미국 아이덴티티 보안기업 세일포인트(SailPoint)의 데이나 앤드류 리드(Dana Andrew Reed) 필드 최고기술책임자(CTO)가 최근 방한해, AI 에이전트가 늘어나면서 사람과 머신, 에이전트의 접근 권한을 하나의 맥락에서 연결해 파악하는 것이 기업 보안의 핵심 과제로 떠오르고 있다고 밝혔다. 리드 CTO는 서울에서 진행한 인터뷰에서 “AI 에이전트가 누구를 대신해 움직이고 어떤 시스템과 데이터에 접근하는지 하나의 맥락에서 확인해야 한다”며 “아이덴티티가 사이버보안의 중심이 되고 있다”고 말한 것으로 전해졌다.
리드 CTO에 따르면 세일포인트는 지난 5월 공개한 ‘에이전틱 패브릭(Agentic Fabric)’을 통해 사람과 머신, AI 에이전트의 관계를 하나의 플랫폼에서 관리하는 전략을 추진하고 있다. 그는 이를 ‘유효 접근권한(Effective Access)’이라는 개념으로 설명했는데, 에이전트 자체에는 높은 권한이 없더라도 관리자 권한을 가진 사용자를 대신해 움직이는 경우 실질적으로 그 권한을 활용할 수 있다는 점을 지적한 것으로 전해졌다. 그는 사용자와 에이전트를 따로 관리하면 이런 연결 관계를 놓칠 수 있다고 우려했다.

AI 에이전트 관리의 어려움 중 하나는 소유권 개념이 명확하지 않다는 점으로 지적됐다. 리드 CTO는 에이전트 관리를 단순한 소유권보다는 보호·감독·책임 인계에 가까운 문제로 규정하며, 관리자가 퇴사하거나 부서를 옮길 때 해당 직원이 만든 에이전트와 관련 서비스 계정·인증 정보가 회사 시스템에 그대로 남을 위험을 경계해야 한다고 설명했다. 그는 필요할 때만 권한을 부여하고 작업이 끝나면 즉시 회수하는 ‘상시 권한 제거(Zero Standing Privilege)’와 ‘적시 접근(Just-in-Time Access)’ 방식이 이런 위험을 줄이는 핵심 대응책이라고 강조했다.
세일포인트는 지난달 29일 비인간 아이덴티티 보안기업 엔트로 시큐리티(Entro Security) 인수를 마무리했다고 밝혔다. 리드 CTO는 이번 인수로 API 키·토큰·인증서 같은 머신·AI 에이전트용 자격증명을 발견하고 접근 관계를 분석하는 기술을 에이전틱 패브릭에 결합할 계획이라고 전했다. 그는 회사가 지향하는 최종 목표를 사람이 주기적으로 권한을 검토하는 방식을 넘어 시스템이 자동으로 행동을 분석해 위험도에 따라 권한을 조정하는 ‘자율형 아이덴티티(Autonomous Identity)’라고 소개하며, 다만 이 단계로의 전환은 에이전트 발견과 관리자 지정, 권한 사용 데이터 축적이라는 선행 단계를 거쳐야 한다고 밝혔다.














