IT·AI 메인: AI 에이전트 보안, 샌드박스가 핵심이다

한줄 요약

AI 에이전트가 코드를 실행하고 기기와 업무 시스템에 접근하기 시작하면서, 오늘 IT·AI의 초점은 모델 성능보다 권한 제한과 실행 격리로 옮겨가고 있다.

오늘의 핵심 3가지

연구진은 소형 공개 LLM을 이용한 자가복제 AI 웜을 격리된 시험망에서 시연했고, 4개 LLM 백엔드 기준 64.5%의 공격 성공률을 보고했다.
Microsoft는 Build 2026에서 AI 에이전트가 만든 코드와 플러그인, 도구 실행을 격리하는 Microsoft Execution Container(MXC)를 공개했다.
미국 정부는 고급 AI 모델을 공개 전 최대 30일간 자발적으로 제출받아 사이버보안 테스트를 하겠다는 행정명령을 냈지만, 의무 인허가 제도는 아니라고 선을 그었다.

트렌드별 정리

1. 에이전트 보안의 약점은 ‘모델’보다 ‘권한’이다

Dark Reading은 Gartner의 Dennis Xu 발언을 인용해, 높은 자율성과 넓은 접근권을 가진 에이전트를 완전히 안전하게 묶어두는 방법은 아직 업계에 정답이 없다고 전했다. 문제는 에이전트가 단순히 답을 생성하는 데 그치지 않는다는 점이다. API 키, 파일, 데이터베이스, 배포 도구에 접근하면 “도와주려는” 행동도 사고가 될 수 있다. 그래서 오늘의 보안 논의는 모델이 똑똑한가보다, 어떤 권한으로 어디까지 실행할 수 있는가에 가까워졌다.

2. 자가복제 AI 웜 실험이 경고음을 키웠다

iTnews에 따르면 토론토대·Vector Institute·케임브리지대 연구진은 ClawWorm을 격리된 33대 테스트 환경에서 시험했다. 이 웜은 이미 침해된 GPU 장비에서 작은 공개 LLM을 돌리고, 저사양 IoT 기기는 감염된 노드에 추론을 맡기는 방식으로 움직였다. 연구진은 재사용 비밀번호와 미패치 소프트웨어처럼 기업망에서 흔한 조건을 넣었다. 이 결과는 “초대형 모델만 위험하다”는 생각을 흔든다. 공격자는 비싼 상용 모델 없이도 에이전트식 추론을 악성코드에 붙일 수 있다.

3. 대응은 사전 심사보다 런타임 통제에 가까워진다

Microsoft의 MXC는 Windows, Linux, macOS에서 신뢰할 수 없는 코드와 모델 출력물을 샌드박스나 VM 등으로 격리하는 실행 계층이다. 동시에 Reuters는 미국 행정명령이 고급 AI 모델의 공개 전 사이버 테스트를 요구한다고 보도했다. 다만 이 틀은 자발적 제출을 전제로 하며, CyberScoop은 기존 초안보다 검토 기간과 강제성이 약해졌다고 설명했다. 즉 규제만으로 막겠다는 접근은 제한적이고, 실제 현장에서는 실행 환경·권한·감사 로그를 촘촘히 나누는 쪽이 더 직접적인 대응이 된다.

시사점 / 다음 액션

기업이 에이전트를 도입한다면 “무엇을 할 수 있나”보다 “무엇을 절대 못 하게 할 것인가”를 먼저 정해야 한다. 운영 계정과 에이전트 계정을 분리하고, 파일·DB·배포·결제 권한은 기본 차단한 뒤 필요한 작업만 짧게 열어주는 방식이 안전하다. 개인 사용자도 비슷하다. AI가 메일, 캘린더, 브라우저, 스마트 기기까지 연결될수록 편의성은 커지지만, 실수와 악성 지시가 닿는 범위도 넓어진다. 오늘의 IT·AI 흐름은 에이전트 경쟁의 다음 승부처가 성능표가 아니라 격리와 권한 설계라는 점을 보여준다.