마이크로소프트의 최신 사이버 펄스(Cyber Pulse) 보고서에 따르면 기업 기술 환경에 거대한 변화가 일어나고 있다. 현재 포춘 500대 기업의 80%가 활성 상태의 AI 에이전트를 업무 프로세스에 통합한 것으로 나타났다. 이러한 '디지털 직원'은 이제 빅테크 기업만의 전유물이 아니며, 특히 비기술직 직원들이 로우코드 도구를 사용하여 직접 구축한 에이전트들이 금융과 유통 등 다양한 산업 전반에 스며들고 있다. 다만 이러한 급격한 도입 속도가 기업의 관리 역량을 앞지르면서, IT 부서의 통제를 벗어난 소위 '쉐도우 AI(shadow AI)' 문제가 새로운 위협으로 부상했다.

정해진 규칙을 따르는 기존 소프트웨어와 달리, 에이전틱 AI는 스스로 판단하고 행동하며 다른 에이전트와 자율적으로 상호작용한다. 이러한 역동적인 특성은 기업의 보안 위험 프로필을 근본적으로 바꾸어 놓았으며, 이에 따라 모든 요청을 검증 전까지 잠재적 위협으로 간주하는 제로 트러스트 원칙으로의 전환이 필수적이다. 특히 전문가들은 에이전트가 업무 수행에 필요한 최소한의 데이터에만 접근할 수 있도록 하는 '최소 권한 원칙' 적용을 강력히 권고하고 있다. 이는 민감한 정보에 대한 접근을 제한받는 일반 직원과 유사한 보안 관리 방식을 에이전트에게도 적용하는 방식이다.

보고서는 가시성 확보가 보안의 최전선임을 강조한다. 마이크로소프트의 보안 부문 부사장인 바수 자칼(Vasu Jakkal)은 중앙 집중식 레지스트리와 실시간 시각화 대시보드를 구축함으로써 에이전트의 소유권과 데이터 접근 이력을 추적해야 한다고 설명했다. 실제로 규칙을 설정하는 '거버넌스'와 이를 실행하는 '보안'을 명확히 구분하는 역량은 기업에 매우 중요하다. 이러한 전략을 통해 AI 안전을 단순한 규제 준수의 허들이 아닌, 기업의 강력한 경쟁 우위로 전환할 수 있기 때문이다.

마이크로소프트의 최신 보고서에 따르면, 회사들이 일하는 방식이 크게 변하고 있어요. 현재 세계에서 가장 유명한 기업 10곳 중 8곳(포춘 500대 기업)이 인공지능 비서(AI 에이전트)를 업무에 쓰고 있어요. 이 '디지털 직원'은 이제 컴퓨터를 아주 잘 다루는 기술 회사뿐만 아니라, 은행이나 마트 같은 다양한 곳에서도 활약하고 있어요. 특히 컴퓨터 프로그래밍을 깊게 배우지 않은 일반 직원들도 쉬운 도구(로우코드/노코드)를 사용해 직접 AI 비서를 만들어 쓰고 있답니다. 하지만 너무 빠르게 퍼지다 보니, 회사가 모르는 사이에 직원들이 마음대로 AI를 쓰는 문제(쉐도우 AI)가 생겨나 관리하기가 어려워지고 있어요.

정해진 규칙만 따르던 예전 프로그램과 달리, 요즘 AI는 스스로 판단하고 다른 AI와 대화하며 일을 처리해요(에이전틱 AI). 이렇게 인공지능이 똑똑해진 만큼 보안 위험도 커졌어요. 그래서 이제는 모든 요청을 일단 의심하고 꼼꼼하게 다시 확인하는 보안 원칙(제로 트러스트)이 꼭 필요해요. 전문가들은 AI 비서에게 업무에 꼭 필요한 아주 적은 정보에만 접근할 수 있게 제한하는 규칙(최소 권한 원칙)을 지켜야 한다고 조언해요. 사람 직원에게 중요한 비밀을 함부로 알려주지 않는 것과 비슷한 방식이에요.

결국 누가 어떤 AI 비서를 쓰는지 한눈에 파악하는 것이 보안의 핵심이에요. 마이크로소프트의 전문가는 AI 비서가 누구의 것인지, 어떤 정보를 확인했는지 한곳에 모아 적어두는 명부(중앙 집중식 레지스트리)와 실시간으로 보여주는 화면을 만들어야 한다고 강조했어요. 규칙을 정하는 일(거버넌스)과 나쁜 침입을 막는 보안을 잘 해내는 능력이 기업에게 매우 중요해졌어요. 인공지능을 안전하게 잘 관리하는 것이 단순히 규칙을 지키는 수준을 넘어, 다른 회사보다 앞서나가는 강력한 무기가 되기 때문이에요.