글로벌 기업 44% “AI 에이전트 보안 정책, 아직 마련 못 해”

[아이티데일리] 인공지능(AI) 에이전트가 확산하는 가운데, 글로벌 기업 44%는 이를 위한 보안 정책을 마련하지 못한 것으로 나타났다.

글로벌 아이덴티티 보안 기업 세일포인트는 3일 이 같은 내용이 담긴 ‘AI 에이전트: 보안의 새로운 공격 표면’ 연구 보고서를 발표했다.

이번 보고서는 세일포인트가 디메셔널 리처치(Dimensional Reaseach)에 의뢰해 엔터프라이즈 보안 관련 책임자 353명을 대상으로 조사한 결과다.

AI 에이전트 또는 에이전틱(Agentic) AI는 특정 환경에서 주어진 목표를 달성하고자 스스로 인식하고 의사결정을 내리며 행동하는 자율 시스템이다. AI가 업무를 직접 수행한다는 점에서 주목받으나, 복잡한 관리 구조로 보안 운영을 어렵게 만든다는 문제가 있다.

보고서에 따르면 조사에 응한 기업 중 82%는 이미 AI 에이전트를 활용 중이었다. 하지만 44%만이 이에 대한 보안 정책을 마련했다고 답했다.

특히 전문가 96%가 AI 에이전트를 보안 위협으로 인식하는 한편, 기업 98%는 향후 1년 내 에이전트 활용을 확대할 계획이라고 답해 보안 우려와 기대가 공존하는 양상을 보였다.

AI 에이전트를 보안 위협으로 인식하는 요인으로는 △AI 에이전트의 기밀 데이터 접근 능력(60%) △의도치 않은 행동을 수행할 가능성(58%) △기밀 데이터 공유(57%) △부정확하거나 검증되지 않은 데이터에 기반한 의사결정(55%) △부적절한 정보에 접근 및 공유(54%) 등이 포함됐다.

AI 에이전트가 확산하며 아이덴티티 보안의 중요성은 더욱 높아질 전망이다. 세일포인트에 따르면, AI 에이전트는 이미 고객 정보, 재무 데이터, 법률 문서 등 민감 데이터에 접근이 가능하지만, 이에 대한 통제는 미흡한 실정이다. 실제로 기업 23%는 AI 에이전트가 접근 자격 증명을 탈취하는 데 이용된 적이 있다고 밝혔다.

이 밖에도 AI 에이전트가 △승인되지 않은 시스템 또는 자원에 접근(39%) △민감하거나 부적절한 데이터에 접근 또는 공유(31% 및 33%) △민감 콘텐츠 다운로드(32%) 등 예기치 못한 행동을 했다는 답변도 있었다.

세일포인트 찬드라 나나삼반담(Chandra Gnanasambandam) 최고기술책임자(CTO)는 “AI 에이전트는 혁신을 이끄는 동력인 동시에 잠재적 위협 요소”라며 “민감 시스템과 데이터에 대한 넓은 접근 권한을 가진 채 작동하는 경우가 많다. 하지만 이에 대한 관리 감독을 매우 제한적이기에 공격자에게 최적의 표적이 될 수밖에 없다”고 꼬집었다.

이어 찬드라 CTO는 “기업들은 ‘아이덴티티 중심(Identity-first)’ 접근 방식을 채택하고 실시간 권한 관리, 최소 권한 원칙 적용, 모든 활동에 대한 완전한 가시성 확보 등 엄격한 거버넌스 아래 AI 에이전트를 관리해야 한다”고 강조했다.