CISO는 지금 거대한 정체성 위기에 직면해 있다.

버라이즌(Verizon)의 2025 데이터 침해 조사 보고서에 따르면, 사이버 공격자는 선호하는 초기 침투 벡터를 바꾸고 있으며, 도난된 자격 증명이 데이터 유출의 주요 원인으로 떠오르며 전체 침해의 22%, 웹 애플리케이션 기본 공격의 88%를 유발하는 것으로 나타났다. 배로니스(Varonis) 연구진이 2024년 사이버공격의 57%가 손상된 정체성에서 시작됐다고 결론 내린 이후 등장한 결과다.

연구 출처가 어디든, 크고 작은 사이버 침해의 대부분이 점점 더 정체성 실패에서 시작되고 있다는 사실은 부정할 수 없다.

그리고 이러한 실패는, 자율적으로 동작하는 에이전트형 AI가 확산되면서 더 자주, 더 빠르게, 기계 속도로 심화될 가능성이 높다. AI 에이전트가 인간을 모방하거나 완전히 자동으로 행동하고, 기존 거버넌스 프로세스 속도가 따라갈 수 없을 정도로 빠르게 의사결정을 내리는 환경에서는 기업의 정체성 시스템을 감시·관리하는 방식 자체를 재설계해야 한다.

정체성 보안 플랫폼 업체 올레리아(Oleria) CEO이자 SINET 정체성 워킹그룹 의장인 짐 알코브는 최근 다음과 같이 언급했다.
“지금의 정체성·접근 제어 프레임워크, 프로토콜, 운영 프로세스는 AI의 속도와 규모, 복잡성을 처리하도록 설계된 적이 없다.”

전문가는 CISO가 더 이상 로그인이나 접근 권한 부여 수준에 머물지 말고, 정체성 관리를 기업 운영의 핵심 축으로 재정비해야 한다고 말한다.

전통적 정체성 모델의 붕괴

현재의 정체성·접근 제어 모델은 사람에게 접근 권한을 부여하는 구조를 전제로 만들어졌으며, 지금처럼 기업 곳곳에 확산되는 AI 에이전트 같은 자율 소프트웨어를 염두에 두고 설계된 것이 아니다. 전문가는 사용자명·역할·권한을 배포하는 인간 중심 모델은, 매초 수천 개의 요청을 보내는 대규모 자율 에이전트 집단을 맞닥뜨리는 순간 쉽게 붕괴될 것이라고 말한다.

옥타(Okta) 제품·기술 총괄 릭 스미스는 “우리는 인간 행동을 모방하는 무언가를 기업 환경 안으로 들여오고 있는데, 이 새로운 존재를 어떻게 인증하고 승인할지 아무도 고려하지 않고 있다”라고 말했다. 이어 “이 상황은 길에 있던 아무 사람이나 건물 안으로 데려와 자유롭게 움직이게 하는 것과 다르지 않다”라고 설명했다.
스미스는 “많은 기업이 대규모 언어 모델을 개발하거나 이를 기반으로 시스템을 구축하는 과정에서 사실상 이런 위험한 방식을 그대로 적용하고 있다”라고 전했다.

더 심각한 문제는 기존 정체성 모델에 AI 에이전트를 끼워 넣는 것이 이미 복잡하고 문제 많은 정체성 환경에 또 다른 혼란을 더한다는 점이다.

센티널원(SentinelOne) 위협 분석·대응 수석부사장 스티브 스톤은 “AI가 향하는 방향은 이미 존재하는 정체성 문제를 더 가속화할 것”이라며, “현재도 충분히 어렵고 광범위한 문제에 AI라는 기름을 붓는 셈이 될 것”이라고 설명했다.

스톤은 여기에 AI와 상호작용하는 전형적 레이어가 문제를 더 심화한다며 “머신 정체성 문제는 AI 및 관련 기술과의 상호작용 대부분이 API나 기타 메커니즘을 통해 이루어지기 때문이다. 정체성은 단순히 기계에 로그인하는 방식의 문제가 아니라, 기업의 기계가 다른 기계와 어떻게 소통하는지까지 포함한다”라고 덧붙였다.

