DEEP DIVE REPORT

제로트러스트 실구축 가속과 AI 에이전트 통제 공백: 기업 보안 설계의 새로운 과제

SecurityDesk
2026.06.30 조회 4

국내 기업과 공공기관의 제로트러스트 도입은 더 이상 선언적 구호에 머물기 어렵다. 국가 망 보안체계(N2SF)가 국가 사이버보안 기본지침에 편입되고, 통신·금융권 대형 침해사고가 잇따르면서 기존 경계 보안 모델의 한계가 명확해졌다. 외부에서 내부로 들어오는 입구만 지키는 방식은 이미 내부에 들어온 공격자의 횡적 이동, 탈취 계정의 재사용, 정상 업무처럼 보이는 데이터 접근을 충분히 막지 못한다.

문제는 제로트러스트 구축이 본격화되는 시점에 새로운 접근 주체가 동시에 등장했다는 점이다. AI 에이전트는 사람을 대신해 업무 시스템에 접속하고, MCP 서버는 에이전트가 외부 도구와 데이터에 연결되는 통로가 된다. 그러나 많은 조직에서 AI 에이전트는 기업 SSO, 권한 관리, 로그 감사, 데이터 흐름 통제 체계에 아직 제대로 편입돼 있지 않다. 사람과 단말을 중심으로 설계한 제로트러스트 아키텍처가 AI 에이전트를 빠뜨리면, 새 보안 체계는 구축과 동시에 사각지대를 안게 된다.

제로트러스트가 실행 단계로 넘어간 배경

국내 제로트러스트 도입은 그동안 필요성에 대한 공감대는 컸지만 실제 구축 사례는 제한적이었다. 어느 업무부터 시작할지, 기존 망분리와 어떻게 병행할지, 레거시 시스템을 얼마나 바꿔야 하는지에 대한 부담이 컸기 때문이다. 이 상황을 바꾼 요인은 제도 변화와 침해사고다.

N2SF의 국가 사이버보안 기본지침 편입은 공공기관이 업무 특성과 데이터 중요도에 따라 보안 체계를 차등 적용하도록 압력을 높였다. 국가사이버보안 실태평가에도 N2SF 적용과 다중인증 강화가 주요 항목으로 반영되면서, 선도 기관은 검토 단계에서 준비·도입 단계로 움직이고 있다.

침해사고도 같은 방향으로 압박을 더했다. 통신망 침투, 금융권 정보 유출, 계정 노출 사고는 공통적으로 내부 접근 통제와 이상 행위 검증의 취약성을 드러냈다. 공격자가 한 번 내부에 들어온 뒤 정상 계정이나 허용된 경로를 이용하면, 경계 장비만으로는 피해 확산을 막기 어렵다. 제로트러스트가 강조하는 지속 검증, 최소 권한, 세분화된 접근 제어가 실무 과제가 된 이유다.

글로벌 흐름도 같다. 디지털데일리가 인용한 스태티스타 전망에 따르면 전 세계 제로트러스트 보안 시장은 2023년 316억 달러에서 2032년 1330억 달러 규모로 성장할 것으로 예상된다. 2024년 글로벌 조직 조사에서도 이미 제로트러스트 전략을 구현했다는 응답이 31%, 6개월 이내 도입 예정이 27%, 12개월 이내 도입 예정이 20%로 나타났다. 즉, 제로트러스트는 일부 선도 조직의 실험이 아니라 보안 운영 모델의 표준 전환에 가까워지고 있다.

실구축의 핵심은 단일 제품이 아니라 검증 체계다

제로트러스트 구축에서 흔한 오해는 특정 솔루션 하나를 도입하면 체계가 완성된다고 보는 것이다. 실제 현장에서는 사용자, 단말, 네트워크, 애플리케이션, 데이터, API가 모두 연결돼야 한다. 각 영역의 통제가 따로 움직이면 정책은 복잡해지고, 공격자는 가장 약한 지점을 찾아 이동한다.

마이크로세그멘테이션은 내부망을 잘게 나눠 공격자의 횡적 이동을 줄인다. ZTNA는 사용자가 어디에 있든 애플리케이션 단위로 접근을 검증한다. MFA와 FIDO 기반 인증은 탈취된 비밀번호만으로 접속이 성립하지 않게 만든다. 단말 보안은 패치 수준, 악성코드 감염 여부, 보안 프로그램 동작 상태를 권한 판단에 반영한다. 데이터 흐름 통제와 API 보안은 계정이 정상으로 보이더라도 민감 데이터 접근이나 비정상 호출 패턴을 제한한다.

이 요소들이 맞물릴 때 제로트러스트는 의미가 있다. 인증은 한 번의 관문이 아니라 계속 갱신되는 판단이어야 하고, 권한은 직무·상황·위험도에 따라 좁게 부여돼야 한다. 중요한 것은 네트워크 위치가 내부인지 외부인지가 아니라, 해당 주체가 지금 이 리소스에 접근할 이유와 상태를 증명할 수 있는지다. NIST SP 800-207이 제로트러스트를 엔터프라이즈 리소스 보호를 위한 아키텍처로 설명하는 것도 이 때문이다.

