“AI도 문서로 일한다”…소프트캠프, 에이전트 보안으로 확장
“사람은 문서를 읽고 처리하는 방식으로 일을 합니다. 이제는 AI 에이전트도 문서를 읽고 직접 업무를 수행합니다. AI 에이전트가 새로운 직원, 내부자가 된 만큼 어떤 문서를 볼 수 있는지, 누가 그 권한을 위임했는지, 그 문서가 어디서 왔는지, 무엇을 실행했는지까지 모두 보고 관리할 수 있어야 합니다.”
배환국 소프트캠프 대표는 2일 서울 여의도 페어몬트 앰배서더 서울에서 열린 ‘소프트캠프 솔루션데이 2026’ 기조연설에서 이같이 말했다. 소프트캠프는 이날 문서의 출처와 등급부터 생성형 인공지능(AI) 입력 내용, AI 에이전트의 신원과 실행 권한까지 관리하는 보안 전략을 공개했다.
소프트캠프가 문서보안에서 AI 에이전트 통제로 영역을 넓힌 연결고리는 ‘문서’에 있다. 기존에는 사람이 문서를 읽고 편집한 뒤 다른 사람에게 전달했다. 이제는 AI 에이전트가 보고서와 메일, 소스코드가 기록된 문서를 읽고 사내 시스템에 접속해 업무를 실행한다.
배 대표는 “AI 에이전트가 등장하면서 문서 보안도 단순히 외부 유출을 막는 역할에만 머물 수 없게 됐다”며 “AI 에이전트가 어떤 문서를 읽을 수 있는지 정하고, 업무를 맡긴 사람과 에이전트의 신원을 함께 확인해야 한다. 에이전트가 접근할 수 있는 시스템과 실행할 수 있는 작업도 제한해야 한다”고 설명했다.
이어 그는 “과거에는 망을 열 것인지 닫을 것인지, 접속을 허용할 것인지 차단할 것인지를 물었다면 이제는 질문이 달라졌다”며 “어떤 데이터가 어디서 만들어졌고, 누가 어떤 권한으로 사용하며, AI 에이전트가 어디까지 접근할 수 있는지를 물어야 한다”고 말했다.
소프트캠프가 제시한 AI 보안 체계는 세 단계로 이어진다. 먼저 문서의 출처와 보안 등급을 확인한다. 이후 사용자가 생성형 AI에 입력하는 내용을 검사한다. 마지막으로 실제 업무를 수행하는 AI 에이전트의 신원과 권한을 통제한다.
AI가 읽을 문서, 출처부터 확인한다
기업이 AI를 업무에 활용하려면 사내 문서와 데이터를 AI에 연결해야 한다. 모든 문서를 같은 수준으로 다룰 수는 없다. 공개 자료는 외부 AI에 입력할 수 있지만 개인정보와 연구개발 자료, 영업기밀에는 별도 통제가 필요하다.
소프트캠프는 대규모언어모델(LLM)만으로 문서의 보안 등급을 자동 분류하기는 어렵다고 봤다. 사람도 업무 배경을 모르면 문서의 중요도를 판단하기 어렵다. AI도 문장만 보고 기밀 여부와 업무상 가치를 정확히 구분하는 데 한계가 있다는 설명이다.
배 대표는 “AI로 문서를 분류하면 된다고 생각하기 쉽지만 사람도 문서를 보고 등급을 정하기 어렵다”며 “LLM만 사용할 것이 아니라 문서가 어떤 업무 시스템에서 만들어지고 내려 받아졌는지도 함께 봐야 한다”고 말했다.
소프트캠프는 이를 위해 ‘인포디스커버리(InfoDiscovery)’를 제시했다. 인포디스커버리는 파일과 브라우저 기록 등을 분석해 문서를 내려받은 업무 시스템을 찾는다. 이후 업무 시스템의 보안 등급을 해당 문서와 연결한다.
예를 들어 높은 보안 등급을 부여한 연구개발 시스템에서 내려받은 문서에는 같은 수준의 통제를 적용할 수 있다. 문서를 누가 내려받았고 어떤 경로로 이동했는지도 확인이 가능하다.
출처와 등급을 정한 뒤에는 문서가 조직 안에서 어떻게 사용되고 유통되는지도 추적한다. ‘인포리니지(InfoLineage)’는 조직 안에서 문서가 언제, 어디서, 누구에게 사용됐는지를 추적해 보여준다.
소프트캠프는 두 기술을 연결해 기업이 보유한 문서와 업무 시스템을 파악하고, AI에 입력할 수 있는 데이터의 범위를 정한다는 구상이다.
이 방식은 국가망보안체계(N2SF)의 데이터 중심 보안 원칙과도 맞닿아 있다. N2SF는 공공기관의 정보를 중요도에 따라 나누고, 등급별로 다른 보안 통제를 적용하는 체계다.
