기업용 인공지능(AI) 에이전트에 제로 트러스트 보안을 적용해야 한다는 주장이 나왔다. 핵심은 AI 에이전트를 단순 소프트웨어가 아니라, 권한을 갖고 실제 업무를 수행하는 '행위자'로 봐야 한다는 것이다.
앤트로픽은 최근 '제로 트러스트 포 AI 에이전트' 백서를 통해 기업이 자율형 AI 에이전트를 배포할 때 모든 행동을 검증하고 필요한 최소 권한만 부여하며, 침해가 발생해도 피해 범위를 제한하는 구조를 갖춰야 한다고 밝혔다.
AI 에이전트는 일반 챗봇과 다르다. 질문에 답하는 데 그치지 않고 데이터베이스를 조회하고 이메일을 작성하며, 외부 API를 호출하고 여러 도구를 연결해 업무를 끝까지 수행할 수 있다. 편의성은 커졌지만 잘못된 지시를 따르거나 공격자에게 속을 경우 실제 시스템 피해로 이어질 수 있다는 의미다.
백서는 기존 보안 통제가 이러한 변화를 충분히 반영하지 못한다고 봤다. 과거에는 사용자가 누구인지, 어떤 시스템에 접근할 권한이 있는지를 확인하는 것이 핵심이었다. 하지만 AI 에이전트는 수행하려는 작업의 목적, 사용하는 도구의 조합, 실행 순서, 결과물의 전달 경로까지 함께 검증해야 한다는 설명이다.
앤트로픽이 강조한 개념은 '최소 에이전시'다. 이는 기존 최소 권한 원칙을 AI 에이전트에 적용한 것이다. 예를 들어 이메일 도구 접근을 허용하더라도 읽기, 초안 작성, 외부 발송, 첨부파일 전송을 각각 나눠 통제하고, 위험한 작업은 사람의 승인을 받도록 해야 한다는 의미다.
백서는 AI 에이전트의 주요 위협으로 △프롬프트 인젝션 △도구 오용 △권한 상속 △메모리 오염 △공급망 위험을 제시했다. 특히 공격자가 웹페이지나 이메일, 문서 안에 악성 지시를 숨기면 에이전트가 이를 정상 정보로 오인할 수 있다고 경고했다. 또 에이전트가 정상 권한으로 정상 도구를 사용하더라도, 여러 도구를 조합하면 고객 데이터 유출 같은 사고가 발생할 수 있다고 지적했다.
앤트로픽은 대응 방안으로 △에이전트별 고유 식별자 △짧은 수명의 토큰 △ID 기반 격리 △도구 호출 로그 △자동 경고 분류 등을 제시했다.
장기 API 키나 공유 서비스 계정처럼 한 번 탈취되면 피해가 크게 번지는 방식은 AI 에이전트 환경에 적합하지 않다고 진단했다.
또 AI가 경고 분류, 증거 수집, 로그 분석 같은 반복 작업을 맡더라도 서비스 차단, 고객 통지, 규제 보고 같은 고위험 결정은 사람이 내려야 한다고 조언했다.
앤트로픽은 “AI 전환에 잘 대비한 조직은 가장 앞선 AI를 보유한 곳이 아니라, 보안 기본기가 강하고 에이전트 배포를 처음부터 침해를 전제로 설계한 곳”이라고 말했다.
박진형 기자 jin@etnews.com