AI 에이전트는 새로운 인증 주체다

AI 에이전트의 보안 난점은 단순 챗봇과 다르다. 에이전트는 질문에 답하는 데 그치지 않고 데이터베이스를 조회하고, 업무 도구를 호출하고, 파일을 생성하거나 외부 API에 연결할 수 있다. MCP 서버는 이런 에이전트가 도구와 데이터 소스에 접근하는 표준화된 연결 지점으로 쓰인다. 편의성이 커지는 만큼, 이 경로는 새로운 권한 실행 통로가 된다.

현재 많은 조직의 통제는 사람 계정과 단말을 중심으로 설계돼 있다. 반면 AI 에이전트는 누가 만들었는지, 어떤 업무 목적을 갖는지, 어떤 데이터에 접근할 수 있는지, 어떤 MCP 서버와 도구를 호출할 수 있는지 명확히 정의되지 않은 경우가 많다. 부서가 자체적으로 만든 에이전트가 IT·보안 조직의 인벤토리에 잡히지 않으면 섀도우 AI가 된다. 권한이 넓게 부여된 에이전트가 프롬프트 인젝션이나 잘못된 지시를 따를 경우, 공격자는 사람 계정을 탈취하지 않고도 민감 시스템에 접근할 수 있다.

마이크로소프트의 2026년 AI 보안 보고서도 에이전트 확산에 따른 가시성 격차와 거버넌스 필요성을 강조했다. 특히 AI 에이전트 보안에도 최소 권한, 명시적 검증, 침해 가정을 적용해야 한다고 제시했다. 이는 기존 제로트러스트 원칙을 사람과 단말에만 적용하지 말고 에이전트와 도구 호출까지 확장해야 한다는 의미다.

통제 공백이 만드는 실제 위험

첫 번째 위험은 에이전트 스프롤이다. 업무 부서가 빠른 자동화를 위해 에이전트를 만들고, 각 에이전트가 별도 토큰과 API 키, 데이터 접근 권한을 가진 채 방치되는 상황이다. 시간이 지나면 보안팀은 어떤 에이전트가 운영 중인지, 소유자가 누구인지, 퇴직자나 폐기된 프로젝트와 연결된 권한이 남아 있는지 파악하기 어려워진다.

두 번째 위험은 MCP 서버와 도구 호출 경로의 과도한 신뢰다. MCP 서버가 파일 시스템, 티켓 시스템, 코드 저장소, 업무 데이터베이스에 연결돼 있는데 인증과 권한 분리가 약하면 에이전트 하나의 오작동이 여러 시스템으로 확산될 수 있다. 특히 읽기 권한만 필요한 업무에 쓰기·삭제·외부 전송 권한까지 부여되면 사고의 범위가 커진다.

세 번째 위험은 감사 불가능성이다. 사람이 수행한 작업은 SSO 로그, 단말 로그, 애플리케이션 로그로 어느 정도 추적할 수 있다. 하지만 에이전트가 여러 도구를 연속 호출하고 중간 판단을 자체적으로 수행하면, 최종 결과만 남고 어떤 데이터에 접근했는지, 어떤 판단으로 외부 전송이 이뤄졌는지 확인하기 어렵다. 이는 사고 대응뿐 아니라 개인정보 보호, 금융 규제, 내부통제 측면에서도 문제가 된다.

기업 보안 설계의 우선순위

기업은 제로트러스트 실구축을 시작할 때 AI 에이전트를 별도 예외 영역으로 두지 말아야 한다. 에이전트는 서비스 계정이나 자동화 계정의 확장판이 아니라, 업무 판단과 도구 실행을 결합한 새로운 행위 주체다. 따라서 사람 계정과 같은 수준의 신원, 권한, 정책, 감사 체계가 필요하다.

가장 먼저 필요한 것은 인벤토리다. 운영 중인 모든 AI 에이전트, MCP 서버, 연결 도구, API 키, 데이터 소스를 중앙에서 목록화해야 한다. 각 항목에는 소유 부서, 업무 목적, 접근 가능한 데이터, 허용된 도구, 만료일, 승인자를 기록해야 한다. 인벤토리가 없으면 최소 권한도, 감사도, 폐기도 불가능하다.

다음은 신원과 권한 분리다. 에이전트는 공유 계정이나 개인 계정의 권한을 빌려 쓰지 않아야 한다. 에이전트별 고유 신원을 부여하고, 업무 목적별로 권한을 나눠야 한다. 데이터 조회, 파일 생성, 외부 전송, 코드 실행, 삭제 같은 고위험 동작은 별도 승인이나 조건부 정책을 거쳐야 한다.

