AI 에이전트가 기업 시스템에 깊이 침투하면서 보안 업계의 대응 전략이 단순 접근 차단에서 가시성 확보, 권한 관리, 행동 감시 전 단계로 확장되고 있다. 마이크로소프트(Microsoft)는 지난달 Microsoft Agent 365를 출시해 기업 내 AI 에이전트를 탐지하고 관리하는 기능을 제공하기 시작했다. 아이덴티티 보안 기업 옥타(Okta)도 4월에 Okta for AI Agents를 출시해 직원이 기업 애플리케이션에 연결한 AI 에이전트를 탐지하고 관리 대상 자산으로 등록하는 기능을 선보였다.
에이전트를 찾아낸 뒤에는 신원과 권한 관리가 과제가 된다. 세일포인트(SailPoint)는 지난달 SailPoint Agentic Fabric을 내놓고 AI 에이전트를 사람 및 기계 계정과 함께 관리할 수 있는 체계를 제시했다. 사이버아크(CyberArk)는 AI 에이전트를 높은 권한을 보유한 기계 계정으로 보고, 특권 접근 관리 체계를 AI 에이전트에도 적용하는 Secure AI Agents 솔루션을 지난해 11월 발표했다. 팔로알토네트웍스(Palo Alto Networks)는 올해 3월 Prisma AIRS 3.0을 통해 에이전트가 연결하는 모델 컨텍스트 프로토콜(MCP) 서버와 외부 도구 호출까지 감시 범위에 포함했다. 클라우드플레어(Cloudflare)도 같은 달 AI Security for Apps를 출시해 프롬프트 주입 공격과 민감 정보 유출 등 입출력 단계의 위협을 차단하는 기능을 추가했다.
AI 모델 개발사들도 자체 통제 장치를 강화하고 있다. 앤트로픽(Anthropic)은 최신 모델 출시와 함께 사이버보안·생물화학 등 악용 가능성이 높은 요청을 탐지해 더 제한적인 모델로 응답을 전환하는 분류기 체계를 공개했다. 오픈AI(OpenAI)는 프롬프트 주입 공격 대응에서 탐지보다 피해 최소화 설계를 강조하며, 에이전트 도구에 입출력 가드레일과 인간 승인 절차를 제공한다. 구글(Google)은 4월 Gemini Enterprise Agent Platform에서 에이전트를 별도 신원으로 관리하는 Agent Identity와 외부 통신을 제어하는 Agent Gateway, 프롬프트 검사 기능인 Model Armor를 함께 선보였다.
보안 전문가들은 에이전트 시대의 위협이 입력과 출력 양 끝에서만 끝나지 않는다고 경고한다. 에이전트가 이메일, 문서, 웹페이지에 숨겨진 악성 명령을 따르거나, 부여받은 사람의 권한을 넘어서는 행동을 할 가능성에 대비해 프롬프트, 도구 호출, 응답 흐름 전체를 통제 지점으로 삼는 구조가 필요하다는 시각이 확산되고 있다. 기업이 AI 에이전트에 어디까지 자율성을 부여할지, 그리고 그 자율성을 어떻게 감시할지가 기업 AI 거버넌스의 핵심 과제로 부상하고 있다.
