Q23. AI 에이전트 보안 어떻게 대응해야 할까요?

A. AI 에이전트 보안의 핵심은
AI를 믿는 것이 아니라,
할 수 있는 것과 할 수 없는 것을 명확히 통제하는 것입니다.

AI 에이전트는 단순히 답변만 생성하는 시스템이 아닙니다.
이제 에이전트는 문서를 찾고, 메일을 읽고, 외부 도구를 호출하고,
경우에 따라 PC에서 실제 작업까지 수행합니다.

즉, 기존 LLM이 “답변” 중심이었다면,
AI 에이전트는 판단 + 실행 + 연결까지 담당합니다.

그래서 보안의 관점도 달라져야 합니다.

AI 에이전트는
똑똑한 챗봇이 아니라,
권한을 가진 실행 주체로 봐야 합니다.

---

1️⃣ 왜 AI 에이전트 보안이 더 어려운가

기존 LLM은 잘못 답하면 끝나는 경우가 많았습니다.

하지만 AI 에이전트는 다릅니다.

잘못된 판단이
실제 파일 수정, 외부 전송, 메일 발송, 프로그램 실행으로 이어질 수 있습니다.

즉, 문제는 “틀린 답변”이 아니라
잘못된 행동입니다.

그리고 더 중요한 문제는
이 에이전트가 정상적인 업무 도우미처럼 보인다는 점입니다.

겉으로는 내부 직원을 돕는 자동화 도구처럼 보이지만,
실제로는 내부 직원을 가장한 위험한 실행 주체가 될 수도 있습니다.

---

2️⃣ 핵심은 프롬프트가 아니라 통제입니다

프롬프트 인젝션, 권한 남용, 데이터 유출 같은 문제는 중요합니다.

하지만 운영 관점에서 더 본질적인 질문은 이것입니다.

이 AI 에이전트가
무엇을 할 수 있고,
무엇은 절대 할 수 없게 할 것인가?

이 질문이 핵심입니다.

AI 에이전트는 계속 정상적인 업무 보조라고 말할 수 있습니다.
하지만 보안은 자기소개를 믿는 것이 아닙니다.

실제로 어떤 프로그램을 실행했는지,
어떤 파일에 접근했는지,
어디로 연결했는지,
어떤 행동을 했는지를 기준으로 판단해야 합니다.

즉, AI 에이전트 보안의 출발점은
모델의 답변 품질이 아니라
실행 권한과 행위 범위를 먼저 정의하는 것입니다.

---

3️⃣ 이 점에서 AI 에이전트는 LOLBAS 대응과 비슷합니다

이 지점에서 AI 에이전트 보안은
LOLBAS 대응과 매우 비슷해집니다.

LOLBAS도 원래는 정상 도구입니다.
하지만 공격자는 그 정상 도구를 악용합니다.

그래서 보안의 핵심은
그 도구를 무조건 믿는 것이 아니라,

• 실행 가능 여부를 정하고
• 허용된 조건을 정하고
• 허용된 범위를 넘는 행위를 감시하고
• 이상 행위가 나오면 즉시 알람하고 차단하는 것

입니다.

AI 에이전트도 같습니다.

겉으로는 생산성 도구처럼 보이지만,
실제로는 파일 접근, 스크립트 실행, 외부 전송, 시스템 명령 수행 등
매우 넓은 행위를 수행할 수 있습니다.

따라서 AI 에이전트 역시 LOLBAS처럼
기능 단위로 허용·차단·감사해야 합니다.

결국 AI 에이전트 시대의 보안은
AI를 신뢰하는 것이 아니라,
AI 에이전트가 할 수 있는 것과 할 수 없는 것을
처음부터 명확히 정의하는 것입니다.

---

4️⃣ 실제로 어떤 통제가 필요할까요?

여기서 중요한 것은
“통제”를 추상적으로 말하는 데서 끝나지 않는 것입니다.

