(Tom Tunguz) AI 보안의 미래: 자동화된 에이전트 시대의 보안 아키텍처

# AI 보안의 미래: 자동화된 에이전트 시대의 보안 아키텍처

## 핵심 요약

- **AI는 공격자만큼 방어자에게도 강력한 도구**: 보안 팀은 AI를 활용해 동시에 모든 취약점을 보강할 수 있으며, 업계 전체가 보안 기술을 경쟁적으로 개발 중
- **취약성 악용 시간 창이 빠르게 좁혀지고 있음**: AI가 작성한 코드는 인간의 파이프라인보다 훨씬 빠르게 검토, 테스트, 패치되어 소프트웨어의 복원력이 크게 향상될 예정
- **보안 팀이 엔지니어링 팀으로 변모 중**: 최신 보안 조직은 단순히 관리자가 아닌 자동화된 정책을 설계하는 엔지니어로 구성됨
- **모든 에이전트는 고유 ID가 필요**: 수천 개의 에이전트가 동작하는 환경에서 각각을 식별하고 정책으로 제어해야 함
- **자동화는 선택이 아닌 필수**: 현재의 보안 위협 규모에 대응하려면 자동화된 에이전트 기반 보안 아키텍처가 핵심

---

## AI 시대, 방어자의 역할이 바뀐다

과거 보안 전문가들은 주로 인사 관리와 보안 정책 수립에 집중했다면, AI와 자동화 시대의 보안 리더들은 완전히 다른 역할을 맡게 되었다. 더 이상 사람을 관리하는 것이 아니라, **자동화된 에이전트들의 행동을 통제하는 정책 아키텍처를 설계**해야 한다는 의미다.

Lemonade의 CISO인 Jonathan Jaffe가 강조하는 핵심은 다음과 같다: **AI는 공격자만큼 방어자에게도 강력하다**는 것이다. 일반적으로 AI 보안을 논할 때 공격 시나리오와 위험성을 중심으로 이야기하지만, 이는 방어 측면의 잠재력을 과소평가한다. 

실제로 보안 업계 전체가 현재 어떻게 움직이는지 살펴보면, 모든 보안 벤더들이 동시에 AI 기반 방어 기술을 경쟁적으로 개발하고 있다. 단일 조직의 보안팀만이 아니라 전체 기술 스택의 모든 벤더가 보안을 강화하려고 노력하고 있다는 뜻이다.

> "수십만 개의 공격 목표가 존재합니다. 당신이 그 중 하나가 될 확률은 매우 낮습니다. 동시에 당신이 사용하는 모든 벤더도 이 기술에 접근해서 자신들의 서비스를 개선할 수 있습니다."

이 관점은 보안 위협에 대한 균형잡힌 이해를 제시한다. 확률적으로 개별 조직이 특정 공격을 받을 가능성은 상대적으로 낮지만, 조직이 사용하는 모든 외부 서비스와 솔루션도 동시에 보안을 강화되고 있다는 것이다.

---

## 취약성 악용의 시간 창이 빠르게 좁혀지는 이유

"AI 시대가 되면 더 많은 취약한 코드가 생기지 않을까?"라는 우려는 자연스럽다. 실제로 AI 개발 도구들이 코드를 작성하는 속도가 인간보다 훨씬 빠르므로, 초기에는 취약한 코드가 증가할 수 있다. 하지만 이것은 전체 그림의 절반일 뿐이다.

더 중요한 지점은 **코드 검토와 패치 속도 역시 기하급수적으로 증가**한다는 것이다. AI로 작성된 코드는:

1. **자동화된 보안 검토 도구**에 의해 즉시 분석됨
2. **펜 테스트(침투 테스트)** 자동화 시스템으로 빠르게 검증됨
3. **취약점 패치**가 인간의 수동 프로세스보다 훨씬 빠르게 적용됨

과거에는 취약점 발견부터 패치까지 몇 주에서 몇 달이 소요되었다. 하지만 AI 기반 자동화 시스템에서는 이 시간이 며칠 또는 시간 단위로 단축된다.

또 다른 중요한 사실은 **소프트웨어 내 전체 버그의 개수는 유한하다**는 것이다. 특정 소프트웨어에 존재할 수 있는 버그와 취약점의 총 개수는 제한적이다. 그리고 버그를 해결하는 속도가 증가할수록, 새로운 취약점이 생기는 속도를 계속해서 따라잡을 수 있다.

결론적으로, **소프트웨어의 복원력(resilience)은 매우 크게 향상될 것**이라는 예측이다. 취약점이 발생하더라도 그것을 악용할 수 있는 시간의 "윈도우"가 급격히 축소된다는 의미다.

---

## 보안 팀이 엔지니어링 팀으로 진화하는 현상

가장 주목할 만한 변화 중 하나는 **보안 조직의 정체성 자체가 근본적으로 변화**하고 있다는 것이다. 전통적으로 CISO와 보안팀은 정책 수립자, 감시자, 규정 준수 담당자로 역할이 제한되었다. 하지만 AI 에이전트 기반 보안 시스템이 등장하면서, 보안 전문가들이 직접 엔지니어로 변모해야 한다는 필요성이 생겼다.

Lemonade의 사례가 이를 명확히 보여준다. Lemonade에서는 **모든 보안 인원이 엔지니어**다. 이들은:

1. 자신들의 **AI 플랫폼을 직접 구축**했다
2. 그 위에 작동하는 **에이전트들을 개발**했다
3. 각 에이전트가 수행해야 할 특정 보안 임무를 정의했다

예를 들어:
- **한 에이전트는 위협 인텔리전스를 읽고 분석**한다
- **다른 에이전트는 취약한 메서드가 실제로 프로덕션 코드에서 호출되는지 확인**한다

이는 매우 중요한 구분이다. 모든 취약점이 실제 위협이 되는 것은 아니다. 코드에 취약한 함수가 존재하더라도, 그것이 실제로 프로덕션 환경에서 사용되지 않으면 현재의 위험은 낮다. 자동화된 에이전트는 이러한 차이를 구분할 수 있고, 실제 위험이 있는 항목에 우선순위를 매길 수 있다.

