생성형 AI와 AI 에이전트가 기업 업무에 본격 침투하면서, 기존 경계형 보안 체계가 감당하지 못하는 새로운 위협 표면이 급속히 넓어지고 있다. 국내 보안 기업 모니터랩의 박진홍 전임연구원은 서울에서 열린 사이버보안 기술 전략 컨퍼런스에서 제로 트러스트 보안의 통제 범위를 내부 애플리케이션에서 SaaS, 생성형 AI, 나아가 AI 에이전트의 외부 시스템 연결까지 순차적으로 확장해야 한다고 주장했다. 그는 “제로 트러스트는 도입 검토를 지나 실제 시행을 고려해야 하는 단계로 접어들었다”며 정책 환경의 변화도 이 방향을 뒷받침하고 있다고 진단했다.
기존 경계형 보안 체계가 한계에 봉착한 배경은 명확하다. 과거에는 기업 정보 자산이 내부 네트워크에 집중돼 있어, 내부와 외부를 가르는 경계를 지키는 방식이 효과적이었다. 그러나 데이터와 애플리케이션이 클라우드와 SaaS로 이동하고, 생성형 AI가 일상적인 업무 도구로 자리 잡으면서 기업 정보가 내부망 바깥으로 오가는 경로가 급격히 늘었다. 박 연구원은 이를 “견고한 성채 하나로 자산을 지키던 시대가 끝났다”고 표현했다. 데이터와 애플리케이션이 성 밖의 들판과 클라우드에 분산된 환경에서는 경계 방어만으로 자산 보호가 불가능하다는 논리다.
국내 정책도 이 흐름을 반영하고 있다. 국가망보안체계(N2SF)는 업무 중요도와 정보 민감도에 따라 보안 수준을 달리 적용하도록 하며, 업무 단말에서 외부 SaaS와 생성형 AI를 조건부로 허용하되 사용자 인증·접근 권한 관리·데이터 유출 방지 통제를 요건으로 제시한다. 금융 분야에서는 올해 4월부터 일정한 보안 요건을 갖추면 내부 업무망에서 SaaS를 이용할 수 있도록 망분리 규제가 완화됐다. 다만 고유식별정보나 개인신용정보를 처리하는 SaaS는 여전히 제외 대상이며, 생성형 AI는 금융 분야 통합 지침이 마련되기 전까지 별도 심사를 거쳐야 한다. 일괄 차단에서 위험도에 따른 통제로의 전환이 정책 전반의 방향임을 알 수 있다.
제로 트러스트 네트워크 접근(ZTNA)의 핵심 원리는 내부 네트워크에 접속했다는 사실만으로 신원을 신뢰하지 않는다는 데 있다. 사용자 신원과 단말 상태를 먼저 확인하고, 허용된 애플리케이션에만 접속을 허용한다. 인증을 마친 뒤에도 단말의 보안 상태와 접속 환경을 지속적으로 점검하며, 관리 기준을 벗어나면 접속을 차단하거나 권한을 회수한다. 이는 한 번 인증하면 내부망 전체에 넓은 접근 권한이 부여되던 기존 VPN 방식과 근본적으로 다르다. 내부 자산을 소규모 구역으로 분리하는 마이크로세그멘테이션을 병행하면, 단일 계정이나 서버가 침해됐을 때 공격자가 네트워크 내에서 횡적으로 이동하는 것을 효과적으로 차단할 수 있다.
SaaS와 외부 웹 접속 구간에는 보안 웹 게이트웨이(SWG)와 클라우드 접근 보안 중개(CASB)가 적용된다. 보안 웹 게이트웨이는 사용자의 웹 통신을 검사해 악성코드와 유해 사이트 접속을 차단하고, 원격 브라우저 격리(RBI)는 웹 콘텐츠를 사용자 단말이 아닌 별도 환경에서 실행해 악성코드 직접 실행을 방지한다. CASB는 어떤 SaaS를 어떻게 사용하는지 파악하고, 조직이 승인하지 않은 SaaS를 사용하는 섀도우 IT를 탐지하며, 파일 업로드·다운로드·공유 기능을 세부 단위로 통제한다. 데이터 유출 방지(DLP) 기술과 연계하면 개인정보·설계 도면·소스코드 같은 민감 정보가 외부 서비스로 유출되는 것을 사전에 막을 수 있다.
