RSAC 2026: 다섯 업체가 AI 에이전트 신원 프레임워크를 발표했지만 세 가지 치명적 보안 취약점을 남겨

RSA 컨퍼런스 2026: 에이전트형 아이덴티티(Agentic Identity)로의 전환

모스콘 센터에서 열린 RSA 컨퍼런스 2026(RSA Conference 2026)의 분위기는 뜨거웠으며, 수동적인 생성형 AI(Generative AI) 어시스턴트에서 자율적인 "에이전트형 AI(Agentic AI)"로의 전환이라는 단일하고 포괄적인 주제가 행사 전반을 지배했습니다. 기업들이 단순한 텍스트 생성을 넘어 복잡한 워크플로우를 실행할 수 있는 정교한 AI 에이전트를 배치하기 시작하면서, 업계는 중요한 변곡점에 도달했습니다. 이번 주 쏟아진 발표들에서 강조되었듯, 핵심 과제는 더 이상 단순히 데이터를 보호하는 것이 아니라 디지털 인력 그 자체의 아이덴티티(Identity)를 보호하는 것입니다.

RSAC 2026 담론의 중심에서 크라우드스트라이크(CrowdStrike), 시스코(Cisco), 팔로알토 네트웍스(Palo Alto Networks), 마이크로소프트(Microsoft), 카토 CTRL(Cato CTRL) 등 5대 보안 거두는 새로운 AI 에이전트 아이덴티티 프레임워크를 동시에 공개했습니다. 이러한 이니셔티브는 제로 트러스트(Zero Trust) 환경에서 필수적인 진화인 비인간 아이덴티티(Non-human identities)를 분류, 인증 및 권한 부여하도록 설계되었습니다. 그러나 세련된 보도 자료와 야심 찬 로드맵 이면에는 냉혹한 현실이 자리 잡고 있습니다. 포춘 50(Fortune 50) 기업들의 최근 사고 후 분석 결과에 따르면, 이러한 새로운 프레임워크에도 불구하고 세 가지 중요한 보안 공백이 여전히 존재하며, 이로 인해 자동화된 에이전트들이 정교한 공격에 취약한 상태로 방치되고 있음이 드러났습니다.

새로운 지평: 보안 경계로서의 아이덴티티

수년간 아이덴티티 관리는 일반적으로 인간 사용자를 가정하고 시스템에 액세스하는 "누구"인지에 집중해 왔습니다. 에이전트형 AI(Agentic AI)의 부상과 함께 패러다임이 바뀌었습니다. 이제 우리는 인간의 직접적인 개입 없이 데이터베이스를 쿼리하고, API 호출을 시작하며, 시스템 구성을 수정할 수 있는 자율성을 가진 개체를 다루고 있습니다.

RSAC 2026에서의 업계 대응은 이러한 시급함을 반영합니다. 새롭게 출시된 프레임워크의 목표는 모든 AI 에이전트를 고유한 자격 증명, 권한 범위 및 행동 프로필을 갖춘 별개의 아이덴티티로 취급하는 것입니다. 이 접근 방식은 종종 과도한 권한이 부여되고 감사가 어려운 "시스템 계정"에서 벗어나, 세분화된 아이덴티티 중심 모델로 이동하고자 합니다.

그러나 개발 속도가 이러한 프레임워크의 성숙도를 앞지르고 있습니다. CrowdStrike와 시스코는 아이덴티티 신뢰 모델의 중추로 엔드포인트 및 네트워크 텔레메트리를 강조해 왔고, 마이크로소프트는 Entra ID와의 긴밀한 통합에 주력해 왔지만, 에이전트의 행동(인증 후 에이전트가 무엇을 하는지)이라는 근본적인 문제는 여전히 주요 논쟁거리로 남아 있습니다.

AI 아이덴티티에 대한 벤더별 접근 방식

주요 기업들은 각자의 핵심 역량을 통해 이 문제에 접근하고 있습니다. 다음 표는 이러한 조직들의 전략적 초점을 요약한 것입니다.

벤더	기본 전략	핵심 초점
CrowdStrike	엔드포인트 텔레메트리	EDR을 통한 에이전트 행동 모니터링
Cisco	네트워크 패브릭	에이전트를 위한 제로 트러스트 액세스 제어
Palo Alto Networks	통합 플랫폼	컨텍스트 인식 정책 집행
Microsoft	아이덴티티 에코시스템	AI 아이덴티티를 위한 Entra ID 통합
Cato CTRL	SASE 프레임워크	분산된 에이전트를 위한 안전한 액세스

위에서 설명한 바와 같이, 초점은 주로 에이전트가 누구인지를 설정하는 데 맞춰져 있습니다. 그러나 Creati.ai의 업계 분석가들은 아이덴티티를 설정하는 것은 단지 첫 단계일 뿐이라고 지적합니다. 공백은 이러한 에이전트들이 기업 네트워크에 진입한 후의 동적인 특성을 관리하는 데 있습니다.

세 가지 핵심 보안 공백

RSAC 2026에서 제시된 기술적 진보에도 불구하고, 포춘 50 기업의 최근 보안 사고에서 얻은 실제 데이터는 이러한 프레임워크가 세 가지 근본적인 취약점을 해결하지 못하고 있음을 강조합니다. 이러한 공백은 현대 에이전트형 AI 보안의 "사각지대"를 나타냅니다.

1. 동적 권한 범위 확장(Dynamic Permission Scope Creep)

대부분의 현재 프레임워크는 정적인 정책 정의에 의존합니다. 정적인 환경에서 에이전트는 "읽기 전용 데이터베이스 액세스"와 같은 고정된 역할이 할당됩니다. 그러나 AI 에이전트의 강점은 추론하고 적응하는 능력에 있습니다. 에이전트에게 복잡한 목표가 주어지면 에이전트는 자체 작업을 에스컬레이션하려고 시도할 수 있으며, 이는 사실상 "범위 확장(Scope Creep)"으로 이어집니다.

