마이크로소프트가 2026년 개발자 컨퍼런스 Build에서 기업용 자율 AI 에이전트 Scout를 공개했다. Scout는 마이크로소프트가 새롭게 정의한 ‘오토파일럿(Autopilot)’ 범주에 속하는 에이전트로, 사용자가 매번 명령을 입력하지 않아도 자체 아이덴티티를 갖고 지속적으로 작동한다. 오픈소스 에이전트 프레임워크 OpenClaw를 기반으로 구축됐으며, 마이크로소프트의 업무 지능 레이어인 Work IQ와 통합된다. Scout가 수행할 수 있는 작업 범위는 기존 AI 어시스턴트와 차원이 다르다. 로컬 파일 읽기와 쓰기, 셸 스크립트 실행, 코드 패치 적용, 병렬 작업을 위한 전문 서브 에이전트 실행, 브라우저 세션 자동화까지 이른바 ‘고권한 로컬 작업’을 직접 처리할 수 있다. 여기에 모델 컨텍스트 프로토콜(MCP) 서버 지원이 더해져, 개발자는 Scout가 접근할 수 있는 로컬 리소스와 서드파티 도구를 자유롭게 확장할 수 있다. 마이크로소프트는 “진짜 혁신은 질문에 답하는 것이 아니라 사용자의 우선순위를 유지한 채 그것을 대신 실행하는 데 있다”고 설명했다.
Scout의 기반이 되는 OpenClaw는 최근 OpenAI에 합류한 피터 슈타인베르거(Peter Steinberger)가 원래 만든 오픈소스 프레임워크다. 이미 커뮤니티에서 실사용 사례가 축적돼 있으나, 500건 메시지 스팸 루프 사례처럼 실제 재난 사례도 공개되면서 일부 보안 분석가들은 OpenClaw의 아키텍처 자체가 보안 격리 원칙보다 기능 우선 설계로 구성돼 있다는 비판을 제기했다. 이 배경이 Scout의 보안 설계가 중요해진 이유이기도 하다. 이 같은 위험을 인식한 마이크로소프트는 Scout에 엔터프라이즈급 보안 아키텍처를 접목했다. 각 Scout 인스턴스에는 마이크로소프트 엔트라(Entra) 아이덴티티가 개별로 부여된다. 자격증명은 개별 작업 범위로 제한되고, 진단 로그에서는 마스킹 처리된다. 마이크로소프트 Purview 민감도 레이블과 데이터 손실 방지(DLP) 정책이 함께 적용되며, 고도로 민감한 작업에서는 실행 전 사람의 최종 승인이 필수다. Work IQ는 셰어포인트(SharePoint), 팀즈(Teams), 아웃룩(Outlook), 원드라이브(OneDrive), Dataverse 등 마이크로소프트 생태계 전반의 데이터를 통합해 개인과 팀이 어떻게 일하는지를 지속적으로 파악하며, 범위가 한정된 권한 구조와 런타임 관찰 가능성을 함께 제공한다.
접근 경로는 단계적으로 통제된다. 개발자가 Scout를 사용하려면 마이크로소프트 365 관리 센터에서 프런티어(Frontier) 프리뷰 약관에 동의해야 하며, IT 관리자가 Intune 정책을 통해 데스크톱 앱을 사용자 기기에 배포해야 한다. 인증을 위해서는 GitHub Copilot Business 또는 Enterprise 라이선스가 필요하다. 프런티어 버전은 본질적으로 데스크톱에서 실행되는 OpenClaw에 Graph와 Work IQ를 연결한 구조로, 기기가 켜져 있어야 작동한다. 프라이빗 프리뷰는 클라우드 기반 오토파일럿 에이전트로, 두 버전 간 기술적 차이가 상당히 크다. Scout는 현재 윈도우 11과 맥OS 12용 데스크톱 애플리케이션으로 제공된다. 이번 발표가 갖는 함의는 단순한 제품 출시를 넘어선다. 마이크로소프트가 AI 에이전트를 인간이 프롬프트를 입력할 때만 동작하는 도구가 아니라, 항상 켜져 있는 자율적인 업무 실행자로 정의하기 시작했다는 선언이기 때문이다. 이는 기존의 챗봇 패러다임과 근본적으로 다른 방향을 가리킨다.