> "자동화는 현재 우리에게 닥치는 규모의 위협에 대응하기 위한 유일한 방법입니다."

이 말은 단순한 편의성의 문제가 아니라 **필연성의 문제**임을 강조한다. 현대의 보안 팀이 다루어야 할 위협의 양과 복잡도는 인간의 수동 능력으로는 감당할 수 없는 수준이다. 따라서 자동화된 에이전트를 설계하고 운영할 수 있는 엔지니어링 능력이 보안 팀의 필수 역량이 되었다.

---

## 에이전트 기반 보안: 신원 관리의 새로운 차원

AI 에이전트 시대의 보안에서 가장 복잡한 과제 중 하나는 **수많은 에이전트의 신원 관리와 정책 제어**다. 현대적인 인프라에서는 단일 엔드포인트(endpoint)에서 수백 개에서 수천 개의 에이전트가 동시에 작동할 수 있다.

예를 들어:
- 한 서버에서는 200개의 에이전트가 실행될 수도 있다
- 복잡한 마이크로서비스 환경에서는 10,000개 이상의 에이전트가 동작할 수도 있다

이러한 규모에서는 기존의 정체성 관리(Identity Management) 방식이 완전히 무너진다. 과거의 신원 관리는 인간 사용자와 몇몇 서비스 계정을 기반으로 설계되었다. 하지만 에이전트 기반 시스템에서는 모든 것이 달라진다.

**핵심 요구사항**은 다음과 같다:

1. **모든 에이전트는 고유한 번호와 신원을 부여받아야 한다**: 단순히 "에이전트"라는 일반적인 식별자로는 불충분하다. 각 에이전트는 자신의 고유 ID를 가져야 한다.

2. **정책 제어가 극도로 세밀해야 한다**: 각 에이전트가 수행할 수 있는 행동을 매우 구체적으로 정의해야 한다. 예를 들어:
   - 에이전트 A는 데이터베이스 읽기만 허용
   - 에이전트 B는 특정 로그 파일에만 접근 가능
   - 에이전트 C는 외부 API 호출만 허용
   - 등등

3. **현재의 IAM(Identity and Access Management) 시스템으로는 부족하다**: 기존 IAM 솔루션들은 이렇게 복잡하고 동적인 환경을 관리하도록 설계되지 않았다. 새로운 종류의 정책 엔진과 신원 관리 체계가 필요하다.

> "모든 에이전트는 신원을 가져야 하며, 더욱이 현재의 신원 및 접근 관리 시스템보다 훨씬 더 복잡한 방식으로 모든 에이전트의 정책을 제어할 방법이 필요합니다."

이는 보안 아키텍처의 근본적인 재설계를 의미한다. 미래의 CISO들은 다음과 같은 질문에 답할 수 있어야 한다:

- 우리 조직에 현재 몇 개의 에이전트가 있는가?
- 각 에이전트의 권한은 무엇인가?
- 각 에이전트가 최소 권한 원칙(Principle of Least Privilege)을 따르고 있는가?
- 에이전트의 권한을 실시간으로 감사하고 조정할 수 있는가?
- 손상된 에이전트가 식별되었을 때 즉시 격리할 수 있는가?

---

## 자동화된 보안 시스템의 밝은 미래

현재 벌어지고 있는 변화를 종합하면, **보안 엔지니어링의 미래는 매우 밝다**는 결론에 도달한다. 

물론 과도기에는 과제가 있을 것이다. AI가 더 많은 코드를 생성하고, 에이전트의 수가 기하급수적으로 증가하며, 관리 복잡도가 높아질 것이다. 하지만 동시에:

- **방어 기술도 기하급수적으로 발전**한다
- **취약점 발견과 패치 속도가 대폭 단축**된다
- **보안 팀의 자동화 능력이 대폭 향상**된다
- **에이전트 신원 관리 기술이 성숙**해진다

결국 **소프트웨어와 시스템이 이전보다 훨씬 견고해질 것**이라는 것이 전문가들의 일관된 평가다.

현대의 보안 전문가들은 매우 흥미로운 시기에 경력을 쌓고 있다. 전통적인 보안 관리에서 벗어나 엔지니어링과 자동화의 세계로 진입하는 이 여정은 도전적이지만, 그만큼 창의성과 혁신의 기회도 많다.

---

## 결론

AI 에이전트 시대는 보안 전문가들에게 새로운 역할을 요구한다. 더 이상 정책 수립과 감시를 중심으로 한 관리자의 역할에 머물러 있을 수 없다. 대신 보안 팀은 자동화된 방어 시스템을 직접 설계하고 구축하는 엔지니어로 진화해야 한다.

AI 기술이 공격자에게만 강력한 것이 아니라 방어자에게도 동등하게 강력하다는 사실을 인식할 때, 우리는 더욱 견고한 보안 체계를 구축할 수 있다. 에이전트 신원 관리와 자동화된 정책 제어라는 새로운 도구들을 통해, 현재의 초대형 위협 규모에 효과적으로 대응할 수 있을 것이다.

보안의 미래는 기술 중심이 될 것이고, 이 변화의 최전선에 있는 보안 전문가들이 이를 주도해 나갈 것이다. 그 결과로 더욱 안전하고 회복력 있는 시스템들이 등장할 것으로 기대된다.

---

원문출처: Security in the Age of AI Agents: Office Hours with Jonathan Jaffe

powered by osmu.app