스, 레드팀 평가 등 기술적 통제가 논의되고 있으나 기술만으로는 부족해 기업은 허용된 AI와 섀도우 AI를 구분하고 모델과 애플리케이션을 화이트리스트 방식으로 관리하며 에이전트의 소유자·사용 목적·연결 시스템·처리 데이터·로그 보관 기준 등을 업무별 위험도에 따라 정해야 합니다. 또한 권한 위임 기준과 사고 책임 소재를 사전에 명확히 정하고 읽기·쓰기·삭제·배포·결제·코드 실행 등 권한을 업무별로 나누며 고위험 행동에는 사람 승인과 추가 인증을 요구하고 에이전트의 행동을 로그로 남겨 사고 대응과 책임 분담을 가능하게 해야 합니다.