마이크로소프트가 AI 에이전트를 위한 OS 레벨 샌드박스인
기업 보안 담당자가 가장 우려하는 시나리오는 자율성을 가진 AI 에이전트가 실수로 중요 파일을 삭제하거나 내부 데이터를 외부로 유출하는 사고다. 마이크로소프트는 이를 해결하기 위해 윈도우 운영체제 자체에 내장된 정책 기반 실행 레이어인 MXC(Microsoft Execution Containers, 마이크로소프트 실행 컨테이너)를 발표했다. 개발자와 IT 관리자가 AI 에이전트가 접근할 수 있는 파일, 네트워크, UI 권한을 정확히 선언하면, 윈도우 OS 커널이 런타임에 이 경계를 강제로 제한한다. 단순한 소프트웨어 수준의 제어가 아니라 OS 커널이 직접 개입하여 권한을 강제한다는 점이 핵심이다. 이는 AI 에이전트의 작업 자율성을 보장하면서도 보안 사고의 위험을 원천적으로 차단해 자율성과 보안 사이의 모순을 해결하는 플랫폼적 조치다.
에이전트의 모든 동작을 추적하고 거버넌스를 구현하기 위해 모든 AI 에이전트를 강력한 ID에 바인딩하는 체계를 구축했다. 에이전트 식별에는 로컬 ID를 사용하거나 마이크로소프트 엔트라(Microsoft Entra, 클라우드 기반 ID 관리 서비스)를 통한 클라우드 프로비저닝 ID를 활용한다. 개별 에이전트에 고유한 식별자를 부여함으로써 시스템 내에서 발생하는 모든 행위의 귀속처를 명확하게 정의한다. 이렇게 확보된 ID 체계는 에이전트가 수행하는 모든 개별 작업에 대해 정밀한 감사와 거버넌스를 수행하는 근거가 된다. 결과적으로 관리자는 에이전트가 수행한 모든 작업의 이력을 추적하고 통제함으로써 기업 내부의 보안 요구사항을 충족한다.
구성 가능한 샌드박스 스펙트럼'을 통해 워크로드에 맞는 다양한
AI 에이전트에게 PC 제어권을 넘겼을 때 중요한 시스템 파일이 삭제되거나 내부 데이터가 외부로 유출되는 사고는 기업이 도입을 망설이는 가장 큰 이유다. MXC(Microsoft eXecution Control, 마이크로소프트 실행 제어)는 이를 해결하기 위해 '구성 가능한 샌드박스 스펙트럼'을 통해 워크로드에 맞는 격리 수준을 제공한다. GitHub Copilot(깃허브 코파일럿)의 명령줄 인터페이스(CLI)가 이미 채택한 가벼운 프로세스 격리부터 시작해 마이크로 가상 머신(micro-VM), 리눅스 컨테이너, 그리고 Windows 365의 전체 클라우드 인스턴스까지 지원 범위를 확장했다. 사용자의 작업 의도와 잠재적 리스크에 따라 격리 수준을 동적으로 조정할 수 있도록 설계하여 보안성과 성능 사이의 최적점을 찾는다.
세션 격리는 에이전트의 실행 환경을 사용자의 데스크톱, 클립보드, UI 및 입력 장치와 완전히 분리하는 방식으로 작동한다. 이 구조는 에이전트가 가짜 화면을 띄워 사용자를 속이고 악성 동작을 승인하게 만드는 UI 스푸핑(UI Spoofing)이나, 다른 애플리케이션에 임의의 키 입력을 보내는 입력 주입 공격을 직접적으로 차단한다. 또한 세션 간 데이터 유출 경로를 원천적으로 끊어내어 에이전트가 사용자 권한을 도용해 시스템을 조작하거나 정보를 빼내는 행위를 막는다. OS 수준의 격리 체계를 통해 에이전트의 기능적 역량을 깎지 않고도 기업망 배포에 필요한 보안 기준을 확보한다.
기술이 실제로 작동하는 방식
기업 보안 담당자가 AI 에이전트의 권한을 설정하며 가장 우려하는 점은 유능한 도구가 동시에 가장 위험한 공격 통로가 된다는 사실이다. 에이전트가 복잡한 업무를 처리하기 위해 더 높은 자율성을 갖출수록, 기업 네트워크 내부에서 발생할 수 있는 보안 사고의 위험도는 정비례하여 증가하는 역설이 발생한다. MXC(Microsoft eXecution Control, 마이크로소프트 실행 제어)는 에이전트의 개별 기능을 깎아내어 유용성을 해치는 대신, 에이전트가 작동하는 환경을 근본적으로 제어함으로써 이 역설을 해결한다. 이는 그동안 신뢰할 수 있는 실행 환경의 부재로 인해 실제 현장 도입이 어려웠던 AI 에이전트를 데모 수준에서 벗어나 실제 기업 배포 단계로 전환하는 핵심 동력이 된다.
에이전트는 파일 오픈이나 코드 실행, API 호출 같은 동작을 예측 불가능하게 수행하며 기존의 정적인 소프트웨어와는 완전히 다른 새로운 공격 표면을 생성한다. 보안 연구자들은 프롬프트 인젝션을 통해 에이전트의 명령 체계를 조작하거나, 악성 도구를 호출하고, 정상적인 워크플로우로 위장해 기업 내부 데이터를 외부로 유출하는 구체적인 공격 방법들을 이미 증명했다. MXC는 에이전트가 실행되기 전 필요한 권한을 미리 선언하게 하고, 운영체제가 이를 강제함으로써 허가되지 않은 모든 접근을 원천적으로 차단한다. AI 에이전트의 자율적 동작이 프롬프트 인젝션이나 데이터 유출 같은 실제 위협으로 변질되지 않도록 실행 계층에서 보안 가드레일을 구현한다.
AI 에이전트에게 PC 제어권을 부여할 때 발생하는 파일 삭제나 데이터 유출의 공포는 이제 기술적 통제 영역으로 들어온다. MXC는 윈도우 OS 커널 수준에서 파일, 네트워크, UI 접근 권한을 강제로 제한하는 정책 기반 실행 계층을 통해 이 위험을 원천적으로 차단한다.
단순 프로세스 격리부터 마이크로 VM과 윈도우 365 클라우드 인스턴스까지 제공하는 구성 가능한 샌드박스 스펙트럼은 기업이 보안 강도와 성능 사이의 최적점을 선택하는 기준이 된다. 결국 에이전트의 기능적 역량을 깎지 않고도 기업망 배포 가능 여부를 결정하는 핵심 잣대는 OS 수준의 격리 체계 확보 여부로 귀결된다.
