기업의 54%가 AI 에이전트 보안 사고 또는 아차

AI가 내 대신 메일을 보내고 파일을 수정하는 자동화 환경이 구축되면 우리는 정말로 업무에서 해방될까, 아니면 내가 모르는 사이에 내 권한이 엉뚱한 곳에 쓰이는 보안 위험을 떠안게 될까. 실제로 기업의 54%가 AI 에이전트를 도입한 후 보안 사고를 겪거나 사고가 날 뻔한 아차 사고를 경험했다.

구체적으로 보면 조사 대상 기업 중 18%는 이미 실제 보안 사고가 발생한 것을 확인했으며, 36%는 피해가 생기기 직전에 겨우 발견한 아차 사고를 겪었다. AI 에이전트가 스스로 판단해 움직이는 자율성은 크게 높였지만, 정작 그 행동이 선을 넘지 않도록 묶어둘 보안 통제 수준은 그 속도를 따라잡지 못한 결과다. 자율성과 통제 사이의 간극이 보안 구멍으로 이어진 셈이다.

현재 기업들이 구축한 보안 체계는 전문 보안 솔루션보다 AI 모델 제공사가 기본으로 제공하는 도구에 압도적으로 쏠려 있다. OpenAI의 가드레일(AI가 정해진 규칙을 벗어나지 않게 막는 안전장치)을 사용하는 비중이 51%로 가장 높았다. 구글과 마이크로소프트의 클라우드 제어 도구, 앤스로픽의 관리형 에이전트 제어 도구가 시장을 지배하고 있다. 반면 에이전트 보안만을 전문으로 연구하는 보안 기업의 솔루션을 도입한 사례는 극히 적다. 모델 제공사가 주는 기본 도구만으로 보안을 해결하려는 경향이 뚜렷하며, 이는 전문적인 보안 스택을 갖추기보다 편의성에 의존하고 있음을 보여준다.

기술이 실제로 작동하는 방식

책상 위에 물을 쏟았을 때 중요한 서류가 함께 젖어버리면 끔찍하다. 이런 사고를 막으려면 중요한 서류는 따로 보관함에 넣어둬야 한다. 고위험 AI 에이전트를 샌드박스에 격리해 운영하는 기업은 30%뿐이다. 샌드박스는 외부와 차단된 가상 공간으로, 에이전트가 여기서만 활동하게 만들어 시스템 전체로 피해가 퍼지는 범위를 제한하는 장치다. 권한을 너무 많이 가졌거나 해킹된 에이전트가 시스템 내부에서 잘못된 명령을 내려도 가상 공간이라는 울타리 밖으로는 나가지 못하게 묶어두는 원리다. 에이전트가 일으킨 사고가 시스템 전체의 마비로 번지지 않도록 피해 반경을 물리적으로 끊어내는 핵심 통제 수단이다.

기업 규모가 커질수록 보안 사고는 더 자주 일어나고 방어막은 오히려 얇아진다. 직원 101명에서 1,000명 사이의 중소기업은 사고나 아차 사고율이 49%이며, 샌드박스 격리율은 35%다. 여기서 아차 사고는 실제 피해로 이어지지는 않았지만 사고가 날 뻔한 위험 상황을 뜻한다. 직원 1,000명이 넘는 대기업은 사고율이 63%로 치솟지만 격리율은 20%로 떨어진다. 관리해야 할 에이전트의 수가 많고 연결된 시스템이 복잡한 대기업일수록 오히려 핵심 통제 수단인 격리 조치를 소홀히 하고 있다. 사고 확률은 높지만 정작 피해를 막을 안전장치는 더 적게 갖춘 역설적인 상황이다.

AI 에이전트의 32%만이 개별적으로 범위가 지정된 관리형

사람은 각자 고유한 사원증을 쓰지만, AI 에이전트는 하나의 열쇠를 나눠 쓰는 경우가 많다. 실제로 AI 에이전트의 32%만이 개별적으로 범위가 지정된 관리형 ID(특정 작업에 필요한 권한만 딱 맞춰 부여한 신분증)를 부여받았다. 나머지 기업들은 에이전트끼리 자격 증명을 공유하거나, 공용 API 키를 사용해 에이전트를 구동한다. 심지어 사람이 사용하는 계정이나 시스템 전용 서비스 계정의 권한을 그대로 가져와 에이전트를 실행하는 경우도 흔하다. 이렇게 권한을 공유하면 단 하나의 에이전트만 침해되어도 연결된 모든 시스템이 뚫리는 블래스트 레디우스(blast radius, 사고 발생 시 피해가 확산되는 범위)가 넓어지는 구조적 취약점이 발생한다.

보안 도구에 대한 만족도는 높지만 실제 교체 움직임은 빠르게 일어난다. 기업들이 현재 사용하는 제공사 기본 보안 스택(제공업체가 기본으로 제공하는 보안 도구 모음)에 준 점수는 5점 만점에 평균 4.2점으로 매우 높다. 하지만 대다수 기업은 1년 안에 보안 도구를 바꿀 계획이라고 답했다. 현재의 기본 설정만으로는 개별 신원 부여나 샌드박스 격리(외부와 차단된 독립된 실행 환경) 같은 정교한 통제가 어렵다고 판단했기 때문이다. 만족스러운 도구를 쓰면서도 동시에 이를 대체할 준비를 하는 모순적인 상황이다.

AI가 내 대신 메일을 보내고 파일을 수정하는 자동화 환경에서 기업의 54%는 이미 보안 사고나 위험 상황을 경험했습니다. AI 에이전트에게 개별 사원증과 같은 전용 신원을 부여한 곳이 32%뿐이라, 하나의 계정을 공유하며 권한이 남용되는 구멍이 생겼기 때문입니다.

이제는 단순한 가드레일을 넘어 AI마다 개별 신원을 부여하고 독립된 가상 공간인 샌드박스에 격리해 피해 범위를 제한하는 기준을 세워야 합니다. AI 에이전트의 진짜 성능은 모델의 지능이 아니라 권한을 얼마나 세밀하게 쪼개어 관리하느냐에서 결정됩니다.