생성형 AI 통제에서는 단순한 입력 문장 차원의 검사로는 충분하지 않다. 여러 차례 이어지는 대화의 흐름 전체를 분석해야만 사용자의 의도와 정보 유출 위험을 정확히 판단할 수 있다. 예를 들어 첫 질문은 일반적인 업무 내용처럼 보이지만, 이어지는 질문에서 내부 정보를 조금씩 입력하는 방식으로 기밀이 유출될 수 있다. 개별 질문만 보면 문제가 없어도 전체 대화를 연결하면 심각한 정보 유출 패턴이 드러난다. 모니터랩은 이에 대응해 실시간 AI 대화 맥락 감시, 프롬프트 단계의 데이터 유출 방지, AI 서비스 통제의 세 가지 영역으로 생성형 AI 보안 기능을 구분했다. 업로드된 파일이나 이미지에 포함된 정보도 검사 대상이며, 조직이 허용하지 않은 AI 서비스를 사용하는 섀도우 AI 파악도 필수 요소로 제시됐다.
가장 새로운 위협 영역은 AI 에이전트가 외부 시스템과 연결되는 구간이다. 모델 컨텍스트 프로토콜(MCP)은 AI 모델이나 에이전트가 외부 데이터베이스, 업무 애플리케이션, 각종 도구와 연결될 때 사용하는 통신 방식이다. AI 에이전트는 이 연결을 통해 정보를 조회하거나 파일을 수정하고 외부 서비스에 명령을 실행할 수 있다. 문제는 보안 검토를 거치지 않은 MCP 서버와 도구가 확산될 수 있다는 점이다. 도구 설명이나 기능을 공격자가 조작하는 도구 오염, 외부 문서나 웹사이트에 숨겨진 악성 지시문이 에이전트 행동을 바꾸는 에이전트 탈취, 조직이 승인하지 않은 MCP 서버를 이용하는 섀도우 MCP 등 새로운 유형의 공격 벡터가 이미 논의되고 있다. AI 에이전트 확산과 함께 증가하는 보안 위협이 실제 기업 환경에서 MCP 통신 경로를 통해 현실화될 수 있다는 점이 이번 발표에서 가장 주목할 부분이다.
이에 대응하는 수단으로 모니터랩은 MCP 게이트웨이 배치를 제안했다. AI 에이전트와 MCP 서버 사이에 게이트웨이를 두어 조직이 허용한 서버만 연결하는 화이트리스트를 관리하고, 서버 전체에 포괄적 권한을 부여하지 않고 도구를 호출할 때마다 필요한 권한만 허용하는 최소 권한 원칙을 적용한다. MCP 서버가 자체 인증 기능을 갖추지 않았더라도 게이트웨이에서 사용자 인증과 권한 확인을 강제할 수 있으며, 통신 과정의 데이터에 유출 방지 정책을 적용하고, 누가 언제 어떤 서버에 접속해 어떤 도구를 실행했는지 전수 기록해 비정상적인 활동을 탐지할 수 있다. AI 에이전트 워크플로가 빠르게 기업 환경에 침투하는 상황에서 MCP 게이트웨이는 새로운 보안 통제 계층으로 자리 잡을 가능성이 높다.
모니터랩은 구축형과 구독형 제품 라인 모두에서 동일한 보안 기능을 제공해야 한다는 원칙도 강조했다. 공공기관과 금융회사처럼 폐쇄망 운영과 내부 통제 요건이 강한 곳은 구축형을 선호하는 반면, 해외 지사나 재택 근무자가 많은 기업은 구독형 서비스가 적합하다. 두 방식을 함께 사용하는 하이브리드 환경에서는 접속 환경이 달라도 동일한 제로 트러스트 정책이 일관되게 적용돼야 한다. 회사는 15개국 40여 개 데이터센터에서 운영하는 구독형 서비스 아이온클라우드(AIONCLOUD)를 통해 사용자 위치와 무관하게 동일한 접속 정책과 보안 기능을 제공할 수 있다고 밝혔다. 소프트웨어 개발망, 연구개발망, 1만 명 이상의 대규모 조직, 해외 금융기관, 교육기관 등 다양한 환경에 적용한 사례도 공개됐다.
이번 발표의 핵심 시사점은 기업 보안의 통제 경계가 더 이상 네트워크 안팎의 선이 아니라, 사람·단말·데이터·AI 모델·에이전트 도구까지 포함하는 다차원 영역으로 확장됐다는 것이다. AI 에이전트가 자율적으로 외부 도구를 호출하고 데이터를 처리하는 환경에서는, 사람이 직접 조작하는 시스템을 대상으로 설계된 기존 보안 통제 체계만으로는 위협을 충분히 차단할 수 없다. 다만 MCP 게이트웨이와 같은 신규 통제 계층을 도입하는 데는 기술적 성숙도와 운영 역량이 뒷받침돼야 하며, 보안 솔루션 추가 자체가 새로운 복잡성과 관리 부담을 만들 수 있다는 점도 균형 있게 인식해야 한다. AI 시대 보안의 난제는 기술 도구의 확보보다 조직 전반의 보안 문화와 운영 역량을 함께 키우는 데 있다는 점을 이번 논의는 다시 한번 환기시킨다.