세 번째는 MCP 서버 보안이다. MCP 서버는 에이전트와 기업 자산 사이의 관문이므로 네트워크 접근 제어, 강한 인증, 세분화된 권한, 호출 로그, 데이터 반출 제한을 적용해야 한다. 민감 데이터가 포함된 도구는 기본적으로 읽기 전용에서 시작하고, 쓰기·수정·전송 권한은 업무상 필요가 확인된 경우에만 열어야 한다.

네 번째는 행동 모니터링이다. 에이전트가 평소보다 많은 데이터를 조회하거나, 업무 시간과 다른 시간대에 호출이 늘거나, 승인되지 않은 도구 조합을 시도하면 이를 이상 행위로 탐지해야 한다. 기존 SIEM·SOAR 체계도 사람 계정 중심의 로그 상관분석에서 에이전트 신원과 도구 호출 이벤트를 포함하는 방향으로 확장돼야 한다.

다섯 번째는 인간 승인 지점이다. 제로트러스트가 모든 작업을 막자는 뜻은 아니지만, 위험도가 높은 작업은 자동 실행 전에 사람이 확인해야 한다. 대량 데이터 다운로드, 외부 메일 발송, 권한 변경, 운영 시스템 수정, 코드 배포 같은 행위는 에이전트가 제안하더라도 승인 워크플로를 통과하도록 설계하는 편이 현실적이다.

현실적인 도입 순서

모든 영역을 한 번에 바꾸기는 어렵다. 공공기관은 N2SF와 실태평가 항목에 맞춰 핵심 업무와 중요 데이터를 먼저 분류하고, 금융권은 망분리 완화와 내부망 접근통제 파일럿을 활용해 고위험 업무부터 검증하는 방식이 현실적이다. 일반 기업은 VPN 대체 ZTNA, 관리자 계정 MFA, 핵심 데이터 접근 로깅, SaaS 앱 조건부 접근처럼 효과가 빠른 영역부터 시작할 수 있다.

AI 에이전트 통제도 같은 방식으로 접근해야 한다. 전사 금지나 전면 허용이 아니라, 승인된 에이전트만 기업 데이터에 접근하게 하고, 고위험 도구 호출에는 제한을 두며, 로그를 남기는 구조부터 만들어야 한다. 이미 사용 중인 에이전트를 조사해 소유자 없는 항목과 과도한 권한을 정리하는 것만으로도 위험을 크게 줄일 수 있다.

제로트러스트의 본질은 아무도 믿지 않는다는 구호가 아니라, 신뢰를 계속 증명하도록 설계하는 것이다. AI 에이전트 시대에는 그 증명의 대상이 사람, 단말, 네트워크를 넘어 에이전트와 도구 호출까지 확장된다. 기업 보안 설계의 새로운 과제는 제로트러스트를 구축하는 것 자체가 아니라, 자동화와 AI가 만들어낸 새 행위 주체를 기존 통제 체계 안으로 끌어들이는 일이다.

제로트러스트 실구축은 국내 보안 환경에서 피할 수 없는 방향이 됐다. 그러나 AI 에이전트를 통제하지 못한 제로트러스트는 완성된 체계가 아니라 새로운 빈틈을 품은 과도기적 구조에 그칠 수 있다. 지금 필요한 것은 제품 도입 목록을 늘리는 일이 아니라, 누가 또는 무엇이 어떤 이유로 어떤 데이터와 도구에 접근하는지 끝까지 설명 가능한 보안 설계다. 그 설명 가능성이 확보될 때 제로트러스트는 AI 시대에도 기업 보안의 실질적 기반이 될 수 있다.

참고자료

  • 디지털데일리, [K-보안 주권⑥] "구호에서 실행으로"…제로트러스트 실구축 확산, AI 에이전트 통제 공백은 과제, 2026년 6월 27일
  • NIST SP 800-207, Zero Trust Architecture
  • Zscaler ThreatLabz, 2024 VPN Risk Report
  • Microsoft, Cyber Pulse: An AI security report, 2026년 2월 10일

본 콘텐츠는 AI 기술로 생성된 분석 리포트를 포함하고 있습니다. 내용 중 사실과 다르거나 보완이 필요한 정보를 발견하시면 댓글을 통해 소중한 의견 부탁드립니다. 여러분의 피드백은 더 정확한 보안 정보 공유에 큰 도움이 됩니다.

댓글 (0)

댓글을 작성하려면 로그인이 필요합니다.

로그인

아직 댓글이 없습니다.

첫 번째 댓글을 작성해보세요!

IT 도구 서랍

→ Unix: 2025-01-15T09:30:00
→ 날짜: 1736934600

→ ASCII: ABC
→ 문자: 65 66 67

ASCII 코드표 — 클릭하면 입력란에 추가

DecHex약어설명
DecHex문자
DecHex문자

→ 유니코드: 홍길동
→ 문자: \ud64d\uae38\ub3d9