본문으로 건너뛰기
J
피드

AI 에이전트 보안, 이제 권한이 아니라 ‘실행 증거’ 싸움으로 간다

security 약 7분
tags
#ai-agent#mcp#confidential-computing#governance#pqc
vote
0
댓글
북마크

오페이크가 AI 에이전트의 ID, 실행 환경, 도구 호출, 정책 적용 여부를 암호학적으로 검증하는 오페이크 3.0을 공개했다. 핵심은 에이전트 매니페스트와 컨피덴셜 MCP라는 두 오픈소스 기술이며, 기밀 컴퓨팅과 서명된 실행 증거를 결합해 감사자나 규제기관도 독립적으로 확인할 수 있게 하는 방향이다. AI 에이전트가 업무 시스템과 데이터를 직접 만지는 시대에는 접근 권한보다 ‘무슨 일을 했는지 증명할 수 있느냐’가 더 중요해지고 있다.

  • 1

    오페이크 3.0은 AI 에이전트의 ID, 실행 환경, 작업, 정책 적용 여부를 암호학적으로 검증하는 플랫폼임

  • 2

    에이전트 매니페스트는 AI 에이전트의 승인자, 접근 자원, 적용 정책, 실행 조건을 증거화함

  • 3

    컨피덴셜 MCP는 MCP 기반 외부 도구 호출에 기밀 런타임과 감사 가능한 서명 증거를 붙임

  • 4

    인텔, AMD, 엔비디아의 기밀 컴퓨팅 환경에서 동작하며, 엔비디아 환경에서는 GPU도 신뢰 실행 환경에 포함됨

AI 에이전트 보안의 초점이 바뀌는 중

  • 오페이크가 AI 에이전트 신뢰 검증 플랫폼 ‘오페이크 3.0’을 공개함

    • AI 에이전트의 ID, 실행 환경, 수행 작업, 정책 적용 여부를 암호학적으로 검증하는 게 핵심임
    • 공개 시점은 2026년 6월 23일 컨피덴셜 컴퓨팅 서밋이고, 일반 제공은 2026년 7월 예정임

  • 왜 이게 중요하냐면, AI 에이전트가 이제 단순 챗봇이 아니기 때문임

    • 기업 업무에서 데이터 조회, 외부 도구 호출, 업무 시스템 실행까지 맡게 됨
    • 기존 접근통제만으로는 에이전트가 실제로 어떤 일을 했는지, 승인된 정책 안에서 움직였는지 설명하기 어려움
    • “권한이 있었나?”보다 “정책대로 실행됐다는 증거가 있나?”가 중요해지는 흐름임

중요

> AI 에이전트가 업무 시스템을 직접 호출하기 시작하면 로그만으로는 부족함. 누가 승인했고, 어떤 정책 아래서, 어떤 도구를 호출했는지 검증 가능한 증거가 필요해짐.

두 가지 오픈소스 기술

  • 오페이크 3.0 발표의 핵심은 에이전트 매니페스트와 컨피덴셜 MCP임

    • 에이전트 매니페스트(Agent Manifest)는 검증 가능한 AI 에이전트를 위한 오픈 표준으로 공개됨
    • 컨피덴셜 MCP(Confidential MCP)는 MCP 실행 과정에 보안과 감사 기능을 결합한 구현임

  • 기반에는 에이전트 거버넌스 툴킷(AGT)이 있음

    • AGT는 오페이크의 임란 시디크가 마이크로소프트 재직 당시 만든 오픈소스 거버넌스 프레임워크임
    • AI 에이전트가 수행할 수 있는 작업, 접근 가능한 데이터, 따라야 할 정책을 정의함
    • 공개 후 6주 동안 깃허브에서 약 4100개의 스타를 확보했다고 함

