업계기사
AI의 정체성 위기: 에이전틱 AI 앞에서 무력해진 기존 IAM
조셉 다나팔(Joseph Dhanapal) 작성, SecureAuth 이사회 전략 자문위원
작성자: Joseph Dhanapal
보도일자: 2025년 12월 19일
출처: Biometricupdate.com
엔터프라이즈 AI 혁명은 이미 ChatGPT나 문서 요약 단계를 넘어섰다.
이제 우리는 에이전틱 AI(Agentic AI)의 시대로 진입하고 있다. 이는 단순히 응답을 생성하는 수준을 넘어, 비즈니스 워크플로우 안에서 실제 행동을 수행하는 자율 시스템이다. 이러한 AI 에이전트들은 고객 지원 티켓을 분류하고, 사용자 계정을 자동으로 프로비저닝하며, 심지어 접근 제어 정책까지 작성하고 있다. AI는 더 이상 단순한 도구가 아니라 행위자(actor)로 진화했으며, 이 변화는 현재 보안 체계에 중대한 사각지대를 만들어내고 있다.
눈 앞에 있지만 보이지 않는 문제
기존의 ID 및 접근 관리(IAM)는 예측 가능한 세상을 전제로 설계되었다. 즉, 역할이 안정적인 인간 사용자, 정적인 정책, 그리고 명확한 조직 계층 구조를 기반으로 한다. CFO에게는 특정 권한이 있고, 인턴에게는 또 다른 권한이 있으며, 이러한 경계는 하루아침에 바뀌지 않는다.
하지만 에이전틱 AI(agentic AI)는 이러한 전제를 근본적으로 무너뜨린다. 이 시스템들은 인간의 직접적인 감독 없이 자율적으로 동작하며, 스스로 판단을 내리고 데이터에 접근한다. 조직도나 역할 기반 접근 제어(RBAC)에 깔끔하게 들어맞지 않는다. 그럼에도 불구하고 대부분의 기업은 여전히 인간 사용자를 위해 설계된 동일한 IAM 프레임워크로 에이전틱 AI를 배포하고 있는데, 이는 의도치 않은 데이터 노출을 초래할 수 있는 위험한 선택이다.
다음과 같은 상황을 생각해보자. CFO가 AI 에이전트에게 “급여를 지급할 충분한 현금이 있나?”라고 묻는다. 이 경우 실시간 재무 데이터가 제공되어야 한다. 그런데 같은 AI 시스템을 통해 인턴이 동일한 질문을 한다면 어떻게 될까? 적절한 아이덴티티 인식 기반 제어가 없다면, 두 사용자 모두 동일한 답변을 받을 수 있다. 이는 인턴에게 민감한 재무 정보를 노출시키는 결과를 낳을 수도 있고, 반대로 CFO에게 필요한 수준의 의미 있는 정보를 제공하지 못하는 상황을 초래할 수도 있다.
문제의 규모와 파급력
수동적인 AI에서 자율적인 AI로의 전환은 이론적인 이야기가 아니다. 이는 이미 모든 산업 전반에서 현실로 진행 중이다. 의료 분야에서는 AI 에이전트가 환자 데이터를 처리하고, 금융 기관에서는 거래 모니터링에 활용되며, 제조 기업들은 공급망 최적화를 위해 이를 의존하고 있다.
이러한 에이전트들은 단일 시스템에만 접근하는 것이 아니다. 다수의 플랫폼을 가로지르며 복잡한 워크플로우를 오케스트레이션하고, API를 호출하며, 데이터를 조회하고, 조직 전체의 디지털 생태계 전반에서 각종 작업을 트리거한다. 이 과정에서 모든 상호작용은 잠재적인 접근 제어 실패 지점이 된다.
특히 문제를 더욱 어렵게 만드는 점은, 에이전틱 AI가 기계의 속도와 규모로 동작한다는 것이다. 하나의 에이전트가 분당 수천 건의 데이터 요청을 수행할 수도 있는데, 이는 기존 IAM 시스템이 감당하도록 설계된 범위를 훨씬 넘어선다. 인간의 수동적 관리·감독은 사실상 불가능해지고, 정책 위반은 상호 연결된 시스템 전반으로 급속히 확산될 위험이 있다.
기존 IAM을 넘서는 접근
근본적인 문제는 기존 IAM이 에이전틱 AI 환경에서는 더 이상 유효하지 않은 전제에 기반하고 있다는 점이다.
- 연간 사용자 중심: 에이전틱 AI는 거버넌스가 필요한 비(非)인간 아이덴티티를 새롭게 만들어낸다
- 예측 가능한 역할: AI 에이전트는 지속적으로 진화하고 적응하기 때문에, 동적인 접근 제어가 요구된다
- 정적인 정책: 자율 시스템에는 실시간컨택스트 인식 기반 인가가 필요하다
이제 조직에는 새로운 패러다임이 필요하다. AI 에이전트를 1급 아이덴티티(first-class identity)로 취급하면서도 최소 권한 원칙(Principle of Least Privilege)을 유지하는 접근 방식이다. 이는 AI 에이전트로부터 발생하는 모든 요청이, 원래 사용자의 권한, 현재 컨텍스트, 그리고 실시간 위험 프로파일을 기준으로 검증되어야 함을 의미한다.
