- IT 전문가 96%, AI 에이전트 보안 위험성이 커지는 것으로 인식… 그럼에도AI 에이전트 확대 도입 희망 기업 비율 98%에 달해
- AI 에이전트, 기존 머신 아이덴티티보다 보안 리스크 높을 것으로 평가… 거버넌스·가시성 부족으로 민감한 데이터 유출로 이어질 가능성 大
- 전문가들 “AI 에이전트도 휴먼 아이덴티티처럼 엄격히 관리해야”
2025년 7월 3일 – 엔터프라이즈 아이덴티티 보안의 선두 기업 세일포인트 테크놀로지 홀딩스가 글로벌 보안 및 IT 전문가와 경영진을 설문해 분석한 ‘AI 에이전트: 보안 의 새로운 공격 표면'연구 보고서를 발표했다. 보고서는 AI 에이전트가 급속도로 확산하는 가운데 아이덴티티 보안 강화의 중요성이 그 어느 때보다 크다고 강조했다.
보고서에 따르면 전체 기업의 82%는 이미 AI 에이전트를 활용하고 있지만, 이에 대한 보안 정책을 마련한 곳은 44%에 불과한 것으로 나타났다. 특히 전문가의 96%가 AI 에이전트를 보안 위협으로 인식하고 있음에도 불구하고, 기업의 98%는 향후 1년 내 AI 에이전트 활용을 확대할 계획이라고 답해, 보안 우려와 활용 기대가 공존하는 상반된 인식을 보여줬다.
한편, 세일포인트는 ‘AI 에이전트(AI Agent)’ 또는 ‘에이전틱 AI(Agentic AI)’를 특정 환경에서 주어진 목표를 달성하기 위해 스스로 인식하고, 의사결정을 내리며, 행동하는 자율 시스템으로 정의했다. 이러한 AI 에이전트는 필요한 데이터, 애플리케이션, 서비스에 접근하기 위해 다수의 머신 아이덴티티를 요구하며, 자가 수정 및 하위 에이전트 생성 등으로 인해 보안 관점에서 더욱 복잡한 양상을 보인다고 설명했다. 실제로 응답자의 72%는 AI 에이전트가 머신 아이덴티티보다 더 큰 보안 위협이 된다고 답했다.
AI 에이전트를 보안 위협으로 인식하는 요인으로는 △AI 에이전트의 기밀 데이터 접근 능력 (60%), △의도치 않은 행동을 수행할 가능성 (58%), △기밀 데이터 공유 (57%), △부정확하거나 검증되지 않은 데이터에 기반한 의사결정 (55%), △부적절한 정보에 접근 및 공유 (54%) 등이 포함된 것으로 나타났다.
찬드라 나나삼반담(Chandra Gnanasambandam) 세일포인트 제품 부문 수석부사장(EVP) 겸 최고기술책임자(CTO)는 “에이전트 AI는 혁신을 이끄는 강력한 동력인 동시에 잠재적인 위협 요소”라며, “AI 에이전트는 민감한 시스템과 데이터에 대한 광범위한 접근 권한을 가진 채 작동하는 경우가 많지만, 이에 대한 관리 감독은 매우 제한적이다. 이러한 높은 수준의 권한과 낮은 가시성의 조합은 공격자들에게 최적의 표적이 될 수밖에 없다”고 지적했다. 이어 그는 “기업들은 AI 에이전트 사용을 확대함에 따라 ‘아이덴티티 중심(Identity-first)’ 접근 방식을 채택해 AI 에이전트가 인간과 마찬가지로 실시간 권한 관리, 최소 권한 원칙 적용, 모든 활동에 대한 완전한 가시성 확보 등 엄격한 거버넌스 아래 관리되어야 한다”고 강조했다.
세일포인트에 따르면, AI 에이전트는 이미 고객 정보, 재무 데이터, 지적 재산(IP), 법률 문서, 공급망 거래 내역 등 매우 민감한 데이터에 접근할 수 있는 상황이지만, 이에 대한 통제가 미흡할 수 있다는 우려가 제기되고 있다. 무려 응답자의 92%가 AI 에이전트 거버넌스가 기업 보안에 매우 중요하다고 답한 가운데 AI 에이전트가 액세스 자격 증명을 탈취하는 데 이용된 적이 있다고 밝힌 비율도 23%에 달했다. 또한 기업의 80%는 AI 에이전트가 △ 승인되지 않은 시스템 또는 리소스에 접근 (39%), △민감하거나 부적절한 데이터에 접근 또는 공유 (31% 및 33%), △민감한 콘텐츠를 다운로드 (32%) 등 예기치 못한 행동을 했다고 밝혔다.
보고서는 AI 에이전트가 단순한 시스템 일부가 아니라 독립적인 아이덴티티 유형임을 강조했다. 향후 1년 내 AI 에이전트 활용을 확대할 예정인 기업이 98%에 달하는 만큼, 휴먼 아이덴티티뿐만 아니라 AI와 머신 아이덴티티까지 포괄적으로 관리할 수 있는 아이덴티티 보안 솔루션 도입이 필수적이라고 전했다. 이러한 솔루션은 환경 내 모든 AI 에이전트를 탐지하고, 통합된 가시성을 제공하며, 제로 스탠딩 권한(Zero Standing Privilege) 원칙을 적용하고, 감사를 가능케 해 기업의 보안을 강화하고 규제 요건을 충족할 수 있도록 한다.
추가자료: 세일포인트 ‘AI 에이전트: 보안의 새로운 공격 표면’ 연구 보고서
[참고] 조사방법
세일포인트가 이번에 발간한 ‘AI 에이전트: 보안의 새로운 공격 표면’ 보고서는 기업 내 모든 직급의 AI, 보안, 아이덴티티 관리, 컴플라이언스 및 운영 담당 IT 전문가를 대상으로 소속 기업의 AI 에이전트 활용 현황에 대해 진행한 설문조사를 기반으로 작성됐다. 본 설문조사는 독립적인 제3자 리서치 기관인 디메셔널 리서치(Dimensional Research)가 수행했으며, 자격 요건을 갖춘 총 353명의 전문가가 설문에 참여했다. 모든 응답자는 엔터프라이즈 보안 관련 책임자였으며, 5개 대륙에 걸쳐 분포돼 있어 글로벌한 시각을 반영하고 있다.