  • 에이전트 매니페스트는 에이전트의 신분증이자 실행 조건표에 가까움

    • 기업은 에이전트가 어떤 ID로 실행되는지, 어떤 자원에 접근할 수 있는지, 누가 승인했는지, 어떤 정책을 따르는지 확인할 수 있음
    • 런타임 무결성 검증과 연결돼, 실행 환경과 상태가 사전에 정의된 정책과 맞는지 검증함
    • 승인되지 않았거나 변조된 에이전트가 정상 에이전트처럼 행동하는 위험을 줄이는 구조임

MCP 호출까지 검증한다

  • 컨피덴셜 MCP는 외부 도구 호출을 보안 검증 대상으로 끌어올림
    • MCP는 AI 에이전트가 외부 도구, 데이터, 업무 시스템과 연결되는 접점임
    • 컨피덴셜 MCP는 기밀 런타임 안에서 동작하고, 거버넌스 정책을 하드웨어 기반으로 강제함
    • 에이전트가 수행한 모든 도구 호출과 작업에 독립적으로 검증 가능한 증거가 생성됨
sequenceDiagram
    participant 에이전트
    participant 매니페스트
    participant 컨피덴셜MCP
    participant 업무도구
    participant 감사자
    에이전트->>매니페스트: ID·승인·정책 확인
    매니페스트-->>컨피덴셜MCP: 실행 조건 전달
    에이전트->>컨피덴셜MCP: 도구 호출 요청
    컨피덴셜MCP->>업무도구: 정책 통과 호출 실행
    컨피덴셜MCP-->>감사자: 서명된 실행 증거 제공

  • 감사자와 규제기관이 독립적으로 확인할 수 있다는 점도 큼

    • 기업이나 오페이크 자체를 신뢰하지 않아도, 서명된 실행 증거를 확인할 수 있는 구조로 설명됨
    • 에이전트가 어떤 도구를 호출했고 어떤 정책 아래 실행됐는지 검증하는 데 쓰임

  • 하드웨어 지원 범위도 넓게 잡고 있음

    • 오페이크 3.0은 인텔, AMD, 엔비디아의 CPU 기반 기밀 컴퓨팅 플랫폼에서 동작함
    • 엔비디아 컨피덴셜 컴퓨팅 환경에서는 GPU도 신뢰 실행 환경(TEE)에 포함됨
    • 퍼블릭 클라우드, 프라이빗 클라우드, 온프레미스 모두에서 운영할 수 있다고 소개됨

주권형 AI와 포스트 양자암호까지 연결

  • 오페이크는 아랍에미리트 기술혁신연구소(TII)를 창립 파트너로 소개함

    • TII는 주권형 AI 구축 환경에서 개방형 검증 표준을 적용하려는 쪽임
    • 양사는 TII의 포스트 양자암호(Post-Quantum Cryptography)를 오페이크 3.0에 결합할 계획임
    • 목적은 에이전트 ID와 서명된 증거가 향후 양자컴퓨팅 환경에서도 검증 가능하도록 만드는 것임

  • 업계 메시지는 한 줄로 정리됨

    • AI 에이전트가 더 자율적으로 움직일수록, 보안도 접근 권한 관리에서 실행 증거와 독립 감사 체계로 확장돼야 함
    • 모델 보호와 데이터 접근통제만으로는 부족하고, 에이전트가 실제로 수행한 작업까지 증명해야 함

기술 맥락

  • 오페이크 3.0의 선택은 “에이전트에게 권한을 줄 것인가”가 아니라 “에이전트가 권한 안에서 움직였다는 걸 어떻게 증명할 것인가”에 있어요. 기업 업무 시스템에 붙은 에이전트는 데이터 조회와 도구 호출을 실제로 수행하니까, 단순 로그인 기록만으로는 부족하거든요.

  • 컨피덴셜 MCP가 중요한 이유는 MCP가 에이전트의 손발 역할을 하기 때문이에요. 에이전트가 외부 도구를 호출하는 지점에서 정책을 강제하고 증거를 남기면, 나중에 감사할 때 “무슨 일이 있었는지”를 훨씬 명확하게 볼 수 있어요.

  • 기밀 컴퓨팅을 쓰는 이유도 여기서 나와요. 실행 환경 자체가 변조되지 않았고, 정해진 정책이 하드웨어 수준에서 적용됐다는 증거를 만들 수 있어야 신뢰가 생기거든요.

