MS는 2026년을 AI 에이전트의 해로 전망하며, 확산에 따른 보안 및 관리 리스크를 강조했습니다. 가시성 확보를 통한 선제적 대응이 중요합니다.
AI 에이전트 시대 개막, 빛과 그림자
마이크로소프트(MS)는 2026년을 ‘AI 에이전트의 해’로 선언하며, 로우코드/노코드 도구 확산에 따라 지식 근로자들이 직접 AI 에이전트를 개발하는 시대가 도래했다고 밝혔습니다. 포춘 500대 기업의 80% 이상이 이미 로우코드/노코드 도구로 활성 에이전트를 구축 및 운용 중이라는 조사 결과는 이러한 흐름을 뒷받침합니다.
하지만 MS 보고서는 AI 에이전트의 급격한 확산이 ‘가시성 격차’라는 새로운 비즈니스 리스크를 야기한다고 진단했습니다. AI 에이전트가 보안 및 컴플라이언스 통제 수준을 앞지르는 ‘섀도우 AI’ 리스크, 악의적인 행위자가 에이전트의 접근 권한을 악용하는 ‘이중 에이전트’ 문제 등이 현실적인 위협으로 부상하고 있습니다.
섀도우 AI 리스크 증가
직원의 29%가 미승인 AI 에이전트를 업무에 사용한 경험이 있으며, 생성형 AI 보안 통제를 도입한 조직은 절반에도 미치지 못한다는 조사 결과는 섀도우 AI 리스크의 심각성을 보여줍니다. 통제되지 않은 AI 에이전트는 데이터 유출, 규정 위반 등 심각한 문제를 초래할 수 있습니다.
AI 에이전트 보안, 가시성 확보가 핵심
MS는 AI 에이전트 도입 경쟁에서 앞서나가기 위해 비즈니스, IT, 보안 팀 간 협업을 강조하며, 모든 에이전트를 단일한 중앙 제어 평면에서 관리하고 관측할 수 있는 환경 구축이 필수적이라고 강조합니다. 이를 위해 IT, 보안, 개발자 등 조직 전 계층을 아우르는 컨트롤 플레인(Control Plane)을 구축하여 에이전트 존재 여부, 소유자, 데이터 접근 범위, 행동 양식 등을 파악하는 통합 관리 체계가 필요합니다.
AI 에이전트 리스크 최소화를 위한 7가지 실행 과제
MS는 AI 에이전트 리스크를 최소화하기 위한 7가지 실행 과제를 제시했습니다.
- 운영 범위 정의: AI 에이전트별 운영 목적을 문서화하고, 최소 접근 권한을 부여합니다.
- 데이터 보호 체계 강화: AI 채널에 데이터 보호 규칙을 적용해 라벨링 및 감사 추적 기능을 유지합니다.
- 승인된 AI 플랫폼 제공: 기업이 승인한 플랫폼을 제공하여 섀도우 AI를 억제합니다.
- 사고 대응 계획 수립: 시나리오에 따라 비즈니스 연속성 계획을 업데이트하고, 관측 지표를 추적합니다.
- 규제 대응 체계 수립: 학습 데이터 관리, 편향성 평가, 인적 감독 체계를 통해 규제 준수를 설계합니다.
- 전사 통합 리스크 관리: 리스크를 전사 차원으로 격상시켜 경영진 책임과 KPI, 이사회 가시성을 확보합니다.
- 보안 혁신 문화 조성: 전 임직원을 대상으로 안전한 AI 사용 교육을 통해 투명성과 협업을 장려합니다.
MS는 에이전트 365(Microsoft Agent 365) 플랫폼을 통해 통합 제어 플레인 구축을 지원하며, MS 생태계는 물론 오픈소스 및 타사 시스템에서 구축된 AI 에이전트를 통합적으로 관리할 수 있도록 지원합니다. AI 에이전트 시대, 보안과 거버넌스를 강화하여 혁신을 이끄는 기업이 되기를 기대합니다.
