---
title: "AI 에이전트 도입 전에 먼저 봐야 할 건 모델이 아니라 데이터와 권한이다"
published: 2026-07-11T15:05:04.486Z
canonical: https://jeff.news/article/4942
---
# AI 에이전트 도입 전에 먼저 봐야 할 건 모델이 아니라 데이터와 권한이다

쿼럼 사이버가 AI 에이전트 거버넌스, 데이터 노출 보호, 클라우드 보안 상태 평가를 포함한 AI 보안 서비스 4종을 공개했다. 핵심은 AI 모델 자체보다 AI가 접근할 수 있는 데이터, ID, 권한, 클라우드 환경을 먼저 점검해야 한다는 메시지다.

- AI 도입 보안의 중심이 ‘모델을 어떻게 막을까’에서 ‘AI가 접근하는 기반을 어떻게 통제할까’로 이동 중임
  - AI는 데이터, 사용자 ID, 권한, 클라우드 환경을 기반으로 움직임
  - 그래서 모델 성능보다 먼저 봐야 하는 건 AI가 어떤 데이터에 접근 가능한지, 어떤 권한으로 실행되는지, 클라우드 설정이 안전한지임

- 쿼럼 사이버는 AI 기반을 보호하기 위한 전문 서비스 4종을 공개함
  - `에이전트 365 레디니스 액셀러레이터`는 마이크로소프트 365 환경에서 AI 에이전트가 조직 전반으로 퍼지기 전 거버넌스를 점검함
  - `AI 및 클라우드 보안 상태 평가`는 AI 서비스가 의존하는 클라우드 환경의 보안 수준과 통제 항목을 확인함
  - `AI 데이터 노출 보호 및 거버넌스 액셀러레이터`는 AI 활용 과정에서 생길 수 있는 데이터 노출 위험을 줄이는 데 초점을 둠
  - `AI 데이터 보안 상태 관리 평가`는 AI가 실제로 접근할 수 있는 데이터와 민감정보 노출 가능성을 확인함

> [!WARNING]
> AI 에이전트는 ‘사용자 대신 일하는 도구’라서 권한이 과하게 열려 있으면 사고 범위도 같이 커짐. 특히 마이크로소프트 365처럼 메일, 문서, 일정이 한곳에 묶인 환경에서는 사전 점검이 꽤 중요함.

- 기사에서 반복되는 메시지는 단순함. AI 도구의 보안 수준은 결국 그 도구가 접근할 수 있는 데이터와 권한의 보안 수준을 따라감
  - AI 비서나 에이전트가 민감 문서, 고객 정보, 내부 자료에 접근할 수 있다면 모델 자체보다 권한 설계가 더 큰 리스크가 될 수 있음
  - 한 번 평가하고 끝내는 방식이 아니라, AI가 접근하는 데이터에 대한 지속적인 가시성과 통제가 필요하다는 주장임

- 쿼럼 사이버는 관리형 서비스 `클래리티 데이터 & AI`와 이번 서비스를 함께 쓰는 구성을 제시함
  - 목적은 일회성 보안 점검이 아니라, AI가 접근하는 데이터와 위험을 계속 추적하는 운영 체계를 만드는 것임
  - AI 도입 속도는 빠른데 보안·거버넌스·데이터 보호 체계가 못 따라가는 조직을 겨냥한 메시지로 읽힘

- AI 기반 공격 대응도 같이 언급됨. AI를 안전하게 쓰는 문제와 AI를 쓰는 공격자에 대응하는 문제가 동시에 커지고 있음
  - 공격자는 AI로 공격 속도와 규모를 키울 수 있음
  - 방어자는 AI로 대량의 보안 데이터를 분석하고, 조사 과정을 빠르게 처리하고, 위협 대응 정확도를 높일 수 있음
  - 다만 회사는 AI 기능만으로는 부족하고 보안 전문가의 판단과 경험을 결합해야 한다고 봄

- 국내 기업에도 꽤 현실적인 얘기임. 마이크로소프트 365 기반 생성AI와 AI 에이전트 도입이 늘수록 ‘일단 써보고 나중에 통제’는 위험해짐
  - 먼저 AI가 읽을 수 있는 문서 범위, 민감정보 노출 가능성, 사용자 권한 구조, 클라우드 보안 설정을 봐야 함
  - 특히 전사 협업 도구에 AI를 붙이는 경우, 보안팀·인프라팀·업무 부서가 같은 기준으로 권한과 데이터 분류를 맞춰야 함

---
## 기술 맥락

- 이 기사에서 중요한 선택은 AI 보안을 모델 단독 문제가 아니라 데이터와 권한 문제로 본다는 점이에요. 생성AI나 에이전트가 업무 도구 안으로 들어오면, 모델이 똑똑한지보다 어떤 문서를 읽고 어떤 작업을 실행할 수 있는지가 더 직접적인 위험이 되거든요.

- 마이크로소프트 365 환경이 언급되는 이유도 분명해요. 메일, 일정, 문서, 협업 데이터가 한 생태계에 모여 있어서 AI 에이전트가 편리해지는 만큼 접근 범위도 커져요. 그래서 도입 전에 거버넌스와 권한 구조를 먼저 봐야 해요.

- 데이터 보안 상태 관리는 단순히 민감정보가 어디 있는지 찾는 작업이 아니에요. AI가 실제로 그 데이터에 접근할 수 있는지, 접근했다면 어떤 산출물로 바뀔 수 있는지까지 봐야 하니 기존 보안 점검보다 업무 흐름에 더 가까워져요.

- 클라우드 보안 상태 평가가 같이 묶인 것도 자연스러운 흐름이에요. AI 서비스 운영 기반이 클라우드라면 잘못 열린 스토리지, 과도한 권한, 약한 로그 정책이 그대로 AI 리스크로 이어질 수 있거든요.

## 핵심 포인트

- AI 보안의 초점이 모델 성능이나 모델 자체 방어에서 데이터·권한·클라우드 기반 보안으로 이동하고 있음
- 쿼럼 사이버는 마이크로소프트 365 환경의 AI 에이전트 준비도, 클라우드 보안 상태, 데이터 노출, 데이터 보안 상태 관리를 묶은 서비스를 제시함
- 국내에서도 마이크로소프트 365 기반 생성AI와 AI 에이전트 도입이 늘면서 사전 권한 점검과 지속 관리 요구가 커지고 있음

## 인사이트

기업 AI 도입에서 가장 위험한 착각은 ‘모델만 안전하면 된다’는 생각임. 실제 사고는 모델보다 과도한 권한, 민감정보 노출, 클라우드 설정 미흡에서 터질 가능성이 훨씬 큼.