실무에서는 최소한 다음 수준의 통제가 필요합니다.

첫째, 파일 시스템 접근 범위 제한
AI 에이전트가 모든 디렉토리를 자유롭게 읽고 쓰게 해서는 안 됩니다.
예를 들어:

• 읽기는 허용하되 쓰기 금지
• 특정 작업 디렉토리만 허용
• 시스템 디렉토리, 인증서 저장소, 사용자 프로필, 소스코드 저장소는 차단
• 민감 문서 폴더는 승인 기반 접근

둘째, 네트워크 연결 대상 제한
AI 에이전트가 임의의 외부 주소와 통신할 수 있게 두면 안 됩니다.
예를 들어:

• 허용된 API endpoint만 연결
• 내부 업무 시스템만 접근 허용
• 외부 파일 공유, 개인 클라우드, 미승인 SaaS 차단
• DNS, HTTP, HTTPS도 목적지 기준으로 제한

셋째, 도구 호출(tool calling) 화이트리스트 적용
AI 에이전트가 호출할 수 있는 기능은 미리 정해져 있어야 합니다.
예를 들어:

• 메일 발송은 특정 수신 도메인만 허용
• 문서 검색은 승인된 저장소만 허용
• 쉘 실행, 스크립트 실행, 패키지 설치는 기본 차단
• PowerShell, cmd, bash, rundll32, certutil 같은 실행은 원칙적으로 금지 또는 강한 제한

넷째, 격리와 실행 환경 통제
가능하다면 AI 에이전트는 일반 사용자 환경이 아니라
격리된 실행 환경에서 동작해야 합니다.

• 전용 계정 사용
• 최소 권한 적용
• sandbox 또는 container 기반 실행
• 세션 종료 시 임시 데이터 정리
• 장기 자격 증명 저장 금지

즉, AI 에이전트는
“무엇이든 알아서 처리하는 똑똑한 존재”가 아니라
허용된 좁은 범위 안에서만 움직이는 자동화 주체로 설계되어야 합니다.

---

5️⃣ 현실적인 위협 시나리오를 보면 더 분명해집니다

추상적으로 보면 감이 덜 올 수 있습니다.
하지만 실제 시나리오로 보면 왜 통제가 중요한지 바로 드러납니다.

시나리오 1. 내부 문서 유출 + 외부 전송

공격자는 프롬프트 인젝션이나 계정 탈취를 통해
AI 에이전트에게 다음과 같은 작업을 유도할 수 있습니다.

• 내부 문서 저장소 탐색
• 특정 키워드가 포함된 문서 수집
• 문서 요약 또는 압축
• 외부 메일, 클라우드, API로 전송

겉으로 보면
AI 에이전트는 “업무 문서 정리”를 수행한 것처럼 보일 수 있습니다.
하지만 실제로는 내부 정보 유출 자동화 도구가 됩니다.

시나리오 2. 정책 우회 후 악성 실행

AI 에이전트가 도구 호출 권한이나 스크립트 실행 권한을 가지고 있다면,
공격자는 이를 이용해 다음과 같은 흐름을 만들 수 있습니다.

• 정상 명령 실행으로 신뢰 확보
• 이후 PowerShell, certutil, rundll32 같은 정상 도구 악용
• 외부에서 페이로드 다운로드
• 추가 명령 실행 또는 내부 확산 시도

이 경우 AI 에이전트는
겉으로는 정상 도구를 사용하지만,
실제로는 LOLBAS형 공격 자동화 주체가 됩니다.

그래서 AI 에이전트 보안은
프롬프트 필터링만으로 끝날 수 없습니다.
실행, 접근, 연결, 변경을 함께 통제해야 합니다.

---

6️⃣ 그래서 필요한 것은 “통제”와 “행위 분석”입니다

AI 에이전트 보안은
좋은 모델을 쓰는 것으로 끝나지 않습니다.

실제로 필요한 것은 두 가지입니다.

