티오리 CISO “AI 에이전트 보안, FIGS가 핵심”
오펜시브 보안 전문기업 티오리가 인공지능(AI) 에이전트 보안의 핵심 키워드로 ‘FIGS’를 제시했다. FIGS는 무화과를 뜻하는 영어 단어이자, ▲세밀한 권한 통제(Fine-Grained Authorization) ▲신원 검증(Identity) ▲가드레일(Guardrails) ▲샌드박스(Sandboxing)의 맨 앞 글자를 묶은 약자다.
8일 서울 코엑스에서 열린 ‘닷핵 컨퍼런스 2026’에서 박관순 티오리 최고정보보호책임자(CISO)는 “AI 에이전트를 기업 안에서 안전하게 사용하려면 이 네 가지 FIGS를 꼭 갖춰야 한다”고 강조했다.
권한은 있는데 상식은 없는 AI 에이전트
티오리에 따르면, AI 에이전트의 가장 큰 위험은 권한을 가지는 데만 있지 않다. 사람의 권한을 넘겨받고도 일반적인 상식대로 행동하지 못하는 데 있다. 기존의 ‘OAuth(한 서비스가 다른 서비스의 내 정보나 기능에 접근할 수 있게 허락해 주는 권한 위임 방식)’나 ‘역할 기반 접근제어(RBAC)’는 상식대로 행동하는 사람을 전제로 설계됐지만, AI 에이전트는 사람과 다르게 맥락과 상식 없이 명령을 실행한다. 박 CISO는 “AI 에이전트는 정말 똑똑하지만 인간이 아는 상식의 수준은 모른다. 그걸 통제할 수 있어야 한다”고 설명했다.
그래서 AI 에이전트의 보안 위험은 단순 해킹보다 권한 남용 쪽에서 먼저 터진다. 예를 들어, 최고기술책임자(CTO)가 사용하는 AI 에이전트는 저장소를 공개로 바꾸거나 계정을 삭제하고, 슬랙 채널을 지울 수 있는 권한을 가질 수 있다. 인사 책임자의 AI 에이전트는 급여 파일을 전사 메일로 보낼 수 있는 권한을 가질 수 있다. 사람이라면 상식적으로 하지 않을 행동이지만, AI 에이전트는 프롬프트 인젝션이나 잘못된 맥락을 만나면 그 권한 안에서 그대로 실행할 수 있다.
‘간접 프롬프트 인젝션’도 같은 맥락이다. 일정 제목이나 문서 안에 숨은 문구를 에이전트가 읽는 과정에서, 원래 갖고 있던 권한을 엉뚱한 방식으로 행사할 수 있다. 박 CISO는 “캘린더를 읽다가 비공개 저장소를 공개 범위로 바꿔버리는 황당한 행위를 AI 에이전트는 할 수 있다”고 설명했다.
박 CISO는 “그렇다고 기존 체계인 OAuth를 버리자는 뜻은 아니다”라며 “문제는 OAuth 자체보다, 그것만으로 AI 에이전트를 안전하게 운영할 수 있다고 믿는 데 있다”고 말했다. 이어 그는 “사람에게는 당연한 상식이 에이전트에게는 적용되지 않기 때문에, 기존 인증·권한 체계 위에 한 겹의 보안 프레임워크를 더 얹어야 한다”고 강조했다. 이를 위해 박 CISO가 도출한 핵심이 바로 FIGS다.
FGA, 권한을 더 잘게 쪼개라
첫 번째는 FGA(Fine-Grained Authorization), ‘세밀한 권한 통제’다. 더 정확히는 ‘관계 기반 접근제어(ReBAC)’다. 핵심은 누가 무엇을 할 수 있는지를 역할에 따라 일괄적으로 부여하는 대신, 사용자·에이전트·데이터 사이의 관계를 그래프처럼 엮어 권한을 더 세밀하게 판단하는 것이다. 박 CISO는 “이 구조는 복잡한 소유권, 데이터 계층, 다단계 권한 위임을 다루는 데 유리하다”고 설명했다.
박 CISO는 “AI 에이전트 환경에서 이 방식이 중요한 이유는 사람 권한이 최고 수준이어도, 에이전트가 행사할 수 있는 범위는 별도로 더 좁혀야 하기 때문”이라고 강조했다. 이어 “여기서 나온 개념이 ‘사용자 권한과 사용자가 AI 에이전트 권한의 교집합만 허용’하는 구조”라며 “최고 권한자의 지시를 받더라도, 에이전트는 읽기 전용처럼 미리 정한 한계선을 넘지 못하게 만들어야 한다”고 덧붙였다.
이 접근은 대규모 문서 환경에서도 유리하다. 1000만개 문서의 접근 제어 목록을 매번 바꾸
는 대신, 상위 폴더와 하위 문서의 관계만 설정해도 하위 권한을 실시간으로 통제할 수 있다는 설명이다. 박 CISO는 “에이전트가 큰 데이터베이스와 연결될 수 있기에, 권한을 더 촘촘히 설계해야 한다”고 강조했다.
Identity, 비밀번호보다 ‘에이전트 신원’이 중요
두 번째는 ‘신원 검증(Identity)’이다. 여기서는 사람이 아니라 워크로드가 대상이다. “이 애플리케이션, 이 프로세스가 정말 우리가 승인한 에이전트인가”를 확인하고, 맞을 때만 짧은 시간 동안 신원 증명서를 발급하는 구조다. 박 CISO는 “에이전트 신원을 파악하기 위해 스파이어(SPIRE)와 스파이피(SPIFFE), 해시코프 볼트(Vault)를 조합하는 방식이 필요하다”고 설명했다.
