발표에서 확인된 핵심 사실

EDR/XDR 대시보드에 찍힌 98%의 커버리지 수치는 보안 실무자를 안심시키지만, 이는 위험한 착시일 수 있다. Axonius와 Ponemon Institute가 전문가 662명을 조사한 결과, 중앙값 기준 298,000대의 장치 인벤토리 중 12.7%에서 보안 에이전트가 누락된 것으로 나타났다.

보안 에이전트는 자신의 부재를 스스로 보고할 수 없다. 에이전트 기반 대시보드는 설치되어 응답하는 기기만 집계하므로 구조적으로 불완전하다. 관리자가 보는 높은 수치는 실제 자산과 설치된 에이전트 사이의 델타(Delta, 차이) 값을 반영하지 못하며, 누락된 12.7%의 기기는 대시보드에 잡히지 않는 '암흑 물질'이 되어 보안 사각지대를 만든다.

AI 도입으로 인한 공백은 더 구체적이다. Gravitee의 조사에서 임원 900명 중 88%가 AI 관련 보안 사고를 확인했거나 의심했지만, 완전한 보안 승인을 거쳐 에이전트를 투입한 비율은 14.4%에 불과했다. 엄격한 승인 절차가 실제 위협 대응 속도를 따라가지 못하는 실무적 괴리가 발생하고 있다.

이런 가시성 공백을 해결하려면 에이전트 중심의 수집 방식을 넘어선 통합 자산 관리 체계가 작동해야 한다.

통합 레이어와 플랫폼 네이티브를 통한 가시성 확보 방안

가시성 공백을 메우는 전용 통합 레이어는 양방향 API 어댑터(시스템 간 데이터 연결 장치)를 통해 서로 다른 보안 도구의 자산 정보를 상호 동기화한다. 플랫폼 네이티브 EDR과 XDR은 에이전트 설치 범위 내에서 풍부한 컨텍스트를 구축해 분석 정밀도를 높이며, CMDB(구성 관리 데이터베이스) 현대화 방식은 3개 이상의 독립적인 텔레메트리(원격 측정 데이터) 소스를 교차 검증해 데이터 정확도를 높인다.

1,400개 이상의 어댑터를 운영하는 Axonius는 지난 6월 15일 Anthropic 어댑터를 출시했다. 이 어댑터는 기업 내부에서 공식 승인 없이 설치된 Claude Enterprise 사례를 탐지한다. 보안 팀이 인지하지 못한 '섀도우 AI' 설치 경로를 구체적으로 식별해 관리 대상에 포함시키는 식이다. 파편화된 정보를 하나의 통합 뷰로 수집함으로써 에이전트가 보고하지 못하는 영역의 가시성을 확보한다.

자율 보안 AI 도입 전 검증해야 할 핵심 지점

자율 보안 에이전트는 대시보드 수치를 절대적 진실로 믿고 기계 속도로 동작한다. 데이터의 불완전함을 인지하지 못한 채 내린 결정은 보안 사각지대에서 잘못된 조치를 취하거나, 실제 위협을 놓치는 오작동으로 이어진다.

CISO가 네트워크의 약 50%만 파악하고 있다는 조 다이아몬드 Axonius CEO의 지적처럼, 관리자의 지도와 실제 물리적 환경 사이에는 거대한 간극이 존재한다. 이 '다크 매터' 문제는 보안 정책이 전혀 적용되지 않는 치명적인 맹점을 만든다.

Lumen의 사례는 이 격차가 시스템 붕괴 수준일 수 있음을 보여준다. 해당 기업의 CMDB에는 17,000개의 자산이 기록되어 있었으나, 실제 조사 결과 110만 개의 자산이 발견되었다. 기록보다 실제 자산이 60배 이상 많은 환경에서 자율 에이전트가 CMDB를 절대적 기준으로 삼는다면, 나머지 100만 개 이상의 자산은 통제 영역 밖에서 완전히 방치된다.

따라서 자율 보안 에이전트에게 대응 권한을 부여하기 전, CMDB-EDR-실제 자산 간의 델타 값을 측정하고 텔레메트리를 교차 검증하는 체계를 먼저 갖춰야 한다. 특히 데이터 신뢰도를 판가름하는 5가지 Pass/Fail 기준을 적용해 무결성을 검증하는 것이 우선이다. 보안 수준은 대시보드의 백분율이 아니라, 실제 자산과 데이터가 얼마나 일치하는지로 판단해야 한다.