“AI 에이전트 권한 제어는 ‘슈퍼카의 브레이크’…통합 거버넌스 필요” [보안혁신 2026] - IT조선

“관리되지 않은 AI 에이전트의 도입은 브레이크 없는 슈퍼카와 같다. 에이전트가 제대로 도입되려면 브레이크 역할을 할 것이 필요하다.” 김광수 사이버아크코리아 부장은 IT조선 주최로 15일 서울 용산전자랜드 랜드홀에서 열린 ‘사이버 보안 혁신 세미나 2026’의 세션 발표를 통해 이와 같이 밝혔다. 아이티센피엔에스(ITCEN PNS)와 함께 ‘AI 에이전트&머신 아이덴티티의 권한·신원 통합 거버넌스’를 주제로 발표에 나선 김 부장은 AI 에이전트의 제어를 위한 기본 요건으로 이를 아우르는 아이덴티티 보안 플랫폼을 제시했다. 김광수 사이버아크코리아 부장은 최근 기업이 당면한 보안 관련 과제로 ‘사람보다 많은 머신 수’와 ‘인증서 유효기간 단축’을 제시했다. 시스템간 연결에서 신원 확인에 사용하는 인증서의 유효기간은 현재 200일 정도지만 내년에는 100일로 줄고, 2029년에는 47일까지 줄어들 예정이다. 머신 수는 빠르게 늘고 인증서 갱신 주기도 빨라지면 관리 부담이 커진다. 김광수 부장은 “이제 사람이 인증서를 업데이트하는 것은 어려워질 것”이라 언급했다. 또한 기업들은 기존에 기업 내부에서 PKI(공개 키) 서비스를 자체적으로 구축, 활용하는 경우가 많았는데 클라우드와의 ‘하이브리드’ 구성까지 이를 적용하기는 어렵다는 점도 과제로 꼽았다. 클라우드 네이티브 등 워크로드의 현대화에 따른 기존 볼트(Vault)의 레거시화에 대한 대응도 필요하다. AI 에이전트의 등장에 따른 영향도 주목할 만한 부분이다. 김 부장은 “AI 에이전트는 머신으로 분류되지만, 스스로 판단하고 짜여진 틀에서만 움직이지 않는다”며 “에이전트는 생각했던 시나리오대로 움직이지 않을 수 있다”고 말했다. 이어 “에이전트에 내부 시스템 권한을 잘못 설정할 경우 피해는 사람 대비 훨씬 커진다”며 “관리되지 않은 상태에서 AI 에이전트가 도입되는 것은 브레이크 없는 슈퍼카를 타는 것과 같다”고 밝혔다. 사이버아크의 아이덴티티 솔루션은 사람과 AI, 머신을 대상으로 나뉘어 있지만 근본적으로는 같은 코어 기술을 기반으로 확장된다. 플랫폼 차원의 핵심은 탐지 및 컨텍스트 서비스로 기업 전반의 시크릿, 워크로드 및 에이전트에 대한 가시성 확보를 제공한다. 또한 너무 많은 볼트가 난립되는 복잡성 문제를 해결하면서도 사용자의 워크로드에 영향을 미치지 않는 방법으로는 기존 볼트들을 연결해 통합 관리 체계를 만들어 보안 사각지대를 제거하는 방법도 제공하고 있다고 소개했다. 인증서의 유효기간이 짧아짐에 따라 관리 부담이 높아짐에 따른 대응에는 인증서 관리의 자동화와 라이프사이클 관리 체계가 제시됐다. 이를 통해 기업에서 어떤 인증을 얼마나 사용하고 있고, 언제 만료되는지를 체계적으로 관리할 수 있다. 김 부장은 “아시아권에서는 인증 라이프사이클 관리 활용이 이제 활성화되고 있다”고 언급했다. 사이버아크는 AI 에이전트의 보안에 있어 사람과 머신, AI의 인증을 위한 키를 체계적으로 관리할 수 있는 방안을 제공한다. 김광수 부장은 “에이전트 또한 큰 범주에서 벗어나지 않는다. 사이버아크는 누가 어떤 시스템에 접속해 무엇을 하는지 정의하는 게이트웨이 역할을 한다”고 설명했다. 이어 “에이전트가 도입되려면 ‘브레이크’ 역할을 할 무엇인가가 필요하다. 사이버아크가 이런 부분을 제공하겠다”고 덧붙였다. 권용만 기자 [email protected]