배 대표는 문서 하나하나를 사람이 분류하기보다 문서가 나온 업무 시스템의 등급을 기준으로 삼는 방식을 현실적인 대안으로 제시했다. 그는 “기관이나 기업은 내부에 업무 시스템이 얼마나 있는지도 정확히 파악하지 못하는 경우가 있다”며 “문서의 출처를 거꾸로 추적하면 업무 시스템을 찾을 수 있고, 시스템에 등급을 정하면 그곳에서 만들어진 문서의 등급도 정할 수 있다”고 설명했다.
‘생성형 AI 입력창’에서 먼저 통제
문서의 등급을 정한 다음에는 문서가 생성형 AI에 입력되는 순간을 관리해야 한다. 기존 생성형 AI 보안 시장에서는 데이터유출방지(DLP) 기술로 네트워크 구간의 AI 서비스 접속과 전송 데이터를 확인하고 통제해 왔다. 그러나 생성형 AI 서비스가 암호화 통신을 사용하고 텍스트뿐 아니라 이미지·음성·영상까지 처리하면서 네트워크 구간에서 전체 내용을 파악하기 어려워졌다.
소프트캠프는 통제 지점을 네트워크에서 사용자 입력창으로 옮겼다. 사용자가 생성형 AI의 프롬프트 입력창을 클릭하면, 소프트캠프가 만든 별도 입력창이 뜨고 그 화면에 입력을 하게 된다. 사용자가 작성한 문장과 첨부 파일은 생성형 AI로 전달되기 전에 소프트캠프의 입력창을 거친다.
이 과정에서 개인정보와 기밀정보를 검사하고 입력 내용을 기록할 수 있다. 보안 정책에 따라 전송을 차단하거나 개인정보를 가릴 수도 있다. 관리자의 승인을 거치도록 업무 절차를 구성하는 것도 가능하다.
배 대표는 “생성형 AI 접속은 허용하되 입력 자체를 통제해야 한다”며 “입력 단계에 프롬프트 방화벽을 두면 텍스트와 이미지, 음성 등 전체 내용을 검사하고 기록할 수 있다”고 말했다.
프롬프트 방화벽은 원격 브라우저 격리(RBI) 서비스인 실드게이트(SHIELD Gate)를 기반으로 구현한다. RBI는 외부 웹사이트를 서버의 격리된 브라우저에서 실행하고 사용자에게 화면만 전달하는 기술이다. 웹 콘텐츠가 사용자 PC에서 직접 실행되지 않아 악성코드가 단말에 접근하는 것을 막는다.
소프트캠프는 자체 화면 전송 프로토콜인 ‘웹젯(WebJet)’을 실드게이트에 적용했다. 원격 브라우저 화면의 전송 지연을 줄이고 사용자의 입력에 빠르게 반응하도록 설계했다. 여러 사용자 연결을 단순하게 관리해 기업의 네트워크 운영 부담도 줄이는 데 초점을 맞췄다.
배 대표는 “원격 브라우저를 쓰고 있다는 것을 사용자가 느끼지 못할 정도의 경험을 제공하는 것이 목표”라며 “AI와 서비스형 소프트웨어(SaaS)를 안전하게 사용할 수 있는 업무 브라우저 기반을 만들고 있다”고 말했다.
소프트캠프는 2020년부터 기업이 내부 구축형 시스템보다 외부 SaaS를 더 많이 이용할 것으로 보고 관련 기술을 준비했다. 생성형 AI도 외부 클라우드에서 제공하는 SaaS인 만큼, 기존 SaaS 접속과 인증 기술을 AI 보안으로 확장할 수 있었다는 설명이다.
배 대표는 “고객은 더 이상 강한 보안만 요구하지 않는다”며 “강하면서도 쉽게 운영할 수 있고 사용자가 편리하게 AI와 클라우드 서비스를 이용할 수 있는 보안을 필요로 한다”고 강조했다.
에이전트와 권한을 맡긴 사람을 함께 인증
생성형 AI 보안이 ‘무엇을 입력하는가’를 다뤘다면 AI 에이전트 보안은 ‘무엇을 실행할 수 있는가’로 한 단계 나아간다.
AI 에이전트는 사내 시스템에서 데이터에만 접근하지 않는다. 애플리케이션 프로그래밍 인터페이스(API)나 모델 컨텍스트 프로토콜(MCP)을 이용해 메일을 보내고 일정을 확인한다. 데이터를 수정하거나 물품을 주문하고 소프트웨어 코드를 저장하는 작업도 수행할 수 있다. 이런 작업을 하려면 AI 에이전트에 개인 접근 토큰(PAT)이나 비밀키 같은 인증 정보를 제공해야 한다.
문제는 에이전트에 토큰을 직접 저장하면 토큰 유출이나 권한 오남용으로 이어질 수 있다는 점이다. 유효한 토큰을 가진 에이전트는 사람이 별도로 승인하지 않아도 시스템에 계속 접근할 수 있다.
