[이데일리 김아름 기자] 마이크로소프트(MS)가 인공지능(AI) 에이전트 보안·거버넌스 강화를 위한 7가지 실행 과제를 제시했다.

MS는 AI 보안 보고서 ‘사이버 펄스’를 11일 공개하고 AI 에이전트 리스크를 최소화하기 위한 7가지 실행 과제를 제시했다.

먼저 운영 범위 정의를 통해 AI 에이전트별 운영 목적을 문서화하고, 최소 접근 권한을 부여해야 한다. 데이터 보호 체계 강화를 위해서는 AI 채널에 데이터 보호 규칙을 적용해 라벨링·감사 추적 기능을 유지해야 한다. 승인된 AI 플랫폼 제공해 섀도우 AI를 억제해야 한다는 내용도 포함됐다. 사고 대응 계획 수립을 위해 시나리오에 따라 비즈니스 연속성 계획을 업데이트 하고, 관측 지표를 추적해야한다. 규제 대응 체계 수립을 위해 학습 데이터 관리, 편향성 평가, 인적 감독 체계를 통해 규제 준수를 설계해야 한다. 리스크를 전사 차원으로 격상해 경영진 책임과 KPI, 이사회 가시성을 확보하는 것도 필요하다. 마지막으로 전 임직원을 대상으로 안전한 AI 사용 교육을 통해 투명성과 협업을 장려하는 등 보안 혁신 문화를 조성해야 한다.

MS에 따르면 전 세계적으로 사람과 에이전트가 협업하는 사람-에이전트 팀이 빠르게 확산되고 있다. 실제로 포춘 500대 기업의 80% 이상이 로우코드/노코드(low-code/no-code) 도구로 활성 에이전트를 구축 및 운용 중인 것으로 조사됐다. 보고서는 AI 에이전트의 급격한 확산이 가시성 격차라는 새로운 비즈니스 리스크를 만들어내고 있다고 분석했다. 이어 AI 도입 경쟁에서 앞서게 될 조직은 비즈니스·IT·보안팀이 협력해 에이전트 활동을 관측하고 거버넌스를 적용하며 보안을 강화하는 체계를 갖춘 곳이 될 것으로 전망했다.

먼저 제로 트러스트 원칙의 중요성을 강조했다. 이는 필요한 권한만 부여하는 최소 권한 액세스, ID·기기·위치·리스크 기반의 명시적 검증, 침해 가능성을 항상 전제로 하는 침해 가정을 핵심으로 한다.

MS는 2026년을 ‘AI 에이전트의 해’로 전망했다. 로우코드·노코드 도구의 확산으로 지식 근로자들이 직접 에이전트를 개발할 수 있는 환경이 마련되면서, AI 기반 자동화가 산업 전반으로 빠르게 확산되고 있다는 설명이다.이러한 흐름은 지역과 산업별 지표에서도 확인된다. 지역별 활성 에이전트 비중은 유럽·중동·아프리카42%, 미국 29%, 아시아 19%, 아메리카 10% 순으로 나타났다. 산업별로는 소프트웨어·기술 16%, 제조업 13%, 금융 서비스 11%, 리테일 9%의 비중을 기록했다.

에이전트 도입이 빠르게 확산되면서 보안 및 컴플라이언스 통제 수준을 앞지르는 사례가 늘고 있다. 이에 따라 섀도우 AI 리스크가 확대되고 있으며, 악의적인 행위자가 에이전트의 접근 권한과 권한 범위를 악용할 경우 에이전트가 의도치 않은 이중 에이전트로 전락할 수 있다. 인간 직원과 마찬가지로, 과도한 접근 권한을 부여받았거나 부적절한 지침을 받은 에이전트는 조직 내 보안 취약점으로 작용할 수 있다.