세일포인트 "AI 에이전트도 보안 취약"

엔터프라이즈 아이덴티티 보안 전문기업 세일포인트 테크놀로지 홀딩스가 글로벌 보안 및 IT 전문가와 경영진을 설문해 분석한 ‘AI 에이전트: 보안의 새로운 공격 표면’ 연구 보고서를 발표했다. 보고서는 AI 에이전트가 급속도로 확산하는 가운데 아이덴티티 보안 강화의 중요성이 어느 때보다 크다고 강조했다.

보고서에 따르면, 전체 기업의 82%는 이미 AI 에이전트를 활용하고 있지만, 이에 대한 보안 정책을 마련한 곳은 44%에 불과했다. 특히 전문가의 96%가 AI 에이전트를 보안 위협으로 인식하고 있음에도 불구, 기업의 98%는 향후 1년 내 AI 에이전트 활용을 확대할 계획이라고 답해, 보안 우려와 활용 기대가 공존하는 상반된 인식을 보였다.

세일포인트는 ‘AI 에이전트(AI Agent)’ 또는 ‘에이전틱 AI(Agentic AI)’를 특정 환경에서 주어진 목표를 달성하기 위해 스스로 인식하고, 의사결정을 내리며, 행동하는 자율 시스템으로 정의했다. 이러한 AI 에이전트는 필요한 데이터, 애플리케이션, 서비스에 접근하기 위해 다수의 머신 아이덴티티를 요구하며, 자가 수정 및 하위 에이전트 생성 등으로 인해 보안 관점에서 더욱 복잡한 양상을 보인다고 설명했다. 실제로 응답자의 72%는 AI 에이전트가 머신 아이덴티티보다 더 큰 보안 위협이 된다고 답했다.

AI 에이전트를 보안 위협으로 인식하는 각 요인을 보면 △AI 에이전트의 기밀 데이터 접근 능력 (60%) △의도치 않은 행동을 수행할 가능성 (58%) △기밀 데이터 공유 (57%) △부정확하거나 검증되지 않은 데이터에 기반한 의사결정 (55%) △부적절한 정보에 접근 및 공유 (54%) 등으로 조사됐다.

찬드라 나나삼반담(Chandra Gnanasambandam) 세일포인트 제품 부문 수석부사장(EVP) 겸 최고기술책임자(CTO)는 “에이전트 AI는 혁신을 이끄는 강력한 동력인 동시에 잠재적인 위협 요소”라며 “AI 에이전트는 민감한 시스템과 데이터에 대한 광범위한 접근 권한을 가진 채 작동하는 경우가 많지만, 이에 대한 관리 감독은 매우 제한적이다. 이러한 높은 수준의 권한과 낮은 가시성의 조합은 공격자들에게 최적의 표적이 될 수밖에 없다”고 지적했다. 이어 그는 “기업들은 AI 에이전트 사용을 확대함에 따라 ‘아이덴티티 퍼스트(Identity-first)’ 접근 방식을 채택해 AI 에이전트가 인간과 마찬가지로 실시간 권한 관리, 최소 권한 원칙 적용, 모든 활동에 대한 완전한 가시성 확보 등 엄격한 거버넌스 아래 관리돼야 한다”고 강조했다.

세일포인트에 따르면, AI 에이전트는 이미 고객 정보, 재무 데이터, 지적 재산(IP), 법률 문서, 공급망 거래 내역 등 매우 민감한 데이터에 접근할 수 있는 상황이지만, 이에 대한 통제가 미흡하다는 우려가 제기되고 있다. 응답자의 92%가 AI 에이전트 거버넌스가 기업 보안에 매우 중요하다고 답한 가운데 AI 에이전트가 액세스 자격 증명을 탈취하는 데 이용된 적이 있다고 밝힌 비율도 23%에 달했다. 또 기업의 80%는 AI 에이전트가 △ 승인되지 않은 시스템 또는 리소스에 접근 (39%) △민감하거나 부적절한 데이터에 접근 또는 공유 (31% 및 33%) △민감한 콘텐츠를 다운로드 (32%) 등 예기치 못한 행동을 했다고 밝혔다.

보고서는 AI 에이전트가 단순한 시스템 일부가 아니라 독립적인 아이덴티티 유형임을 강조했다. 향후 1년 내 AI 에이전트 활용을 확대할 예정인 기업이 98%에 달하는 만큼, 휴먼 아이덴티티 뿐 아니라 AI와 머신 아이덴티티까지 포괄적으로 관리할 수 있는 아이덴티티 보안 솔루션 도입이 필수라고 지적했다. 이런 솔루션은 환경 내 모든 AI 에이전트를 탐지하고, 통합된 가시성을 제공하며, 제로 스탠딩 권한(Zero Standing Privilege) 원칙을 적용하고, 감사를 가능케 해 기업의 보안을 강화하고 규제 요건을 충족할 수 있게 한다.