AI 에이전트 제로트러스트 보안 체크리스트: MCP·권한·로그 도입 전 점검
Anthropic이 2026년 5월 27일 공개한 Zero Trust for AI agents 자료는 AI 에이전트를 단순 챗봇이 아니라 권한을 갖고 도구를 호출하는 업무 주체로 봐야 한다는 신호입니다. 기업 입장에서는 모델 성능보다 먼저 봐야 할 것이 있습니다. 누가 에이전트를 만들고, 어떤 데이터에 접근하며, 실패했을 때 사람이 어디서 멈출 수 있는지입니다.
이 글은 기존 뉴스 큐레이션 자료를 공개용 수익형 체크리스트로 다시 정리한 글입니다. AI 에이전트, MCP, 사내 자동화, 보안 검토 도구를 도입하려는 팀이 구매·구독·SI·내부 개발 전에 확인할 기준을 중심으로 봅니다.
1. 에이전트마다 고유 ID와 담당자를 붙입니다
AI 에이전트가 사내 문서, 코드 저장소, CRM, 결재 시스템을 호출한다면 “공용 API 키 하나”로 묶어 두는 방식은 오래가기 어렵습니다. 사람 계정처럼 에이전트 단위 ID를 만들고, 해당 에이전트의 업무 소유자와 승인자를 함께 기록해야 나중에 접근 로그를 해석할 수 있습니다.
- 에이전트 이름, 목적, 담당 부서, 담당자를 등록합니다.
- API 키는 장기 고정값보다 짧은 수명의 토큰을 우선합니다.
- 도구 호출 권한은 업무 단위로 나누고 기본값은 거부로 둡니다.
- 에이전트가 다른 에이전트나 외부 도구를 호출할 때도 별도 로그를 남깁니다.
NIST SP 800-207의 제로트러스트 개념도 네트워크 위치가 아니라 사용자, 자산, 리소스 중심의 검증을 강조합니다. AI 에이전트 환경에서는 이 원칙을 사람 계정뿐 아니라 에이전트와 도구 호출까지 확장해야 합니다.
2. MCP와 외부 도구는 업무별로 격리합니다
MCP 같은 도구 연결 계층은 에이전트가 실제 행동을 하게 만드는 통로입니다. 그래서 “모델이 좋은 답을 한다”는 기준만으로 배포하면 부족합니다. 어떤 서버를 붙였는지, 해당 서버가 어떤 명령을 실행할 수 있는지, 입력이 다른 도구 호출로 이어지는지까지 봐야 합니다.
| 점검 항목 | 권장 기준 | 도입 전 질문 |
|---|---|---|
| 도구 권한 | 읽기, 쓰기, 실행을 분리 | 이 에이전트가 꼭 수정 권한까지 가져야 하나? |
| 승인 흐름 | 고위험 작업은 사람 승인 후 실행 | 외부 발송, 결제, 삭제 작업을 자동 실행해도 되는가? |
| 격리 | 업무별 샌드박스와 네트워크 제한 | 한 도구의 문제가 다른 업무 시스템으로 번질 수 있는가? |
| 감사 로그 | 입력, 판단, 도구 호출, 결과를 연결 | 문제 발생 시 어떤 요청이 원인이었는지 추적 가능한가? |
이미 에이전트 생산 체계를 고민 중이라면 기업 AI 에이전트 생산 체계 체크리스트와 함께 읽는 편이 좋습니다. 에이전트 보안은 별도 보안팀 업무가 아니라 현업 요청, IT 운영, 데이터 권한이 같이 맞물리는 문제입니다.
3. 프롬프트 인젝션보다 권한 오남용을 먼저 줄입니다
프롬프트 인젝션은 눈에 잘 띄지만, 실제 운영 리스크는 정당한 권한이 너무 넓게 부여된 상태에서 커집니다. 에이전트가 읽어도 되는 데이터, 쓰면 안 되는 시스템, 사람이 확인해야 하는 결과물을 미리 나눠야 합니다.
- 업무별 허용 도구 목록을 만들고 미등록 도구 호출은 막습니다.
- 개인정보, 계약, 인사, 결제 데이터는 별도 승인 단계를 둡니다.
- 사내 문서 검색 에이전트와 실행형 자동화 에이전트를 분리합니다.
- 민감 문서 요약 결과는 외부 서비스로 재전송되지 않게 제한합니다.
OWASP Top 10 for Agentic Applications 2026도 자율형·에이전틱 AI 시스템의 핵심 위험을 운영 가능한 형태로 정리합니다. 도입 검토 단계에서는 이 목록을 내부 보안 체크리스트의 출발점으로 삼을 수 있습니다.
4. 구매 전에는 보안 제품보다 운영 책임을 먼저 비교합니다
AI 에이전트 보안 제품이나 관리형 서비스를 고를 때는 기능표보다 운영 책임을 먼저 비교해야 합니다. 누가 정책을 만들고, 누가 예외를 승인하며, 누가 로그를 읽고, 누가 사고 후 권한을 회수하는지가 정해져야 제품 도입 효과가 납니다.
- 에이전트 자산 목록을 자동으로 만들 수 있는가
- MCP 서버와 SaaS 커넥터 권한을 한 화면에서 볼 수 있는가
- 고위험 실행 전에 사람 승인 단계를 넣을 수 있는가
- 감사 로그를 SIEM, 티켓, 알림 도구로 보낼 수 있는가
- 권한 변경 이력과 토큰 만료 정책을 관리할 수 있는가
Anthropic의 Claude Security 설명도 사람이 검토하고 승인하는 흐름을 전제로 합니다. 보안 자동화는 사람을 제거하는 방향보다, 사람이 판단해야 할 대상을 줄이고 우선순위를 정해 주는 방향으로 설계하는 편이 안전합니다.
5. 도입 전 최소 체크리스트
- 에이전트별 목적, 담당자, 사용 데이터, 호출 도구가 문서화되어 있습니다.
- 읽기·쓰기·실행 권한이 분리되어 있고, 기본값은 거부입니다.
- 외부 발송, 결제, 삭제, 고객 영향 작업은 사람 승인 후 실행됩니다.
- 프롬프트, 응답, 도구 호출, 승인자, 실패 로그가 연결되어 남습니다.
- 토큰 만료, 권한 회수, 에이전트 폐기 절차가 있습니다.
- PoC 종료 후 운영 전환 기준과 비용 산정 기준이 따로 있습니다.
기업용 ChatGPT나 Claude를 사내에 넣는 단계라면 기업용 ChatGPT 도입 전 보안 체크리스트도 같이 봐야 합니다. 제조·현장 자동화 쪽은 제조 AI 도입 전 체크리스트처럼 데이터 출처와 현장 승인 흐름을 별도로 나누는 것이 현실적입니다.
참고 자료
- Anthropic, Zero Trust for AI agents
- Anthropic, Zero Trust for AI Agents eBook PDF
- Anthropic, Claude Security
- NIST SP 800-207 Zero Trust Architecture
- OWASP Top 10 for Agentic Applications 2026
정리하면, AI 에이전트 보안은 모델 선택 이후의 부가 작업이 아니라 도입 설계의 시작점입니다. 업무 자동화 효과를 얻으려면 에이전트 ID, 권한 범위, 도구 격리, 승인 흐름, 로그 검증을 먼저 잡아야 합니다. 이 기준이 준비되어야 보안 제품, MCP 게이트웨이, AI 코딩·운영 도구를 비교할 때 비용 대비 효과도 판단할 수 있습니다.
About The Author
