마이크로소프트(Microsoft)가 AI 에이전트 시대의 보안 패러다임 전환을 공식 선언하고, 에이전트 전용 보안 솔루션 ‘에이전트 365(Agent 365)’를 제시했다. 서울 잠실 롯데호텔에서 열린 사이버보안 기술전략 컨퍼런스에서 한국마이크로소프트 시큐리티 GTM 리드 박상준은 기존 사람 중심의 보안 프레임워크가 자율적으로 움직이는 에이전트 환경에는 그대로 적용할 수 없다고 밝혔다. AI를 이용한 방어가 선택이 아니라 필수인 이유로 “공격자는 이미 AI를 갖고 있다”는 현실을 들었다.
AI 기반 취약점 스캐닝 도구의 성능 진화가 발표의 출발점이었다. 앤트로픽의 미토스, 오픈AI의 GPT-5.5, 마이크로소프트의 MDASH가 AI를 활용해 취약점을 자동 탐지하고 공격 코드를 생성해 실제 공격 성공률을 측정한다는 설명이 이어졌다. 수치가 인상적이다. 2024년 12월 딥시크(DeepSeek)가 처음 등장했을 당시 사람 대비 공격 성공률은 약 4~5% 수준이었다. 불과 1년여 만에 미토스가 약 80%, GPT-5.5가 유사한 수준, MDASH는 88.4%까지 끌어올렸다. “1년 만에 사람의 90% 수준에 도달했다면 1년 뒤는 어떤 모습일지 생각해봐야 한다”는 발언은 이 경쟁이 이미 방어자에게 불리하게 기울어지고 있음을 직시하게 한다.
공격 방식의 변화도 짚었다. 개별 취약점을 단독으로 익스플로잇하던 방식에서 낮은 위험도의 취약점 여러 개를 체인처럼 연결하는 복합 공격으로 트렌드가 이동하고 있다. 이 연쇄 공격 방식이 AI가 가장 능숙하게 수행하는 작업이라는 점에서 위협 수준이 더욱 심각하다. 사람이 일일이 취약점 관계를 추적하기 어려운 복잡한 공격 경로를 AI가 자동으로 구성하기 때문이다. 이 위협 환경에서 마이크로소프트가 지목하는 구조적 취약점은 ‘에이전트 보안 공백’이다. 지금까지 기업 보안은 직원의 계정, 단말기, 데이터를 보호하는 데 집중해왔다. 그러나 AI 에이전트가 도입되면 에이전트도 계정을 갖고, 데이터에 접근하며, 자율적으로 행동한다. 에이전트가 사람을 보조하거나 대신하는 역할을 수행하는 만큼 공격 표면도 그만큼 늘어난다. 대부분의 기업이 사람에 대한 보안 프레임은 갖추고 있어도 에이전트에 대한 프레임은 아직 갖추지 못했다는 진단이 뒤따랐다. 조직 리더의 82%가 향후 12~18개월 이내에 에이전트를 도입할 계획이라는 조사 결과와 맞물리면 이 공백의 시급성이 더 분명해진다.
에이전트 환경의 위협은 세 계층으로 나뉜다. 사용자 계층에서는 검증되지 않은 서드파티 LLM 앱 사용, 섀도우 IT, 민감 정보 노출이 위험 요소다. 에이전트·애플리케이션 계층에서는 프롬프트 인젝션, 의도 위반, 비정상 행동, 불안전한 MCP 서버 연동, 데이터 과다 공유가 문제가 된다. AI 플랫폼·모델 계층에서는 학습 데이터 포이즈닝과 모델 도용이 대표 위협이다. 이 세 계층에 걸쳐 통합적인 보안 관리 체계가 없으면 에이전트를 도입할수록 공격 노출면이 확대된다. 에이전트 365가 다루는 영역은 네 가지다. 첫째, 에이전트 ID 및 접근 통제다. 에이전트를 등록하고 관리하며, 사람에게 적용하던 조건부 액세스 정책을 에이전트에도 동일하게 적용한다. 에이전트가 평소와 다른 위치에서 동작하거나 탈옥 시도가 감지되면 즉시 접근을 차단할 수 있다. 마이크로소프트 자사 에이전트뿐 아니라 서드파티 에이전트도 등록·관리 대상이다. 둘째, 데이터 과다 공유 및 유출 방지다. 에이전트가 처리하는 데이터에 민감도 레이블을 부여하고 DLP(데이터 유출 방지) 정책을 적용한다. 원본 소스가 기밀이라면 에이전트가 생성한 결과물도 동일 수준으로 보호해야 한다는 데이터 보호 연속성 원칙이 강조됐다. 셋째, AI 위협 및 취약성 방어다. AI 자산 전반의 가시성을 확보하고 MCP 서버, 오케스트레이터, 모델, 데이터셋에 대한 취약점을 탐지·수정하며 멀티 클라우드 환경에서 AI 관련 공격을 실시간으로 모니터링한다. 넷째, 규정 준수다. 전 세계 50개 이상 국가에서 AI 관련 법규가 생기는 가운데, 한국의 AI 기본법을 포함해 ISO 42001, NIST AI 리스크 관리 프레임워크, EU AI법 등 글로벌 표준 대응을 지원한다.