지금 당장 작동하는 기술
인간 중심의 IAM을 AI 에이전트에 억지로 맞추려 하기보다, 조직에는 요청 주체가 인간이든 자율 에이전트든 상관없이 모든 요청을 실시간으로 검증하는 시스템이 필요하다. 기업은 SecureAuth의 Microperimeter와 같은 기술을 통해 트랜잭션 계층에서 제로 트러스트(Zero Trust) 원칙을 적용할 수 있다.
이러한 시스템에서는 사용자가 인증을 완료하면, 해당 사용자의 권한이 인코딩된 접근 토큰(access token)을 발급받는다. 이후 AI 에이전트가 사용자를 대신해 해동할 경우, 모든 데이터 요청은 정보가 제공되기 전에 원래 사용자의 권한과 대조되어 검증된다. 이 과정에서 시스템은 단순히 누가 요청했는지만 확인하는 것이 아니라, 무엇에 접근할 권한이 있는지, 그리고 그 요청이 현재 보안 정책과 일치하는지까지 함께 점검한다.
이러한 접근 방식은 다음과 같은 핵심 역량을 제공한다.
- 아이덴티티 상속(Identity inheritance): AI 에이전트는 자신이 대리하는 사용자의 접근 권한을 그대로 상속받고 이를 준수한다
- 실시간 검증(Real-time validation): 모든 요청은 캐시된 권한이 아니라 현재 시점의 정책을 기준으로 검증된다
- 정밀한 제어(Granular control): 조직은 사용자별에이전트별로 접근 가능한 범위를 정확하게 정의할 수 있다
- 감사 투명성(Audit transparency): 에이전트가 무엇을 하고 있는지, 그리고 누구를 대신해 수행하는지에 대한 완전한 가시성을 확보할 수 있다
- 비동기적 인간 승인(Asynchronous human approval): 특정 에이전트 활동에 대해 실제 트랜잭션이 실행되기 전에 인간의 승인이 필요하도록 정책을 설정하고 집행할 수 있다
경쟁 우위의 필수 조건
에이전틱 AI의 아이덴티티 문제를 해결한 조직은 확실한 경쟁 우위를 확보하게 될 것이다. 이들은 AI 에이전트를 보다 안심하고 배포할 수 있으며, 자동화 이니셔티브를 더 빠르게 확장하는 동시에 시스템이 점점 더 자율화되더라도 보안과 컴플라이언스를 유지할 수 있다.
반면 이를 해결하지 못한 조직은 어려운 선택에 직면하게 된다. 보안을 유지하기 위해 AI의 역량을 제한하거나, 자동화를 확장하는 과정에서 점점 커지는 위험을 감수해야 하는 것이다. AI 역량이 곧바로 비즈니스 성과에 영향을 미치는 경쟁 시점에서, 이 두 가지 선택지 모두 지속 가능하지 않다.
앞으로 나아갈 방향
에이전틱 AI 혁명은 앞으로 다가올 일이 아니라 이미 시작되었다. 이제 중요한 질문은 조직이 AI 아이덴티티 관리를 해결해야 하느냐의 문제가 아니라, 대규모 자동화를 안전하게 구현할 수 있는 해법을 얼마나 빠르게 도입하느냐이다.
선도적인 기업들은 이미 비인간 행위자(non-human actors)를 수용하기 위해 아이덴티티 전략을 재정립하고 있다. 이들은 자율 AI의 속도와 복잡성을 감당하면서도, 비즈니스에 필수적인 보안과 거버넌스 기준을 유지할 수 있는 시스템을 도입하고 있다.
오늘날 AI 아이덴티티 관리를 완벽히 이해하고 구현하는 조직이, 내일 각 산업을 이끄는 주체가 될 것이다. 선제적 준비를 할 수 있는 시간은 빠르게 줄어들고 있으며, 에이전틱 AI가 비즈니스 운영에 더 깊이 통합될수록 사후 대응 방식의 비용은 기하급수적으로 증가할 것이다.
미래는 자율 AI의 힘을 활용하면서도, 데이터와 시스템에 대한 완전한 통제권을 유지할 수 있는 조직의 몫이다. 이를 가능하게 하는 기술은 이미 존재한다. 이제 남은 질문은 어떤 조직이 가장 먼저 이를 구현하느냐이다.
저자 소개
조셉 다나팔(Joseph Dhanapal)은 워크포스 및 고객용 아이덴티티·접근 관리(IAM) 솔루션을 제공하는 SecureAuth의 이사회 전략 자문위원이다. 아이덴티티 보안 분야에서 20년 이상의 경력을 보유한 그는, 다수의 포춘 500대 기업을 대상으로 디지털 전환 이니셔티브를 이끌었으며, 조직들이 끊임없이 변화하는 사이버보안 환경에 효과적으로 대응할 수 있도록 지원해 왔다.
