AI가 빠르게 발전함에 따라 기업의 운영과 의사 결정 과정에 AI 에이전트를 도입하는 사례가 증가하고 있다. 특히 생성AI 기술의 발전으로 AI는 단순한 분석 도구를 넘어, 실제 사용자처럼 로그인하고, 민감한 시스템에 접근하며, 업무를 수행하는 ‘디지털 직원’ 역할을 수행하고 있다. 그러나 이러한 기술 도입 속도에 비해 보안 체계는 이를 뒷받침하지 못하고 있으며, AI 자체를 하나의 보안 위협 요소로 인식하는 조직은 매우 드문 상황이다. 이에 따라 AI 에이전트가 기업 내부의 새로운 보안 사각지대로 부상하고 있다.

비욘드아이디(BeyondID)는 최근 보고서 ‘AI 에이전트: 새로운 내부 위협?’를 발표하며 이러한 격차를 지적했다. 보고서는 미국의 IT 보안 리더를 대상으로 실시한 설문 조사 결과를 바탕으로 작성되었으며, AI 에이전트가 높은 권한을 갖고 있음에도 불구하고 행동 감시 및 접근 제어가 미비한 현실을 경고하고 있다.

보안 인식과 실제 대응의 간극

설문에 따르면 전체 기업의 85%가 보안 영역에서 AI를 도입할 준비가 되었다고 응답했으나, 실제로 AI 에이전트의 접근 권한이나 행동을 모니터링하고 있는 기업은 절반에도 미치지 못했다. 특히 AI 에이전트를 중요한 자산에 매핑해 관리하는 기업은 30%에 불과했으며, AI 사칭 위험을 인식하는 보안 책임자도 6%에 머물렀다. 이는 AI 에이전트가 실질적인 보안 주체임에도 여전히 단순한 인프라 자원으로 취급되고 있음을 보여준다.

의료 산업은 AI 도입이 빠르게 이뤄지고 있는 분야 중 하나이며, 동시에 가장 큰 보안 취약성을 드러낸 산업이기도 하다. 보고서에 따르면 의료기관의 61%가 지난 1년간 적어도 한 번 이상 신원 관련 공격을 경험했으며, 42%는 신원 관련 규정 감사에서 실패했다. 그러나 민감한 환자 데이터를 다루고 있음에도 불구하고, 오직 17%만이 규정 준수를 최우선 과제로 꼽았다.

특히 의료기관의 34%는 사용자를 사칭하는 AI 에이전트를 새로운 보안 위협으로 지목했다. 더욱이 의료기관 중 비밀번호 없는 인증을 도입한 곳은 23%에 불과해, 다른 산업 대비 매우 낮은 수치를 기록했다. 이는 AI 기반 시스템이 고도화될수록 의료 데이터 보호가 더 큰 도전 과제가 되고 있음을 시사한다.

기업 보안 전략 재정비 필요

비욘드아이디는 AI 에이전트를 고위험 사용자로 간주하고, 최소 권한 원칙을 적용하며, 실시간 행동 모니터링과 IAM(신원 및 접근 관리) 수명주기 전반에 비인간 신원을 통합할 것을 권고했다. 보고서는 AI 에이전트가 반드시 악의적이진 않더라도, 제대로 관리되지 않으면 "그림자 사용자"로 작동하며 심각한 보안 위험을 초래할 수 있다고 경고했다.

이 보고서는 AI가 보안 위협을 탐지하는 역할에만 그치는 것이 아니라, 그 자체가 새로운 내부 공격 벡터가 될 수 있다는 현실을 조명하고 있다. 의료, 금융, 기술 산업에 걸쳐 진행된 이번 조사 결과는 AI 에이전트를 포함한 비인간 계정에 대한 접근 통제 및 모니터링 체계 구축이 시급하다는 경고로 해석된다.

비욘드아이디 CEO 아룬 슈레스타(Arun Shrestha)는 "AI는 더 이상 단순한 도구가 아니라 사용자처럼 행동한다."라며, "그럼에도 보안팀은 여전히 ​​AI를 정적인 구성 요소로 간주하는 경향이 있다."라고 지적했다. 그는 AI가 기업 시스템에 접속하고 의사결정을 내리는 역할을 수행하는 만큼, 보안 관점에서 고위험 사용자와 동일한 수준의 통제를 적용해야 한다고 강조했다.