정적 정책을 대체하는 'Continuous Identity'
AI 에이전트에게 업무를 맡기는 것은 편리하지만, 권한을 잘못 주면 통제 불능의 상태가 된다. 실제로 HiddenLayer(AI 보안 전문 기업)의 2026년 AI Threat Landscape Report를 보면 AI 보안 침해 사례 8건 중 1건이 에이전트 시스템과 연결되어 있다. 설문에 참여한 250명의 IT 및 보안 리더 중 33%는 에이전트가 원래 정해진 범위를 이미 넘어섰다고 답했다. AI가 스스로 판단해 움직이는 만큼 보안 사고의 위험도 함께 커진 셈이다.
CrowdStrike(클라우드 기반 보안 기업)는 6월 15일 Identiverse(신원 관리 보안 컨퍼런스)에서 Continuous Identity for AI Agents를 출시했다. 미리 정해둔 규칙만으로 권한을 관리하던 정적 정책을 버리고 실시간 승인 체계로 바꾼다. 에이전트가 수행하는 모든 동작을 그때그때 확인해 승인하는 지속적 집행 방식을 통해 런타임 보안, 즉 프로그램이 실행되는 동안의 보안을 강화했다. 이는 에이전트의 신원을 검증 가능한 방식으로 관리해 보안 맹점을 해결하려는 시도다.
이 기술은 에이전트의 신원을 검증 가능한 방식으로 관리해 보안 맹점을 없앤다. 출입구에서 신분증을 한 번 확인하고 통과시키는 것이 아니라, 건물 안에서 하는 모든 행동마다 신분을 다시 확인하는 것과 같다. 에이전트가 어떤 동작을 할 때마다 그 신원이 맞는지, 해당 동작이 허용된 것인지 실시간으로 대조한다. 이제 에이전트의 신원을 실시간으로 검증하고 동작 단위로 권한을 부여하는 방식은 어떤 보안 벤더를 선택하든 반드시 갖춰야 할 기본 구매 기준이 됐다.
AI 에이전트를 하이재킹하는 'agentjacking'
개발자는 에러를 고치려 AI를 켰지만, AI는 정반대로 공격자의 명령을 수행한다. Tenet Security가 AI 에이전트를 가로채는 'agentjacking' 취약점을 찾아냈다. Sentry(소프트웨어 오류를 실시간으로 수집하는 도구)의 공개된 자격 증명을 이용해 조작된 에러 보고서를 보내는 방식이다. 별도의 시스템 침입이나 인증 과정 없이도 AI 에이전트가 이 가짜 보고서를 신뢰할 수 있는 진단 결과로 받아들이면 공격자가 심어놓은 코드를 개발자의 권한으로 그대로 실행한다. Claude Code, Cursor, Codex가 이 공격에 취약하며, 통제된 테스트에서 85%라는 높은 성공률을 기록했다.
기존의 보안 체계는 이 공격을 전혀 잡아내지 못했다. EDR(단말기에서 발생하는 위협을 탐지하고 대응하는 보안 솔루션), WAF(웹 서비스로 들어오는 악성 트래픽을 막는 방화벽), IAM(사용자 권한을 관리하는 시스템)과 방화벽 모두 무용지물이었다. 공격자가 공개된 DSN(Sentry 서버로 데이터를 보내는 고유 주소)으로 유효한 API 호출을 보내면, MCP(AI 모델이 외부 데이터에 접근하도록 돕는 표준 규격) 서버가 이를 인증된 정보로 반환하기 때문이다.
모든 과정이 정상적인 승인 절차를 밟은 것처럼 처리된다. MCP 서버가 넘겨준 데이터를 AI 에이전트가 신뢰하고 개발자 권한으로 실행하기 때문에 보안 시스템은 이를 정상적인 업무 활동으로 인식한다. AI 에이전트에게 부여한 권한이 실제 인간 개발자의 권한과 동일한 수준인지 점검해야 한다. 실행 단계에서 동작을 감시하고 제어하는 런타임 보안 도입 여부를 판단하는 기준이 된다.
외에도 Datadog, PagerDuty, Jira 등 MCP
한 명의 개발자가 실수로 설정 값을 공개하면 팀 전체의 보안망이 무너진다. AI 코딩 에이전트가 MCP(AI 모델이 외부 데이터에 접근할 수 있게 돕는 표준 규격)를 통해 Datadog, PagerDuty, Jira 등 개발자가 신뢰하는 데이터 소스에 연결되어 있다면 위험은 더 커진다. 에이전트가 셸 명령어(컴퓨터에 직접 명령을 내리는 텍스트 입력창)를 실행할 권한까지 가졌을 때 치명적인 보안 맹점이 발생한다. 보안 기업 Tenet은 공개적으로 노출된 Sentry 자격 증명을 가진 조직이 2,388개에 달한다는 사실을 식별했다. 이 자격 증명을 이용하면 대규모로 악성 이벤트를 주입해 에이전트가 악성 코드를 실행하게 만들 수 있다.
정작 기업들은 AI 에이전트를 사람보다 훨씬 느슨하게 관리하고 있다. Okta/Apprize360이 경영진 292명과 지식 노동자 492명을 대상으로 조사한 결과, AI 에이전트에 인간과 동일한 보안 통제를 적용하는 조직은 34%에 불과했다. Gravitee가 900명 이상의 경영진과 실무자를 조사했을 때도 완전한 보안 승인을 받고 배포된 에이전트는 14.4%뿐이었다. AI에게 부여한 권한이 인간 개발자와 동일한지 점검하고 런타임 보안(프로그램이 실행되는 동안 실시간으로 감시하는 보안) 도입 여부를 결정해야 한다.
편리함에 취해 AI 에이전트에게 개발자 권한을 통째로 넘겨주는 순간, 외부 도구와 AI를 잇는 MCP라는 연결 통로는 공격자의 명령어가 들어오는 고속도로가 된다. 가짜 에러 보고서 한 줄에 시스템 전체가 뚫리는 에이전트재킹은 이제 현실적인 위협이다.
AI에게 부여한 권한이 인간 개발자와 동일한지 지금 즉시 점검하고, 실행 단계의 제어 장치를 갖췄는지 확인해야 한다. AI 시대의 보안은 누구를 믿느냐가 아니라 무엇을 허용하느냐의 싸움이다.
