AWS가 에이전틱 AI 애플리케이션을 위한 현대적 데이터 메시 아키텍처를 공개했다. 단일 검색 지점에서 메타데이터 필터링으로 거버넌스를 처리하던 RAG(검색 증강 생성) 방식과 달리, 에이전틱 AI는 데이터베이스 스키마를 자율 탐색하고 SQL 쿼리를 구성하며 여러 출처의 데이터를 합성하기 때문에 각 단계마다 독립적인 인증 제어가 필요하다. AWS는 이 다단계 접근에 대응하는 방어 심화(defense in depth) 아키텍처를 고객 서비스 에이전트 시나리오를 통해 구체적으로 제시했다.
아키텍처는 네 계층으로 구성된다. 에이전트 계층에서는 AgentCore Runtime이 격리된 마이크로VM 환경에서 LangGraph 기반 에이전트를 실행한다. 게이트웨이 계층에서는 JWT 검증과 도구 필터링을 수행하는 요청 인터셉터, 데이터 리댁션과 감사 로깅을 처리하는 응답 인터셉터, 그리고 Amazon Bedrock Guardrails를 통한 실시간 콘텐츠 안전 검사가 동작한다. 도구 계층에는 Lambda 기반 MCP 도구 4개가 있다. `get_user_tables`는 Lake Formation 권한으로 필터링된 테이블 목록을 반환하고, `get_schema`는 열 이름·유형·설명을 가져오며, `run_query`는 읽기 전용 허용 목록 검증 및 행 수준 필터링을 적용해 Athena 쿼리를 실행하고, `kb_search`는 메타데이터 필터링된 의미론적 검색을 수행한다. 거버넌스 데이터 계층에서는 구조화 데이터는 Apache Iceberg를 지원하는 Amazon S3 Tables에, 비구조화 지식은 Amazon S3 Vectors에 저장된다.

RAG 대비 에이전틱 AI가 요구하는 거버넌스가 더 복잡한 이유는 명확하다. RAG는 단일 벡터 인덱스 검색만 통제하면 됐지만, 에이전틱 AI는 테이블 탐색, 스키마 이해, SQL 구성, 벡터 검색, 결과 합성이라는 다섯 단계 각각에서 별도 권한 결정이 필요하다. Lake Formation은 데이터베이스, 테이블, 열, 행, 셀 다섯 가지 수준의 세분화된 접근 제어를 Athena, Redshift Spectrum, Glue ETL, EMR 전반에 걸쳐 추가 비용 없이 적용한다. AgentCore Policy는 모든 도구 호출 경계에서 Guardrails를 실시간으로 집행하기 때문에, 프롬프트 인젝션 공격이나 민감 정보 노출이 모델 응답 이후가 아닌 작업 실행 시점에서 차단된다.
AWS는 이 아키텍처에서 어떤 단일 통제 실패도 무인가 데이터 노출로 이어지지 않도록 방어 심화를 설계 원칙으로 삼았다고 밝혔다. 전체 배포 코드와 IAM 정책은 AgentCore Gateway 인터셉터 샘플 저장소에서 확인할 수 있다.














