마이크로소프트(Microsoft)가 AI 에이전트(Agent)의 안전한 실행 환경을 구축하기 위한 새로운 프레임워크를 공개했다. 윈도우 개발자 블로그를 통해 마이크로소프트는 마이크로소프트 실행 컨테이너(Microsoft Execution Containers, MXC) SDK를 핵심 전략으로 제시했다. 이 SDK는 에이전트가 접근할 수 있는 자원을 정책으로 정의하고, 운영체제(OS) 수준에서 격리·신원 관리·감사 추적을 제공해 대규모 AI 에이전트 배포를 안전하게 가능하게 하겠다는 것이다.
MXC의 작동 방식은 다음과 같다. 개발자는 에이전트가 접근할 수 있는 자원 범위를 JSON 또는 타입스크립트(TypeScript) SDK로 기술하면, 윈도우가 이를 바탕으로 프로세스 격리 또는 세션 격리를 적용한다. 위험도가 높은 작업에는 마이크로 가상머신(micro-VM)을, 리눅스(Linux) 도구체인이 필요한 환경에는 리눅스 컨테이너를 활용하는 계획도 담겼다. IT 팀은 MXC 정책을 엔트라 ID(Entra ID)와 인튠(Intune)으로 중앙 관리할 수 있고, 디펜더(Defender)와 퍼뷰(Purview)가 프롬프트 인젝션(prompt injection) 등 에이전트 특유의 위협으로부터 보호·감사 추적을 제공한다.
초기 반응은 조심스럽다. 마이크로소프트 자체 문서가 “MXC 프로파일을 아직 보안 경계(security boundary)로 취급해서는 안 된다”고 경고하고 있다. 과도하게 허용적인 정책이 남아 있고 아웃바운드 네트워크 필터링이 아직 작동하지 않는다는 알려진 문제도 있다. MXC 정책 스키마가 윈도우·리눅스·맥OS(macOS) 모두에서 실행되도록 설계됐지만 맥OS 지원은 아직 실험 단계다.
AI 에이전트 보안 경쟁은 윈도우 생태계 밖에서도 활발하다. 엔비디아(NVIDIA)의 오픈소스 런타임 오픈셸(OpenShell)은 샌드박스 런타임 제어와 선언적 정책을 결합해 무단 파일 접근·데이터 유출을 막는다. 레드햇(Red Hat)은 컨피덴셜 컨테이너와 SELinux 기반 집행을 하이브리드 클라우드의 제로 트러스트(zero-trust) 모델로 묶어 발표했다. 쿠버네티스(Kubernetes) 생태계에서는 에이전트 샌드박스 컨트롤러(Agent Sandbox Controller)가 gVisor와 카타 컨테이너(Kata Containers)를 이용해 신뢰할 수 없는 에이전트 코드를 강화된 파드에서 격리한다. AI 에이전트를 실제 업무에 도입하려는 기업이 늘어나는 상황에서, 마이크로소프트 엔터프라이즈 생태계를 이미 사용하는 기업이라면 MXC가 자연스러운 출발점이 될 수 있다. 그러나 현재 MXC가 완성된 보안 경계가 아니라는 자체 경고를 고려하면, 고위험 업무 환경에는 파일럿 수준에서 역량과 한계를 먼저 검증하는 접근이 현명하다.
