세일포인트테크놀로지홀딩스가 인공지능(AI) 에이전트의 보안에 대해 분석한 ‘AI 에이전트: 보안의 새로운 공격 표면’ 보고서를 발표했다. 이 보고서에서는 IT 전문가와 경영진 모두 AI에이전트의 위험성에 대해 인지하고 있음이 드러났다. 

보고서에 따르면, 전체 기업의 82%가 이미 AI에이전트를 활용하고 있는 가운데 IT전문가의 96%가 AI에이전트를 보안 위협으로 인식하고 있다고 응답했다.

하지만 98%는 향후 1년 내 AI에이전트 활용을 확대할 계획을 갖고 있는 반면 AI에이전트에 대한 보안 정책을 마련한 곳은 44%에 불과했다. 이는 AI 활용에 대한 기대와 보안 우려가 공존하는 상반된 인식을 보여주는 결과다.

AI에이전트를 보안 위협으로 인식하는 요인으로는 ▲AI에이전트의 기밀 데이터 접근 능력(60%) ▲의도치 않은 행동을 수행할 가능성(58%) ▲기밀 데이터 공유(57%) ▲부정확하거나 검증되지 않은 데이터에 기반한 의사결정(55%) ▲부적절한 정보에 접근·공유(54%) 등이 지목됐다. 

세일포인트에 따르면, AI에이전트는 이미 고객정보, 재무 데이터, 지적재산(IP), 법률 문서, 공급망 거래 내역 등 민감한 데이터에 접근할 수 있는 상황이지만 통제 미흡에 대한 우려가 상존한다.

응답자의 92%가 AI에이전트 거버넌스가 기업 보안에 매우 중요하다고 답한 가운데 AI에이전트가 액세스 자격증명을 탈취하는 데 이용된 적이 있다는 답변도 23%에 달했다. 

기업의 80%는 AI에이전트가 ▲승인되지 않은 시스템 또는 리소스 접근(39%) ▲민감하거나 부적절한 데이터에 접근(31%) 또는 공유(33%) ▲민감한 콘텐츠를 다운로드 (32%) 등 예기치 못한 행동을 했다고 밝혔다.

세일포인트는 AI에이전트가 단순한 시스템 일부가 아니라 독립적인 아이덴티티 유형임을 강조했다.

향후 1년 내 AI에이전트 활용을 확대할 예정인 기업이 98%에 달하는 만큼 휴먼 아이덴티티뿐만 아니라 AI와 머신 아이덴티티까지 포괄적으로 관리할 수 있는 아이덴티티 보안 솔루션 도입이 필수라는 것이다. 

찬드라 나나삼반담 세일포인트 CTO는 “AI에이전트는 민감한 시스템과 데이터에 대한 광범위한 접근 권한을 가진 채 작동하는 경우가 많지만 이에 대한 관리 감독은 매우 제한적”이라며 “기업은 AI에이전트 사용을 확대함에 따라 아이덴티티 중심 접근 방식을 채택해 AI에이전트가 인간과 마찬가지로 실시간 권한 관리, 최소 권한 원칙 적용, 모든 활동에 대한 완전한 가시성 확보 등 엄격한 거버넌스 아래 관리돼야 한다”고 강조했다.

한편, 세일포인트는 AI에이전트 또는 에이전틱AI를 특정 환경에서 주어진 목표를 달성하기 위해 스스로 인식하고 의사결정을 내리며, 행동하는 자율 시스템으로 정의했다.

이러한 AI에이전트는 필요한 데이터, 애플리케이션, 서비스에 접근하기 위해 다수의 머신 아이덴티티를 요구하며 자가 수정·하위 에이전트 생성 등으로 인해 보안 관점에서 더 복잡한 양상을 보인다고 세일포인트는 설명했다.