첫째는 통제입니다.
AI 에이전트가 실행할 수 있는 프로그램, 접근할 수 있는 자원, 연결할 수 있는 대상을 제한해야 합니다.

둘째는 행위 분석입니다.
정상 범위를 벗어난 실행, 비정상적인 파일 접근, 예상 밖의 외부 연결, 반복적인 우회 시도는
실시간으로 분석하고 알람할 수 있어야 합니다.

즉,

• 무엇을 하게 할 것인가
• 무엇은 못 하게 할 것인가
• 어떤 행동을 이상으로 볼 것인가

이 세 가지를 함께 관리해야 합니다.

보안은 “AI가 안전하다고 말하는가”를 보는 것이 아니라,
AI 에이전트가 실제로 무엇을 했는가를 보는 것입니다.

---

7️⃣ PLURA-XDR은 이 지점에서 현실적인 답을 제공합니다

PLURA-XDR은 이 문제를
단순한 AI 보안 유행어로 접근하지 않습니다.

핵심은 세 가지입니다.

첫째, 안전한 OS 관리(SecureOS)를 통한 통제입니다.
운영체제 차원에서 실행 가능한 행위와 허용 범위를 관리함으로써,
AI 에이전트가 이름만 그럴듯한 임의의 실행 주체가 되지 못하게 합니다.

이는 단순히 탐지하는 수준이 아니라,
실행 가능한 프로그램, 스크립트, 도구 사용 범위를
운영체제 정책 수준에서 먼저 제한하는 접근입니다.

즉, “실행 후 탐지”보다 앞선 단계에서
실행 자체를 관리하는 방식입니다.

둘째, 실시간 로그 분석 기반의 행위 분석입니다.
AI 에이전트가 실제로 어떤 프로세스를 실행했고,
어떤 파일과 계정에 접근했고,
어떤 네트워크 연결을 만들었는지를
로그 기반으로 분석하여 이상 행위를 탐지하고 대응합니다.

이는 단순 네트워크 흐름만 보는 것이 아니라,
호스트·계정·애플리케이션·보안 이벤트를 함께 연결해
행위의 맥락을 파악하는 접근입니다.

셋째, 포렌식 연동을 통한 설정 변경 가시성입니다.
AI 에이전트의 정책이나 설정값이 수정되었다면,
그 사실만 아는 것으로는 부족합니다.

무엇이 바뀌었는지,
어떤 값이 어떻게 수정되었는지까지
실시간으로 확인할 수 있어야 합니다.

그래야만 AI 에이전트 오남용, 정책 우회, 내부자 행위, 계정 탈취 이후의 변경까지
정확하게 추적할 수 있습니다.

즉, PLURA-XDR은
AI 에이전트를 “신뢰할 대상”으로 보지 않고,
통제하고, 분석하고, 변경 이력까지 추적해야 할 행위 주체로 봅니다.

---

정리하면

AI 에이전트 시대의 보안은
모델이 얼마나 똑똑한가의 문제가 아닙니다.

핵심은 훨씬 현실적입니다.

AI 에이전트가
무엇을 할 수 있고,
무엇은 할 수 없으며,
그 행동이 어떻게 기록되고 분석되고 통제되는가

이것이 핵심입니다.

그리고 이 점에서
AI 에이전트 보안은 LOLBAS 대응과 닮아 있습니다.

겉으로는 정상 도구처럼 보여도,
실제로는 공격에 악용될 수 있기 때문입니다.

그래서 필요한 것은
막연한 신뢰가 아니라
명확한 통제와 실시간 행위 분석입니다.

보안은 AI의 답변에서 끝나지 않습니다.
운영체제 수준의 통제와 로그 기반 행위 분석에서 완성됩니다.

---

📚 참고 읽기

• 보안의 본질: 와일드파이어와 Windows, 그리고 SecureOS
  👉 https://blog.plura.io/ko/tech/windows-wildfire/

---