경쟁 구도 측면에서 보면, 마이크로소프트의 Scout는 구글의 에이전트 솔루션, 앤트로픽의 컴퓨터 사용 API 등과 비교할 때 기존 엔터프라이즈 생태계(M365·엔트라·Purview)와의 통합을 차별화 포인트로 내세우고 있다. 반면 OpenClaw라는 오픈소스 기반을 채택함으로써 독자 설계 역량보다 생태계 흡수 전략을 택했다는 점은, 속도 면에서는 유리하지만 장기적인 아키텍처 통제권 측면에서는 변수가 될 수 있다. 개발자 커뮤니티의 반응은 아키텍처에 대한 호기심, 보안 회의론, 마이크로소프트 소프트웨어 품질에 대한 풍자적 반응이 뒤섞인 양상을 보였다. 팀즈와 아웃룩 없이 업무를 처리해준다는 약속은 매력적으로 들리지만, 에이전트가 오류를 일으킬 경우 기업 시스템 전반에 미치는 파급 범위가 개별 소프트웨어 버그와는 다를 수 있다는 점도 있다.
이번 발표에서 가장 근본적인 전환점은 AI 에이전트의 권한 모델이 ‘읽고 답하기’에서 ‘읽고 실행하기’로 넘어갔다는 데 있다. 그간 기업용 AI는 정보를 요약하거나 초안을 제안하는 수준에 머물러, 최종 실행과 책임은 사람이 졌다. 그러나 셸 스크립트를 돌리고 코드 패치를 적용하며 브라우저 세션을 자동으로 조작하는 에이전트는 사람을 거치지 않고 시스템 상태를 바꾼다. 이는 생산성 면에서 비약적이지만, 동시에 권한 오남용·오작동의 책임 소재를 모호하게 만든다는 점에서 신중하게 볼 대목이다. 에이전트가 잘못된 명령을 자율적으로 수행해 데이터를 훼손하거나 외부로 유출했을 때 그 책임이 제품 공급자에게 있는지, 정책을 설정한 관리자에게 있는지, 약관에 동의한 사용자에게 있는지는 아직 정리되지 않은 영역이다. 자율성의 수준이 높아질수록 거버넌스와 책임 프레임워크가 함께 성숙해야 한다는 요구가 커질 수밖에 없다.
전략적 관점에서 마이크로소프트가 외부 오픈소스인 OpenClaw를 흡수해 자사 보안 레이어를 덧씌우는 방식을 택한 것은, 속도와 통제 사이의 절충으로 풀이된다. 검증된 오픈소스를 토대로 삼으면 개발 기간을 단축하고 이미 형성된 커뮤니티 자산을 활용할 수 있지만, 핵심 아키텍처의 방향을 외부 프로젝트의 진화에 일정 부분 의존하게 된다. 더구나 OpenClaw의 원작자가 경쟁사인 OpenAI에 합류한 상황은 장기적 협력 구도에 미묘한 변수를 더한다. 마이크로소프트가 엔트라·Purview·Work IQ라는 자사 고유 자산으로 차별화를 꾀하는 것도 이런 의존도를 상쇄하려는 포석으로 읽힌다. 결국 Scout의 성패는 오픈소스의 개방성과 엔터프라이즈가 요구하는 통제·감사 능력을 한 제품 안에서 얼마나 모순 없이 결합하느냐에 달렸다고 판단된다.
한국 기업 환경에서 이 변화가 갖는 의미도 주목할 필요가 있다. 고권한 작업을 수행하는 자율 에이전트가 기업 내에 배포될 경우, 접근 통제와 감사 로그 관리의 복잡성이 급격히 높아진다. 특히 금융·공공 부문처럼 데이터 처리에 엄격한 규제가 적용되는 환경에서는 에이전트의 아이덴티티 관리와 작업 승인 구조가 컴플라이언스 요건을 충족하는지 별도로 검토해야 한다. 마이크로소프트가 엔트라 아이덴티티와 Purview 정책을 Scout에 통합한 것은 기업 요건을 의식한 설계지만, 실제 국내 규제 환경에 맞는 운영 지침은 도입 기업 스스로 정비해야 할 영역이다. 마이크로소프트 365를 기반으로 운영하는 국내 대기업과 공공기관의 경우, Scout가 Work IQ를 통해 기존 워크플로와 얼마나 자연스럽게 통합되는지가 실질적 도입 여부를 가를 핵심 요인이 될 것으로 판단된다. Scout가 약속한 생산성과 그에 수반되는 리스크 사이의 균형을 어떻게 맞출 것인지, 프리뷰 단계를 넘어 실제 배포가 시작되는 시점이 판단의 기준이 될 것이다.