문제는 이것뿐이 아니다. 대다수 기업은 정체성 문제의 발생 속도에 대응할 준비가 돼 있지 않다.

스톤은 “예전엔 침해 탐지가 ‘몇 달 → 몇 주 → 며칠 → 몇 시간’ 순으로 빨라졌다. 그러나 AI 에이전트 시대에는 몇 초 단위로 기업에 영향을 미치는 결정을 내려야 한다. 사고 대응 매뉴얼을 펼칠 시간조차 없을 것”이라고 경고했다.

위성 기반 항공감시 업체 에어리온(Aireon) CISO이자 딜로이트 전 CISO인 피트 클레이는 “이제는 수만~수십만 개의 정보 조각을 한꺼번에 모아낼 수 있는 도구가 등장했다. 정체성 시스템은 원래 내가 보낸 워드 문서를 상대가 열 수 있게 하려는 수준의 속도로 만들어졌다. 그런데 지금은 AI 환경에서 요구되는 속도와 밀도를 처리해야 한다. 그런 속도를 전제로 설계된 적이 없다”라고 설명했다.

신뢰 기반 정체성 구조로의 전환

대다수 기업은 다양한 이유로 여러 정체성·접근관리 시스템을 병렬적으로 운영하고 있다. 특정 업체 기술에 묶여 있거나, 인수·합병 당시의 레거시 시스템이 잔존하거나, 규제 요건 때문에 유지되는 경우가 대표적이다.

올레리아 제품 부사장 비제이 가잘라는 “에이전트형 AI 시대가 본격화되기 이전부터 정체성은 이미 사일로화돼 있는 상태다”라고 말했다. 이어 “온프레미스 액티브 디렉터리, 클라우드 기반 엔트라, 구글 아이덴티티, 옥타 등 여러 체계가 공존하는 상황에서는 ‘누가 무엇에 접근하는가’를 단일 관점에서 설명할 수 없다”고 전했다. “이 자체가 오늘날 정체성의 근본적 문제다”라고 강조했다.

이 때문에 SINET 정체성 워킹그룹—구글 보안 엔지니어링 부사장 헤더 애드킨스, 줌·스플렁크 전 CISO 제이슨 리, F5 CTO 마이클 몬토야 등 인터넷 인프라·보안 분야 전문가가 참여—은 AI 신뢰 패브릭(AI Trust Fabric)이라는 개념을 제안하고 있다. 이 패브릭은 “완전한 신뢰를 기반으로 작동하는 자율적·자가 치유형 시스템”을 목표로 한다고 그룹은 설명했다.

이 패브릭은 모든 엔티티가 고유하고 검증된 정체성을 보유해야 하며, 프로토콜은 토큰의 소유·정체성의 출처를 암호학적으로 증명할 수 있어야 한다고 제시한다.

또한 정적 베어러 토큰처럼 취약성을 노출하는 구조를 제거하고, 세분화된 권한 관리, API 기반 구성 가능성, 최소 권한 모델에 따른 에이전트 접근 제어를 구현하는 것이 핵심이라고 그룹은 밝혔다.

게다가 접근 권한은 단순한 예/아니오가 아니라 체인에 포함된 모든 엔티티를 반영한 동적 구성이어야 하며, AI 에이전트가 사람이나 다른 AI를 대신해 행동할 때는 명확한 위임 관계가 드러나야 한다고 설명했다. 특히 즉시성 기반 권한 부여(Just-in-Time)와 권한 철회 정책이 기본적으로 시스템에 내장되어야 한다고 강조했다.

텔러스(TELUS) 부사장 겸 CSO 캐리 프레이는 “정체성 측면에서 우리는 에이전트에게 독자적 권한을 부여해서는 안 된다는 점을 분명히 해야 한다”라고 말했다.
프레이는 이어 “사람의 접근 권한은 며칠·몇 달·몇 년 단위로 생각하지만, 에이전트는 몇 초 또는 몇 시간 단위로 생성과 소멸을 반복할 수 있다”라고 설명했다. “게다가 에이전트는 수많은 하위 에이전트를 자동으로 생성해 전 세계에서 활동할 수 있으며, 인간이 추적하기 어려운 속도로 움직인다는 점이 본질적 위험이다”라고 전했다.

