ML 엔지니어 R씨는 AI 에이전트가 웹 서핑 중 엉뚱한 사이트로 빠지거나 내부 보안망에서 인증서 오류로 멈춰버리는 상황을 마주했다. 프롬프트로 특정 사이트만 방문하라고 명령해도 에이전트가 이를 무시하고 허가되지 않은 도메인에 접속하거나 브라우저 비밀번호 관리자에 자격 증명을 저장하는 일이 빈번하다. 특히 기업 내부 서비스 접속 시 HTTPS 인증서 검증 오류가 발생하면 전체 워크플로우가 중단된다. 이런 곤란을 겪는 개발자가 늘고 있다.

Amazon Bedrock AgentCore와 450개 크롬 정책

Amazon Bedrock AgentCore(AI 에이전트의 실행 환경과 도구를 관리하는 프레임워크) 브라우저가 크롬 엔터프라이즈 정책과 커스텀 루트 CA(인증 기관의 최상위 인증서) 지원을 시작했다. 개발자는 이제 450개가 넘는 브라우저 설정을 세밀하게 제어할 수 있으며, 여기에는 URL 필터링, 다운로드 제한, 비밀번호 관리자 제어 기능이 포함된다. 설정 방식은 기업 환경에서 익숙한 크롬 엔터프라이즈 JSON 형식을 그대로 따른다. 커스텀 루트 CA 지원을 통해 에이전트가 기업 내부 서비스나 SSL-intercepting proxy(암호화된 트래픽을 복호화해 검사하는 프록시 서버)에 안전하게 연결할 수 있는 길이 열렸다. 구체적인 설정 항목은 Chrome Enterprise policy list에서 확인할 수 있다.

이번 업데이트로 해결되는 핵심 요구사항은 세 가지다. 먼저 URL 허용 목록과 차단 목록을 통해 에이전트의 활동 범위를 승인된 도메인으로 한정한다. 예를 들어 특정 포털에서 송장을 처리하는 에이전트가 소셜 미디어나 검색 엔진에 접속할 필요가 없는 경우, 브라우저 레벨에서 이를 원천 차단한다. 이는 에이전트의 프롬프트나 추론 능력과 상관없이 브라우저 자체에서 강제되는 경계다. 둘째로 비밀번호 관리자, 파일 다운로드, 자동 완성 등 위험한 브라우저 기능을 끌 수 있다. 민감한 시스템과 상호작용하는 데이터 입력 에이전트의 경우, 의도치 않은 데이터 저장이나 외부 유출 위험을 줄이는 장치가 된다. 셋째로 정책 관리와 에이전트 개발을 분리한다. 보안 팀이 제어 평면 API(Control Plane API, 인프라 설정을 관리하는 인터페이스)를 통해 승인된 브라우저 구성을 정의하면, 개발 팀은 애플리케이션 코드에 정책 결정 로직을 심지 않고도 에이전트의 논리에만 집중할 수 있다.

관리형 정책과 세션별 권장 설정의 차이

에이전트의 행동을 제어하는 기준점이 프롬프트에서 브라우저 설정으로 옮겨갔다. 정책 집행은 두 개의 레이어로 작동한다. 관리형 정책은 Amazon S3(클라우드 객체 스토리지)에 저장된 JSON 파일을 제어 평면 API를 통해 제공하는 방식이다. 이 정책은 브라우저의 `/etc/chromium/policies/managed/` 경로에 매핑되며, 세션 수준의 설정으로 덮어쓸 수 없는 강력한 강제성을 가진다. 반면 권장 정책은 데이터 평면 API(Data Plane API, 실제 데이터를 처리하고 세션을 생성하는 인터페이스)를 통해 브라우저 세션을 시작할 때 선택적으로 제공한다. 이는 `/etc/chromium/policies/recommended/` 경로에 매핑되어 사용자 기본 설정처럼 작동하며, 관리형 정책과 설정이 충돌할 경우 관리형 정책이 우선권을 갖는 크롬의 기본 동작을 따른다.

인증서 신뢰 구성은 AWS Secrets Manager(비밀번호와 API 키 등 민감 정보를 관리하는 서비스)를 통해 이루어진다. 조직의 루트 CA 인증서를 이곳에 저장하고 브라우저나 AgentCore Code Interpreter(코드를 실행해 문제를 해결하는 도구)를 생성할 때 참조하면, 서비스가 인증서를 신뢰 저장소에 자동으로 가져온다. 덕분에 인증서 검증을 강제로 끄지 않고도 내부 서비스에 성공적으로 연결할 수 있다. 실제 구현 과정은 샘플 저장소의 Jupyter notebook(대화형 코드 실행 문서)에서 확인할 수 있다. 해당 노트북은 S3 버킷, AWS IAM(ID 및 액세스 관리) 실행 역할, AgentCore 브라우저 및 코드 인터프리터를 자동으로 프로비저닝하며, Playwright(브라우저 자동화 라이브러리)를 사용해 허용된 URL은 로드되고 차단된 URL은 거부되는지 검증하는 과정을 보여준다.

운영 환경에 배포할 때는 최소 권한 원칙을 적용한 IAM 정책을 사용해야 하며, AWS IAM Identity Center나 AWS STS(임시 보안 자격 증명을 제공하는 서비스)를 통한 임시 자격 증명 사용이 권장된다. 장기 액세스 키를 소스 제어 시스템에 커밋하는 행위는 엄격히 금지된다.

AI 에이전트의 자율성은 이제 프롬프트가 아니라 인프라 수준의 거버넌스로 통제하는 시대로 접어들었다.