이 구조의 핵심은 비밀번호를 코드나 환경변수에 오래 저장하지 않는 데 있다. 대신 워크로드의 신원을 증명하는 SVID와 짧은 수명의 임시 계정을 발급해 쓰기 때문에, 에이전트가 탈취되더라도 악용 가능한 시간을 줄일 수 있다.
검증 기준도 단계적으로 적용한다. 먼저 지정된 클라우드 서버에서 실행 중인지 확인하고, 그다음 승인된 컨테이너나 네임스페이스(namespace·같은 클라우드나 컨테이너 환경 안에서 서비스를 구분해 관리하는 논리적 작업 구역) 안에 있는지 살핀다. 이어 실행 파일의 해시값이 정상인지, 마지막으로 하드웨어 보호 영역까지 일치하는지 점검한다. 어느 하나라도 조건이 맞지 않으면 연결 자체를 허용하지 않는 구조다.
Guardrails, 상식 밖의 행동 차단하기
세 번째는 ‘가드레일(Guardrails)’이다. 여기서 가드레일은 단순한 필터가 아니다. AI에게 없는 상식을 대신하는 레이어에 가깝다. 박 CISO는 “프롬프트의 문맥과 의도를 보고, 위험한 입력과 출력을 양쪽에서 막는 시맨틱 파이어월이 필요하다”고 설명했다. 시맨틱 파이어월은 AI가 받은 질문의 겉표현이 아니라 문맥과 의도를 분석해, 위험한 입력이 모델 안으로 들어가거나 위험한 출력이 바깥으로 나오는 것을 막는 방어 계층이다.
입력 단계에서는 ‘프롬프트 인젝션(AI에 숨은 지시를 주입해 원래 규칙을 무력화하는 공격)’과 ‘탈옥(안전장치를 우회해 금지된 응답을 끌어내는 시도)’을 걸러낸다. 출력 단계에서는 ‘환각(존재하지 않는 사실을 마치 사실인 것처럼 만들어내는 오류)’이나 위험한 ‘애플리케이션 프로그래밍 인터페이스(API)’ 호출을 막는다. 박 CISO는 “개인정보나 접근키 같은 민감정보는 차단하거나 필요할 경우 일부를 가린 뒤 외부 LLM으로 보내야 하는데, 여기에 가드레일이 꼭 필요하다”고 설명했다.
이어 그는 “치명적인 오작동을 허용하는 것보다, 차라리 강제 차단하는 편이 안전하다”며 “기업 환경에서 AI 에이전트는 일을 잘하는 도구이기 전에 위험한 행동을 하지 않아야 하는 실행 주체라는 걸 잊지 말아야 한다”고 강조했다.
Sandboxing, 에이전트는 안전지대에서 시험하라
마지막은 ‘샌드박스(Sandboxing)’다. AI 에이전트는 결국 코드를 실행하고 외부 시스템과 연결되기 때문에, 프롬프트 인젝션이나 환각이 원격 코드 실행으로 이어질 수 있다. 박 CISO는 “문제는 많은 에이전트가 여전히 일반 도커 컨테이너 위에서 돌아간다는 점”이라며 “컨테이너는 겉으로는 분리돼 보이지만, 실제로는 서버의 운영체제 핵심부를 함께 쓰기 때문에 경계가 뚫리면 피해가 서버 전체로 번질 수 있다”고 설명했다.
그래서 필요한 것이 ‘에이전트 전용 샌드박스’다. 조건은 두 가지다. 하나는 다른 시스템으로 번지지 않게 하는 공간적 격리다. 다른 하나는 실행 순간에만 살아 있다가 바로 사라지는 시간적 격리다. 박 CISO는 “샌드박스를 통해 공격자가 안착할 시간과 공간을 동시에 줄여야 한다”고 말했다.
구현 방식으로는 ‘와즘(WASM) 샌드박스’와 ‘마이크로 가상머신(MicroVM)’이 제시됐다. 와즘 샌드박스는 운영체제 기능을 최소화한 격리 환경에서 프로그램을 실행하는 방식이다. 속도가 빠르고 공격 표면도 좁지만, 판다스(Pandas) 같은 무거운 파이썬 라이브러리를 활용하기는 어렵다.
마이크로 가상머신은 작은 가상 서버를 띄워 그 안에서 프로그램을 실행하는 구조다. 기존 파이썬 생태계를 활용하기 쉽고 격리 수준도 높지만, 운영체제를 함께 구동하는 만큼 와즘보다 느릴 수 있다. 박 CISO는 “단순 텍스트 처리나 계산은 와즘이, 복잡한 분석과 외부 API 연동은 마이크로 가상머신이 더 적합하다”고 설했다.
끝으로 박 CISO는 FIGS를 한 번 더 강조했다. 그는 “AI 에이전트 보안은 모델을 더 똑똑하게 만드는 문제보다, 에이전트가 어디까지밖에 못 하게 막을 것인가의 문제에 가깝다”며 “권한은 더 잘게 나눠야 하고, 신원은 더 짧고 엄격하게 증명해야 하며, 상식 없는 행동은 중간에서 걸러야 한다. 그리고 실행 환경도 더 좁고 더 짧게 가둬야 한다. 이 네 가지를 꼭 기억하면 좋겠다”고 강조했다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network