AI의 기존 위험을 해결하기 위한 정체성 관리 고도화

정체성 신뢰 패브릭은 이미 알려진 AI 위험을 선제적으로 억제하는 효과적인 수단이 될 수 있다. SINET 그룹은 다음과 같은 신종 AI 위협을 개선된 정체성 관리가 사전 차단할 수 있다고 분석했다.

• CI/CD 파이프라인 취약성: 초기 LLM 단계에 악성 코드를 주입해 근본부터 모델을 오염시키는 공격
• 프롬프트 인젝션: 미묘한 악성 입력을 통해 AI 에이전트의 행동을 조작하는 공격
• AI 탈취·조작: 위협 행위자가 모델의 출력·의사결정을 통제
• 데이터 중독(Data Poisoning): 학습 데이터에 악의적·왜곡 정보를 주입
• 모델·학습 데이터 유출: 정교한 프롬프트로 민감 정보를 빼내는 공격
• 모델 추출·IP 탈취: API 반복 호출로 모델 동작을 재구축해 지식재산을 훔치는 공격

전문가는 이 중 프롬프트 인젝션이 가장 실현 가능성이 높은 위협이라고 입을 모은다.

센티널원 최고제품책임자 일라이 칸은 “프롬프트 인젝션 문제는 이미 현실이며, 공격자가 웹 어딘가에 악성 프롬프트를 숨겨두고 AI 시스템이 이를 읽어주기를 기다리기만 하면 된다”라고 말했다. 이어 “그렇게 속은 AI 시스템은 민감한 데이터를 노출하기 시작한다”라고 설명했다.

칸은 “머지않아 AI 보안 사고—특히 프롬프트 인젝션—가 매주 헤드라인을 장식하는 상황이 올 것이라고 본다”라고 전했다.

AI 에이전트 행동 검증의 현실

더 많은 기업이 AI 에이전트를 활용해 워크플로를 자동화하는 상황에서, 테스트는 에이전트가 수행 가능한 여러 행동 중 어떤 선택을 하고 그 선택을 어떻게 정당화하는지를 평가해야 한다.

AI 기업 투자·컨설팅 업체 버던트(Verdent) 공동창업자 겸 CEO 즈이지에 천은 “테스트는 에이전트의 사고 과정뿐 아니라 실제로 실행하는 행동까지 검증해야 한다”라고 말했다. 이어 “위험도가 높거나 복잡하거나 모호한 의사결정 환경에서는 완전 자동화된 테스트만으로 안전성과 신뢰성을 보장하기 어렵기 때문에 인간 개입 기반 검증이 전략적 안전장치 역할을 한다”라고 전했다.

AI 에이전트의 행동 테스트는 사람의 의사결정을 평가하는 과정과 매우 유사하다. 사람의 판단을 평가할 때 비언어적 단서나 외부 전문가 의견을 참고하듯, AI 에이전트의 추천·행동도 다층적 검증 절차가 필요하다.

스텔러IQ(StellarIQ) 공동창업자 마이크 핀리는 “에이전트형 AI의 테스트 자동화를 위해 효과적인 방법 중 하나는 ‘검증자 에이전트’를 도입하는 것이다”라고 말했다. 이어 “검증자 에이전트는 다른 에이전트의 작업을 감독하며 정확성뿐 아니라 톤, 표현의 미묘함, 행동 단서 같은 인간적 요소까지 함께 평가한다”라고 설명했다. 핀리는 “사람에게 업무를 맡기면 감독자가 평가하듯, AI 에이전트를 관리하는 방식도 동일해야 한다”라고 강조했다.

출시 적합성을 보장하기 위한 보안·운영 관행

AI 에이전트는 애플리케이션, 자동화 시스템, AI 모델이 가진 복잡성을 모두 내포하므로 운영 환경 배포 전 보안성과 운영 안정성을 엄격히 평가해야 한다. 많은 기업이 AI 에이전트 도입 초기 단계에 머물러 있으며, 실제 운영 단계에 도달한 기업은 5% 미만이다.

