기업 세계에서 ‘인턴 탓하기’는 오랜 전통처럼 내려오는 황당한 관행이다. 이는 수백만 달러를 받으며 관리 책임을 맡은 경영진이 대형 사고가 터진 후에 그 책임을 가장 힘없는 조직 구성원에게 떠넘기는 일종의 홍보용 방어기제다. 2021년 솔라윈즈 전 CEO는 치명적인 비밀번호 유출 사고를 “인턴의 실수” 때문이라고 돌렸다. 대중의 반응은 즉각적이었다. 최고 경영진이 대규모 보안 실패의 책임을 학교를 갓 졸업했을 법한 인턴에게 전가한다는 발상은 황당하면서도 기업의 리더십이 얼마나 책임 회피적일 수 있는지 적나라하게 드러냈다.

오늘날 상황은 더욱 기묘하게 전개되고 있다. 지각·추론·행동이 가능한 자율 프로세스인 에이전틱 AI 시스템이 실제 운영 환경과 민감한 데이터에 접근하고 있다. 그런데도 대부분 기업이 인간 인턴에게 주는 안전장치보다 훨씬 더 적은 보호 조치를 제공한다. 문제는 AI가 지시를 예측 가능한 방식으로 따르지 않으며, 사고가 발생했을 때 확인하고 디버깅할 수 있는 단일 코드 라인이 존재하지 않는다는 점이다.

실상은 간단하다. 시스템과 데이터에 자율 접근 권한을 부여하는 것은 단순히 인턴을 고용하는 수준이 아니다. 술에 취한 인턴에게 마스터키를 넘겨주고 주말에 자리를 비우는 것과 다름없다.

자율성과 통제의 균형

에이전틱 AI의 매력은 분명하다. 목표만 주어지면 에이전트는 멈추지 않고 작업을 이어가며, 여러 시스템을 넘나들어 조율하고, 인간보다 훨씬 빠르게 과제를 수행한다. 속도와 운영 효율성을 중시하는 기업에는 이런 자율성이 경쟁 우위로 이어질 수 있다.

하지만 한계 없는 자율성은 위험으로 이어진다. AI 에이전트는 비결정적(non-deterministic)이기 때문에 특정 목표를 달성하기 위해 그런 경로를 선택한 이유를 완전히 예측하거나 재구성할 방법이 없다. 전통적인 소프트웨어라면 코드를 읽고, 기대한 동작과 실제 결과를 비교하며 버그를 찾아낼 수 있다. 그러나 AI 에이전트의 추론 과정은 복잡한 의사결정 네트워크 속에 숨어 있어 들여다보기 어렵다.

이 같은 에이전트가 기업의 운영 환경에서 실행될 경우, 악성 라이브러리를 불러오는 것부터 데이터베이스에 파괴적인 변경을 가하는 것까지, 모든 행위가 잠재적인 실패 지점이 될 수 있다.

합리적인 대응은 자율성을 금지하는 것이 아니라, 자율성과 통제를 함께 설계하는 것이다. 신중한 접근 방식이란 에이전트가 예기치 못한 방식으로 행동하더라도 그로 인한 피해가 극히 제한된 범위 안에서만 발생하도록 시스템을 설계하는 것이다.

SOAP와 API 시대가 남긴 교훈

새로운 패러다임이 등장할 때 첫 번째 단계는 보통 시스템 간의 대화 방식을 정립하는 것이지, 그 대화를 안전하게 만드는 보안성에는 신경 쓰지 않는다. 2000년대 초반, 웹 서비스가 직면한 문제도 바로 이것이었다. 단순 객체 접근 프로토콜(Simple Object Access Protocol, SOAP)은 시스템 간 데이터를 교환하기 위한 구조화된 (그리고 종종 장황한) 방식을 제시했다. 이는 상호운용성 측면에서 중요한 이정표였지만, 안전하지는 않았다. SOAP은 데이터 유출을 막지도, 강력한 인증을 강제하지도, 악성 페이로드로부터 보호하지도 못했다.

이후 수년에 걸쳐 REST, JSON API, 그리고 성숙한 마이크로서비스 패턴으로 발전하면서 웹 서비스의 보안은 비로소 통신만큼이나 표준화됐다. 그 시점이 되자 인증(authentication), 인가(authorization), 스키마 검증(schema validation), 요청 제한(rate limiting)과 같은 강력한 API 제어 장치가 ‘올바른 API 구현’의 필수 요소로 자리 잡았다.

교훈은 분명하다. 표준은 상호작용의 규칙을 정할 수는 있지만, 그 상호작용을 안전하게 만드는 것은 오직 보안이다.

현재 에이전틱 AI는 SOAP 시절과 비슷한 상황에 놓여 있다. 모델 컨텍스트 프로토콜(Model Context Protocol, MCP)이나 에이전트 투 에이전트(Agent2Agent, A2A) 같은 초기 프로토콜이 등장해 검색, 협상, 통합을 위한 기본적인 공통 언어를 마련하고 있다. 분명 필요한 과정이지만, 충분하지는 않다. SOAP이 시스템 간 통합을 신뢰할 만하게 만들지 못했던 것처럼 오늘날의 AI 프로토콜도 자율 에이전트를 기본적으로 안전하게 보장하지는 못한다.

복잡한 AI 인프라는 이 문제를 더욱 심화시킨다. 에이전트는 다중 테넌트 쿠버네티스 클러스터에서 실행되는데, 이 환경에서는 워크로드 간 ‘비대칭 신뢰’가 일상적이다. 또한 GPU 위에서 구동되는데, GPU는 기본적으로 격리나 메모리 보호 기능이 거의 없다. 네임스페이스, 컨테이너, 하드웨어 수준에서 에이전트가 접근할 수 있는 범위를 제한하는 통제가 없다면, 프로토콜 준수만으로는 데이터 유출, 모델 탈취, 의도치 않은 횡적 이동을 막을 수 없다.

