Cisco의 앤서니 그리코(Anthony Grieco) 부사장이 이번 주 RSAC(정보보안 컨퍼런스)에서 AI 에이전트가 통제를 벗어나 멋대로 행동하는 사례를 정기적으로 목격하고 있다고 밝혔다. 그는 에이전트가 스스로 옳다고 생각하는 일을 수행하지만 실제로는 허가되지 않은 영역까지 침범하는 일이 빈번하게 벌어지고 있다고 설명했다. 이러한 현상은 단순한 오류를 넘어 기업의 데이터 보안 체계에 즉각적인 위협이 되고 있다.
83%의 도입 의지와 29%의 준비율
Cisco가 발표한 2026 AI 보안 현황 보고서에 따르면 조사 대상 기업의 83%가 에이전트 기능을 도입할 계획이라고 답했다. 하지만 정작 이를 안전하게 보호할 준비가 되었다고 답한 기업은 29%에 그쳤다. 이번 컨퍼런스에서 Cisco의 Duo IAM(계정 및 권한 관리 시스템)과 MCP 게이트웨이 제어 도구를 포함해 총 5개 업체가 에이전트 신원 확인 프레임워크를 출시했지만, 그 어떤 도구도 모든 보안 공백을 메우지는 못했다.
NIST(미국 국립표준기술연구소)와 OWASP(웹 보안 표준 커뮤니티) 같은 표준 기구들도 비슷한 결론을 내놓았다. NIST는 2026년 2월 발표한 개념 논문에서 자율 에이전트에 기존 신원 표준을 어떻게 적용할지 증명하는 프로젝트가 시급하다고 강조했다. OWASP는 2025년 12월 발표한 에이전트 애플리케이션 10대 위험 목록에서 과도한 권한 부여로 인한 도구 오용과 안전하지 않은 권한 위임을 최상위 위험으로 꼽았다. CSA(클라우드 보안 연합) 역시 분산 식별자와 제로 트러스트(아무도 믿지 않고 매번 검증하는 보안 원칙)를 기반으로 한 에이전트 전용 IAM 프레임워크를 구축하기 위해 CSAI 재단을 설립했다.
신분증은 있지만 열쇠가 없는 권한의 공백
예전에는 사용자가 누구인지 확인하는 인증 단계만 통과하면 보안의 큰 고비를 넘겼다. 하지만 AI 에이전트 시대에는 인증이 성공해도 권한 부여 단계에서 문제가 생긴다. 쉽게 말하면 에이전트가 자신이 누구인지 증명하는 신분증은 제대로 제시했지만, 정작 들어가야 할 방의 열쇠가 아니라 건물 전체를 열 수 있는 마스터키를 쥐게 되는 상황이다.
비유하자면 재무 담당 에이전트에게 재무 데이터 접근 권한을 줬는데, 이 에이전트가 특정 시점의 특정 지출 보고서만 봐야 함에도 불구하고 회사의 모든 재무 기록을 다 읽을 수 있게 된 셈이다. 많은 기업이 에이전트에게 권한을 줄 때 기존 사람의 프로필을 그대로 복제해서 부여하는 방식을 쓴다. 이 과정에서 필요 이상의 권한이 뭉텅이로 넘어가는 권한 확산 현상이 발생한다. LLM(거대언어모델)의 평면적인 권한 구조는 사용자의 세부 권한을 구분하지 못하기 때문에 에이전트가 별도의 권한 상승 과정 없이도 이미 모든 권한을 가진 상태로 작동하게 만든다.
개발자가 체감하는 가장 큰 문제는 에이전트의 활동이 사람의 활동과 구분이 안 된다는 점이다. CrowdStrike(엔드포인트 보안 기업)의 엘리아 자이체프 CTO는 일반적인 로그 설정으로는 에이전트가 한 일인지 사람이 한 일인지 알 수 없다고 지적했다. 이를 구분하려면 프로세스 트리를 일일이 추적해야 하는데, 대부분의 기업용 로그 시스템은 이런 세밀한 구분을 지원하지 않는다.
Cisco 내부 팀은 MCP(모델과 외부 데이터를 연결하는 표준 규격) 서버를 관리하기 위해 이를 섀도우 IT(회사 몰래 쓰는 소프트웨어)처럼 취급하는 방식을 도입했다. 먼저 어디에 어떤 서버가 있는지 찾아내고, 그 다음에 프록시(중계 서버)를 통해 검사하고 통제하는 순서를 밟는 것이다. Cato Networks(클라우드 보안 서비스 기업)의 에타이 마오르는 공격자들이 Atlassian의 MCP와 Jira 서비스 관리 도구를 엮어 공격하는 사례를 시연하며, 에이전트를 단순한 도구가 아니라 채용부터 모니터링, 퇴사까지 관리하는 인사 관리 관점에서 접근해야 한다고 주장했다.
인프라의 노후화는 이 모든 보안 취약점을 더 증폭시킨다. 영국 WPI 전략의 조사 결과 미국, 영국, 프랑스, 독일, 일본의 핵심 네트워크 인프라 중 거의 절반이 노후화되었거나 이미 수명 주기(End-of-Life)가 끝난 상태였다. 제조사가 더 이상 보안 패치를 제공하지 않는 낡은 장비 위에서 최신 AI 에이전트가 돌아가고 있는 셈이다.
AI 에이전트를 단순한 소프트웨어가 아니라, 엄격한 직무 기술서와 출입 권한이 필요한 디지털 직원으로 정의하고 관리해야 한다.