인증·보안 플랫폼 업체 데스코프(Descope) 공동창업자 리시 바가바는 “AI 에이전트 테스트 자동화 과정에서는 LLM용 OWASP Top 10을 기반으로 압력 테스트를 수행해야 한다”라고 말했다. 바가바는 다음과 같은 검증 항목을 제시했다.

• 서드파티 도구 및 엔터프라이즈 시스템과 연결할 때 MCP·OAuth 등 표준 프로토콜을 권장 방식으로 준수하는지 검증할 것
• AI 에이전트의 권한이 항상 사용자 권한의 하위 집합인지 확인할 것

AI 성능·보안 솔루션 업체 젠코더(Zencoder) CEO 겸 창업자 앤드루 파일레프는 “AI 에이전트는 기존 자동화 시스템보다 훨씬 광범위하고 새로운 보안 위험을 내포하고 있다”라고 말했다. 파일레프는 “프롬프트 인젝션, 모델 조작, 컨텍스트 중독, 적대적 입력, 데이터 추출 시도 등 새로운 범주의 취약점이 많지만, 상당수 보안팀이 이를 아직 인지하지 못하고 있다”라고 설명했다.

파일레프는 AI 성능 테스트가 단순 응답 시간 측정을 넘어서야 한다고 강조했다. 그는 다음과 같은 질문을 반드시 포함해야 한다고 말했다.

• 요청이 폭증하는 상황에서도 품질과 일관성을 유지할 수 있는가
• 높은 부하에서 기반 모델이 환각을 증가시키는가
• API 비용 폭증을 유발하지 않으면서 성능 테스트를 아키텍처적으로 어떻게 설계할 것인가

AI 에이전트 출시 적합성 검증은 기존 애플리케이션과 AI 모델에 적용되어야 하는 기본 절차를 그대로 따라야 한다.

고객 경험 분석 소프트웨어 업체 베린트(Verint) 최고데이터과학자 이안 비버는 “AI 에이전트 검증 체계를 구축하려면 모든 상호작용과 행동을 기록하는 세밀한 감사 로그를 수집해야 한다”라고 말했다. 이어 “API와 MCP 도구에는 최소 권한 원칙이 적용돼야 하고, 대규모 언어 모델의 편향과 신뢰성을 반드시 평가해야 한다”라고 전했다.

비버는 “포괄적 로깅, 강력한 모니터링, 사용자 피드백 환경은 AI 에이전트 운영에서 결정적 요소다”라고 강조했다.

에이전트형 AI 테스트 자동화의 미래

AI 에이전트 테스트 자동화는 이미 복잡한 과제이지만, 데브옵스 팀은 장기적으로 에이전트형 AI 환경에 대비한 미래 지향적 테스트 체계를 마련해야 한다. 운영 환경에서 검증을 실행하고 에이전트 간 상호작용을 평가할 수 있는 프레임워크가 필요하다.

사이버 위협 탐지 솔루션 업체 벡트라AI(Vectra AI) 수석 AI 연구원 소흐롭 카제로우니안은 “테스트 자동화보다 더 중요한 것은 에이전트 간 상호작용을 어떻게 기업하고 오케스트레이션해 오류 가능성을 최소화하고 복구 가능성을 높일 수 있는가다”라고 말했다. 그는 “문제를 명확하게 정의된 작업 단위로 분해하면 에이전트 성공률을 높일 수 있고, 각 단계마다 자체 평가와 오류 수정을 수행하는 체계를 구현할 수 있다”라고 설명했다.

궁극적으로 전문가가 강조하는 교훈은 데브옵스가 오랫동안 경험해 온 원칙과 같다. “테스트에는 공짜가 없다. 기능 구현이 끝났다고 해서 테스트가 절반도 끝난 것이 아니다.” AI 에이전트를 운영 환경에 배포하려는 기업이라면 테스트 기반 접근법을 중심에 두고 품질을 검증하며 출시 적합성을 확보해야 한다.
dl-itworldkorea@foundryco.com