에이전트 365의 포지셔닝은 명확하다. 마이크로소프트 365가 사람에 대한 보안을 담당해온 것처럼, 에이전트 365는 에이전트에 대한 보안을 제공하는 대응 제품이다. 이 논리는 단순하지만 설득력이 있다. 에이전트가 사람과 동등한 수준의 업무 권한을 갖게 될수록, 에이전트 보안도 사람 보안과 동등한 수준의 체계를 필요로 하기 때문이다. 마이크로소프트가 기존 엔터프라이즈 보안 고객을 에이전트 보안 시장으로 자연스럽게 확장하려는 전략이기도 하다. 경쟁 구도 관점에서 보면, 구글과 아마존도 각자의 클라우드 플랫폼 위에서 AI 에이전트 보안 기능을 강화하고 있어 이 시장의 표준 선점 경쟁이 본격화될 전망이다. 마이크로소프트는 기존 엔터프라이즈 보안 고객 기반과 코파일럿(Copilot) 에이전트 생태계를 연계하는 강점이 있다는 점에서 초기 시장 진입에 유리한 위치라고 판단된다.
이 발표가 한국 기업 보안 담당자들에게 주는 시사점은 크다. 국내 주요 기업들이 코파일럿이나 다양한 AI 에이전트를 업무 프로세스에 도입하는 속도가 빨라지고 있지만, 에이전트에 특화된 보안 정책을 갖춘 곳은 아직 소수다. 에이전트가 업무 시스템에 접근하고 데이터를 처리하는 과정에서 기존 내부자 위협 관리 체계가 에이전트의 이상 행동을 얼마나 감지할 수 있는지 점검이 필요하다. 특히 MCP 서버를 통해 외부 도구와 연결되는 에이전트 구조가 확산될수록 프롬프트 인젝션 취약점과 비인가 데이터 접근 경로가 늘어날 수 있다. 한국 AI 기본법이 AI 시스템의 안전성과 신뢰성 요건을 명시하는 방향으로 구체화될수록, 에이전트 보안 준수 체계를 갖추지 않은 기업은 규제 리스크에도 노출될 수 있다는 점을 함께 고려해야 한다.
낙관론과 우려가 병존한다. 마이크로소프트가 AI 보안 플랫폼을 선제적으로 내놓은 것은 시장 요구를 반영한 결정이며, 기존 마이크로소프트 보안 제품군과 통합하면 도입 마찰이 줄어드는 장점이 있다. 반면 에이전트 보안이라는 개념이 아직 초기 단계여서 에이전트 365가 제시하는 보호 범위가 실제 공격을 얼마나 막을 수 있는지 검증하기 어렵다는 시각도 있다. AI를 이용한 공격이 빠르게 진화하는 만큼 방어 솔루션이 이를 따라갈 수 있는 업데이트 체계를 갖추는 것이 장기적으로 더 중요한 과제라는 지적도 나온다. 에이전트 보안은 앞으로 기업 보안 예산 배분과 구매 결정에 새로운 항목으로 자리 잡을 전망이며, 에이전트 도입이 늘어날수록 보안 프레임워크도 사람과 에이전트를 구분해 관리하는 이중 체계로 전환해야 한다는 인식이 확산될 것이기 때문이다. 관건은 이 인식이 실제 투자로 이어지는 속도다. “AI와 에이전트에 대한 신뢰는 ‘우리를 믿어달라’는 선언으로 쌓이지 않는다”는 발언은 보안에 관한 한 말보다 검증 가능한 기술 체계가 우선한다는 원칙을 재확인한다.
에이전트 보안이 새로운 시장을 형성하고 있다는 점은 분명하지만, 기업이 당장 도입 결정을 내리기 전에 자신들의 에이전트 도입 성숙도를 먼저 냉정하게 평가해야 한다는 지적도 설득력 있다. 에이전트를 본격 운영하지 않는 조직이 에이전트 보안 솔루션을 우선 도입하는 것은 순서가 어긋난다. 반면 이미 생성형 AI 기반 자동화를 운영 중이면서 에이전트 별도 보안 정책이 없는 기업은 이 공백이 실질적인 위험이 된다는 점에서 즉각적인 점검이 필요하다는 점은 의미 있는 통찰로 받아들여야 한다. 에이전트 보안 시장이 성숙해 갈수록 제품 선택 기준은 기능 목록이 아니라 실제 위협 시나리오에서의 탐지율과 오탐율, 그리고 기존 보안 운영 체계와의 통합 용이성이 될 것으로 전망된다.