배 대표는 “최근 AI 에이전트를 이용해 임직원의 일정과 영업 활동을 확인하는 프로그램을 만들면서 이 문제를 체감했다”고 말했다. 그는 “AI 에이전트가 메일과 일정, 소스코드 저장소에 접근하려면 여러 토큰과 비밀키를 줘야 했다”며 “에이전트가 잘못 작동해 회사 소스코드를 지우면 어떻게 할까 하는 걱정이 생겼다”고 말했다.
이어 “내부 개발자들도 확인해 보니 개인별로 토큰을 발급해 자신의 에이전트에 입력할 것 같아서 불안했다”며 “사람은 접속할 때마다 인증할 수 있지만 에이전트는 토큰 값만 있으면 접근할 수 있어 권한 관리가 더 중요하다”고 강조했다.
소프트캠프는 AI 에이전트를 새로운 ‘내부 사용자’로 정의했다. 임직원에게 신원 확인과 최소 권한 원칙을 적용하듯 AI 에이전트에도 인증과 접근 통제, 격리, 감사가 필요하다는 것이다.
에이전트의 권한 구조는 사람보다 복잡하다. 같은 에이전트라도 누가 업무를 맡겼는지에 따라 접근할 수 있는 데이터와 실행 범위가 달라져야 한다. 에이전트 자체의 신원뿐 아니라 권한을 위임한 사람도 함께 확인해야 한다.
배 대표는 “사람은 한 명을 기준으로 권한을 관리하지만 AI 에이전트는 어떤 에이전트인지, 누가 업무를 위임했는지를 함께 봐야 한다”며 “에이전트와 위임자의 관계를 기준으로 권한을 관리해야 한다”고 말했다.
추적·통제·인증·검증 4개 축으로 AI 에이전트 통제
소프트캠프는 문서의 출처를 식별하고 유통 경로를 추적하는 인포디스커버리와 인포리니지를 포함해 추적·통제·인증·검증 4개 축을 구현하는 보안 솔루션 8종을 제시했다. 이 가운데 실드 AI 게이트웨이(SHIELD AI Gateway)와 시큐리티365 컴플라이언스 스튜디오(Security365 Compliance Studio)는 이날 새로 공개한 제품이다.
‘실드 디알엠(SHIELD DRM)’은 마이크로소프트365(Microsoft 365) 같은 클라우드 환경에서 문서의 보안 등급과 암호화 정책을 자동으로 유지한다. 사용자가 별도로 설정하지 않아도 마이크로소프트 정보보호(MIP) 라벨을 적용하고 업무 시스템별 문서 등급 분류를 돕는다.
‘실드 아이디(SHIELD ID)’는 하나의 계정으로 조직이 허용한 AI와 서비스형 소프트웨어(SaaS)에 접속하도록 지원한다. 사람뿐 아니라 AI 에이전트와 서비스 계정 같은 비인간 신원(NHI)도 관리한다. 비인간 신원은 사람 대신 시스템에 접근하는 애플리케이션과 기기, 서비스 계정, AI 에이전트의 신원을 뜻한다.
‘실드게이트(SHIELD Gate)’는 원격 브라우저 격리(RBI) 기술을 기반으로 외부 AI와 SaaS 접속을 통제한다. 생성형 AI에 입력하는 프롬프트와 첨부 자료도 전송 전에 검사한다.
신규 솔루션인 ‘실드 AI 게이트웨이’는 AI 에이전트가 호출하는 모델 컨텍스트 프로토콜(MCP)과 애플리케이션 프로그래밍 인터페이스(API)를 관리한다. 비밀키와 접근 토큰은 사용자 PC나 에이전트에 직접 저장하지 않고 서버에서 관리한다. 관리자는 에이전트가 어떤 도구를 사용하고 어떤 작업을 실행할 수 있는지 보안 정책으로 정한다.
‘엑스스캔 시큐어 에셋(XSCAN Secure Asset)’은 소프트웨어 개발부터 외부 반입, 실제 운영까지 공급망 보안 절차를 하나의 업무 흐름으로 통합 관리한다.
또 다른 신규 솔루션인 ‘시큐리티365 컴플라이언스 스튜디오’는 마이크로소프트365에 흩어진 계정과 공유 설정, 정보 보호 정책, 감사 로그를 한 화면에서 점검한다. 국내 보안 규정에 필요한 항목을 기준으로 설정 상태와 충족 여부를 진단한다.
배 대표는 “AI 시대에 가장 중요한 것은 AI를 안전하게 쓰게 하는 것”이라며 “AI 에이전트가 다루는 데이터의 출처와 등급을 이해하고 흐름을 확인해야 한다. AI 에이전트도 신뢰할 수 있는 사용자로 만들어야 한다”고 강조했다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network
[무료 웨비나] IdentityTV 2026: 아이덴티티 보안의 미래를 지금 확인하세요.
일시 : 2026년 7월 9일 (목) 14:00 ~ 15:40



