AI 에이전트는 기업의 운영 효율성과 자동화를 높이는 핵심 도구로 확산되고 있지만, 동시에 새로운 보안 위협을 불러오고 있다. 최근 연구에 따르면 기업의 80%가 무단 접근이나 데이터 유출과 같은 의도치 않은 AI 에이전트 활동을 경험한 것으로 나타났다. 이러한 위험은 금융, 의료, 제조, 공공기관 등 보안과 규정 준수가 중요한 산업에서 치명적일 수 있다.

AI 에이전트 보안의 핵심은 권한 관리와 접근 제어이며, 이를 통합적으로 관리할 수 있는 엔터프라이즈급 솔루션의 필요성이 급증하고 있다.

AI 에이전트 및 비인간 ID(Non-Human Identity, NHI) 보안 기업 아스트릭스 시큐리티(Astrix Security, CEO 알론 잭슨)가 AI 에이전트 전용 보안 제어 플랫폼 ‘ACP(AI Agent Control Plane)’를 출시했다.

ACP는 기업 전반에 걸쳐 보안을 고려한 설계(Secure-by-Design) 원칙으로 AI 에이전트를 배포할 수 있도록 지원한다. 모든 에이전트는 최소 권한 원칙에 따라 단기 유효 기간이 설정된 자격 증명과 적시 접근 권한을 부여받아 접근 혼란을 방지하고 규정 준수 위험을 줄인다.

ACP의 3가지 핵심 기능

ACP는 세 가지 핵심 기능을 제공한다. 첫째, 신속하고 예측 가능한 감사(Audit) 기능이다. 명확한 소유권과 추적 가능한 활동 기록을 통해 모든 에이전트의 행위가 관리되고 검증된다. 둘째, AI 에이전트 보안 접근(Access Security)이다. 배포 첫날부터 최소 권한 기반의 적시 인증 정보를 부여해 불필요한 권한 확대와 위험을 차단한다. 셋째, 개발자 생산성 향상(Productivity)이다. 사전 승인된 정책 기반 접근을 제공해 개발자가 빠르게 에이전트를 실행하고 승인 지연 없이 업무를 이어갈 수 있다.

작동 방식은 명확하다. 보안 관리자는 먼저 사용 사례에 맞춘 세분화된 최소 권한 프로필을 정의한다. 개발자는 선호하는 도구에서 에이전트를 실행하고 해당 권한 프로필을 적용한다. 이후 모든 에이전트는 중앙 인벤토리에서 정책과 함께 관리되며 실시간 모니터링, 조정이 가능하다.

ACP는 아스트릭스의 발견–보안–배포(Discover–Secure–Deploy) 프레임워크를 완성하는 요소다. 고객은 섀도 AI 에이전트를 탐지하고 목록화하며, 보안 가드레일을 통해 정책 위반이나 범위 외 활동을 차단할 수 있다. ACP를 통해 이제 안전한 배포 단계까지 확장할 수 있으며, 자사 개발·타사·관리되지 않는 에이전트까지 통합적으로 관리 가능하다.

아스트릭스는 2021년부터 Fortune 1000 기업들과 함께 NHI 보안 분야를 개척해 왔으며, 서비스 계정, API 키, 머신 자격 증명 등을 포함한 비인간 접근 지점을 통합 탐지하고, 이상 행위를 탐지할 수 있는 역량을 제공하고 있다.

이단 구어(Idan Gour) 아스트릭스 CTO는 “OWASP도 명확히 밝힌 바와 같이 NHI는 에이전트 보안의 핵심”이라며, “에이전트의 권한과 행동을 통제하려면, 그들이 사용하는 자격 증명과 시스템 접근 권한(NHI)을 먼저 통제해야 한다.”라고 말했다.

알론 잭슨 CEO는 “에이전트 위협은 더 이상 이론이 아니다”라며 “ACP 출시로 기업에 에이전트 보안 퍼즐의 마지막 조각을 제공하고 있다”고 말했다. 그는 “기업들이 생산성을 높이고 최신 기술을 책임감 있게 도입하도록 지원하는 것이 우리의 사명이며, 이번 ACP는 그 사명의 실현”이라고 덧붙였다.

아스트릭스는 ACP를 통해 제로 트러스트 기반의 보안 정책, 적시 자격 증명, 감사 추적 기능을 결합해 AI 에이전트 보안에 대한 완전한 엔터프라이즈 솔루션을 제공한다는 계획이다.

[알림] 글로벌 번역 전문 기업 딥엘(DeepL)이 오는 9월 24일 오후 2시부터 3시까지 GTT SHOW의 GTT Webinar 플랫폼을 통해 ‘대량 데이터 번역 품질을 한 단계 높이는 DeepL API 활용 전략’을 주제로 무료 웨비나를 개최한다. 이 웨비나에서는 딥엘 API의 고급 기능과 실제 비즈니스 현장 적용 전략을 구체적으로 다루며, 글로벌 커뮤니케이션 경쟁력을 높일 수 있는 실질적인 해법을 제시한다.