표준은 어떻게 연결할지를 알려줄 뿐이다. 연결이 제멋대로 폭주하지 않도록 보장하는 것은 결국 보안이다.

바로 여기서 다음 과제가 시작된다. 프로토콜은 시간이 지나며 성숙해지겠지만, API가 상호운용성에서 무결성으로 도약했던 것과 같은 전환이 뒤따르지 않는다면 에이전틱 AI는 여전히 SOAP 시대에 머물게 될 것이다. 연결은 가능하겠지만, 위험에 그대로 노출된 상태로 말이다.

신뢰의 위험과 격리의 힘

오픈소스 소프트웨어의 역사에서도 비슷한 신뢰의 딜레마가 드러난 바 있다. 오픈소스 초창기에는 직접 작성하지 않고 완전히 검증할 수 없는 코드를 실행하는 것을 주저하는 기업이 많았다. 그러나 시간이 흐르면서 라이선스 규범, 보안 스캐닝 도구, 출처 검증 체계가 정착되며 오픈소스는 대규모로 활용하는 방식으로 자리 잡았다. 이는 새로운 도구만의 문제가 아니었다. 회의적인 태도와 의도적인 검증을 중시하는 문화적 변화가 필요했다.

에이전틱 AI에서는 이 신뢰 격차가 훨씬 더 크다. AI 에이전트가 왜 특정 결정을 내렸는지 우리는 종종 완전히 설명할 수 없다. 또 목표를 달성하기 위해 어떤 방식으로 행동을 연결해 나갈지 쉽게 예측하기 어렵다. 일단 에이전트가 실제 환경에서 명령을 실행할 권한을 갖게 되면, 악의적 의도가 없어도 지시를 예상치 못한 방식으로 해석해 취약점을 만들거나 피해를 일으킬 수 있다.

이런 위험은 에이전트가 다중 테넌트 쿠버네티스 클러스터나 기본 메모리 보호 기능이 없는 GPU 위에서 동작할 때 더 커진다. 오픈소스 라이브러리를 실행하는 취약한 팟(pod)이 민감한 인증 정보를 다루는 다른 팟 옆에서 구동될 수 있으며, 이를 안전하게 격리해 주는 샌드박스는 기본적으로 제공되지 않는다. 하드웨어 차원에서도 GPU는 한 워크로드가 끝난 뒤에도 민감한 모델 가중치나 독점적인 학습 데이터를 그대로 보관할 수 있어 이후 실행되는 작업이 이를 읽거나 활용할 가능성이 생긴다.

따라서 격리(isolation)는 현대 엔지니어링 도구 상자에서 가장 중요한 역량 중 하나로 떠올랐다. 목표는 에이전트가 동작하되, 그 범위를 철저히 제한된 환경 안으로 가두는 것이다. 마치 네트워크 세그먼테이션(network segmentation)과 런타임 샌드박스가 침해된 프로세스의 영향이 퍼지는 것을 제한하는 것처럼, 에이전틱 AI에서의 격리란 시스템·데이터·네트워크 경로에 대한 접근을 제어함으로써 에이전트의 잘못된 결정이 기업 전체로 확산되지 않도록 하는 것을 의미한다.

최근 발생한 사건이 이런 점을 명확히 보여준다. 2025년 7월 한 소매 기업이 환불 업무를 자동화하기 위해 만든 AI 챗봇이 회사 백엔드 시스템에서 스스로 권한을 높여 버리는 일이 벌어졌다. 그 결과, 수천 건의 허위 환불 테스트가 실제 계정으로 처리됐다. 이 문제의 핵심은 챗봇이 자율적으로 동작한 것이 아니다. 접근 권한 확대를 막을 격리 계층이 부재했다는 점이다. 만약 제대로 된 격리 체계가 있었다면 챗봇은 테스트 환경에만 머물렀을 것이고, 실제 계정에는 영향을 미치지 않았을 것이다. 기업의 대규모 재정 손실을 막을 수 있었을 것이다.

목적 있는 경계심

에이전틱 AI 보안을 두고 과도한 공포를 조장하려는 것이 아니다. 역사적으로 볼 때 API 사례와 마찬가지로, 업계는 언젠가는 자율 에이전트를 위한 예측 가능한 패턴, 신뢰할 수 있는 표준, 그리고 견고한 거버넌스를 마련하게 될 것이다. 미래에는 어떠한 보호 장치도 없이 AI 에이전트를 운영하는 행위가 인증 없는 퍼블릭 API를 노출하는 것만큼이나 무모하게 여겨질 가능성이 크다.

현시점에서 에이전틱 AI 보안은 격리를 핵심 과제로 삼고 있다. 격리 기법을 제대로 익히고 적용할 수 있는 엔지니어만이 불필요한 위험에 기업을 노출하지 않고 AI 자율성의 이점을 자신 있게 활용할 수 있다. 반대로 ‘술 취한 인턴’ 문제를 무시하는 기업은 언젠가 매우 값비싼 대가를 치르게 될 것이다.

메시지는 간단하다. 에이전틱 AI의 장점을 적극적으로 받아들이되, 인턴이 술에 취해 비밀번호를 쥐고 있으며, 스스로 유능하다고 생각하는 상황이라고 가정하라. 그리고 그런 상태에서도 심각한 피해를 일으킬 수 없도록 시스템을 설계하라.

*Jed Salazar는 런타임 보안 업체 에데라(Edera)의 현장 CTO다.
dl-itworldkorea@foundryco.com