  • 포스트 양자암호까지 언급한 건 장기 검증을 의식한 선택이에요. 에이전트 실행 증거가 규제나 분쟁 대응에 쓰일 수 있다면, 몇 년 뒤에도 그 서명이 신뢰 가능해야 하니까요.

  • 한국 기업도 에이전트를 내부 업무에 붙일수록 비슷한 질문을 마주하게 돼요. “접근 권한을 줬다”에서 끝내지 말고, 누가 승인했고 어떤 정책으로 어떤 도구를 호출했는지 남기는 구조가 필요해져요.

AI 에이전트 보안은 이제 ‘이 계정에 권한 줘도 됨?’에서 ‘이 에이전트가 실제로 뭘 했는지 증명 가능함?’으로 넘어가고 있다. 기업에서 에이전트를 업무 시스템에 붙이려면 로그 수준이 아니라 검증 가능한 실행 증거가 필요해질 가능성이 큼.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

스패로우, AI가 만든 코드 취약점 잡는 ‘Sparrow MCP’ 출시

스패로우가 AI 코딩 에이전트가 생성한 코드의 보안 취약점과 사용된 오픈소스를 실시간으로 검사하는 보안 어시스턴트 ‘Sparrow MCP’를 출시했다. 핵심 기능은 취약점 분석과 소프트웨어 자재명세서(SBOM) 생성이며, 앤트로픽의 모델 컨텍스트 프로토콜(MCP)을 지원하는 AI와 연결할 수 있다는 점이다. AI 코딩이 빨라질수록 보안 검증과 오픈소스 추적이 개발 파이프라인 안으로 더 깊게 들어오는 흐름이다.

security

오픈AI, 오픈소스 취약점 고치는 ‘패치 더 플래닛’ 시작

오픈AI가 트레일 오브 비츠와 함께 주요 오픈소스 프로젝트의 취약점을 AI로 찾고, 사람 검토를 거쳐 실제 패치까지 연결하는 프로그램을 시작했다. 파이썬, 고, cURL, 시그스토어, NATS 서버 같은 핵심 프로젝트가 초기 대상이고, 지금까지 수백 건의 보안 이슈와 수십 건의 병합된 패치가 나왔다. 핵심은 AI가 보안팀을 대체하는 게 아니라, 탐지·검증·패치·공개 조율을 빠르게 만드는 보조 엔진이라는 점이다.

security

오픈AI, 취약점 찾기부터 패치까지 돕는 ‘코덱스 시큐리티’ 공개

오픈AI가 사이버보안 이니셔티브 데이브레이크를 확대하면서 보안 전용 도구 코덱스 시큐리티와 GPT-5.5-사이버를 공개했다. 목표는 취약점 탐지에서 끝나는 게 아니라 검증, 위험도 평가, 패치 개발, 테스트, 배포까지 AI로 지원하는 것이다. cURL, Go, Python, Sigstore 등 30개 이상 오픈소스 프로젝트도 패치 지원 프로그램에 참여한다.

security

정부, 공공 SW 납품에 SBOM 단계 적용…취약점 방치하면 조달 제한까지

과기정통부와 국정원이 공공 소프트웨어 공급망 보안 로드맵을 발표했다. 내년부터 공공 정보화사업과 보안 검증 절차에 SBOM 제출과 취약점 대응 절차를 단계적으로 반영하고, 2028년부터는 외교·안보·국방 분야 제품 납품 체크리스트를 우선 적용한다.

security

LG전자 오픈소스 도구 ‘포스라이트’, 프로젝트별 취약점·SBOM 관리까지 지원

LG전자가 공개한 오픈소스 관리 시스템 ‘포스라이트’가 공급망 보안 도구로 소개됐다. 오픈소스 이름·버전·라이선스뿐 아니라 전이적 종속성, 취약점 변경 알림, 타사 SBOM 관리까지 한 흐름에서 다룰 수 있다는 내용이다.