현재의 아이덴티티 프레임워크(Identity frameworks)는 특정 프롬프트의 의도에 따라 실시간으로 에이전트의 권한 범위를 동적으로 재평가하는 논리가 부족합니다. 만약 에이전트가 침해되거나 환각(Hallucination)을 일으키면, 할당된 아이덴티티를 이용해 명시적으로 의도하지 않은 작업을 수행할 수 있습니다. 이는 권한 경계가 작업 실행 시점이 아닌 세션 시작 시점에 너무 광범위하게 정의되었기 때문입니다.

2. 비결정론적 감사 추적의 부재

전통적인 IT 보안에서 로그는 선형적이고 결정론적입니다. 사용자가 파일을 삭제하면 '사용자 ID -> 작업 -> 타임스탬프'라는 명확한 관리 체계가 존재합니다. 그러나 AI 에이전트는 비결정론적인 방식으로 작동합니다. 목표를 달성하기 위해 여러 단계, 추론 경로 및 API 호출을 연결합니다.

확인된 두 번째 핵심 공백은 현재의 아이덴티티 프레임워크가 에이전트가 왜 결정을 내렸는지에 대한 인간이 읽을 수 있고 감사 가능한 추적을 제공하지 못한다는 점입니다. 사고가 발생하면 포렌식 팀은 방대한 양의 비정형 API 로그만 갖게 될 뿐, 에이전트 내부의 "사고 과정"에 대해서는 전혀 가시성을 확보하지 못합니다. 이로 인해 해당 작업이 악의적인 프롬프트 인젝션(Prompt Injection)의 결과인지, 구성 오류인지, 아니면 진정한(비록 결함이 있을지라도) 추론 경로의 결과인지 판단하는 것이 거의 불가능해집니다.

3. 에이전트 간 컨텍스트 포이즈닝(Cross-Agent Context Poisoning)

마지막으로 에이전트 간 통신 문제가 있습니다. 현대 기업 아키텍처는 오케스트레이션 에이전트가 여러 전문 서브 에이전트를 관리하는 "멀티 에이전트 시스템"에 점점 더 의존하고 있습니다. RSAC 2026에서 공개된 아이덴티티 프레임워크는 대체로 에이전트를 고립된 엔티티로 취급합니다.

이는 컨텍스트 포이즈닝(Context Poisoning)이라는 중대한 취약점을 남깁니다. 낮은 권한의 에이전트가 침해되면 동일한 워크플로우 내의 더 높은 권한을 가진 에이전트에게 "오염된" 컨텍스트나 악의적인 지침을 전달할 수 있습니다. 이러한 프레임워크에는 에이전트 간 아이덴티티 검증(한 에이전트가 입력을 수락하기 전에 다른 에이전트의 신뢰 수준을 확인하는 것)이 부족하기 때문에 전체 체인의 보안은 가장 취약한 링크만큼만 강력할 뿐입니다.

프레임워크를 넘어: 앞으로 나아갈 길

시스코나 마이크로소프트와 같은 벤더의 발표는 의심할 여지 없이 올바른 방향으로의 진일보입니다. 비인간 아이덴티티의 개념을 표준화함으로써 그들은 더 안전한 자율 시스템을 위한 토대를 마련하고 있습니다. 그러나 조직은 이러한 프레임워크를 "설치 후 방치"해도 되는 보안 솔루션으로 오해해서는 안 됩니다.

이러한 공백을 메우기 위해 기업은 다층 방어 전략을 채택해야 합니다.

휴먼 인 더 루프(Human-in-the-loop, HITL) 트리거 구현: 높은 위험이 따르는 작업(예: 금융 거래, 인프라 변경)의 경우, 아이덴티티 프레임워크는 에이전트의 인지된 신뢰 점수에 관계없이 수동 승인을 의무화해야 합니다.
행동 베이스라인: 보안 팀은 정적인 아이덴티티 관리를 넘어 능동적인 행동 모니터링으로 이동해야 합니다. 에이전트가 기본 행동에서 벗어나면 아이덴티티 프레임워크가 자동으로 재인증을 트리거하거나 세션을 종료해야 합니다.
통합 에이전트 관측성(Observability): 기업은 AI 추론 로그를 기존 네트워크 및 애플리케이션 로그와 상관 분석할 수 있는 관측성 툴에 투자해야 합니다. 이러한 상관관계 없이는 에이전트 활동에 대한 가시성이 파편화된 상태로 남을 것입니다.

결론

RSAC 2026은 AI 보안(AI security)이 새롭고 더 성숙한 단계에 진입했음을 성공적으로 알렸습니다. AI 에이전트 아이덴티티에 대한 집중은 차세대 자율 워크로드를 관리하는 데 필요한 구조적 무결성을 제공하는 필수적이고 환영할 만한 발전입니다.

하지만 포춘 50 기업들의 경험이 증명하듯, 아이덴티티가 만능 해결책은 아닙니다. 크라우드스트라이크, 시스코 및 동종 업체들이 이 새로운 시대를 위한 문을 만들었지만, 동적 권한 부여, 감사 가능성 및 에이전트 간 신뢰를 관리하는 잠금장치는 여전히 주조되는 과정에 있습니다. Creati.ai의 독자들과 기업 리더들에게 시사하는 바는 명확합니다. 이러한 새로운 아이덴티티 프레임워크를 채택하되, 에이전트 자체의 운영 보안을 최우선으로 삼아야 합니다. 에이전트형 AI의 시대는 이미 도래했으며, 우리의 보안 태세는 우리가 배포하는 모델만큼이나 빠르게 진화해야 합니다.