오피니언
사이언스칼럼

[사이언스칼럼] AI 에이전트, 사이버보안 패러다임의 변화

진승헌 ETRI 인공지능데이터보안연구실 책임연구원

승인 2026-03-12 17:36
신문게재 2026-03-13 18면

임효인 기자

진승헌 ETRI 인공지능데이터보안연구실 책임연구원

최근 스마트폰 AI 비서에게 짝사랑 고민을 털어놓았더니, AI가 짝사랑 상대에게 문자 메시지를 보내려 했다는 사례가 보도됐다. 이용자가 확인 팝업에 무심코 '예'를 누르면 민감한 내용이 그대로 전송될 수 있는 구조였다. 또한 선불카드를 등록해둔 AI 에이전트가 지시 없이 컴퓨터를 주문한 사례까지 공개됐다. AI가 '대화 상대'에서 '행동하는 주체'로 바뀌면서, 통제하지 못한 순간에 예상 밖의 일을 벌이고 있다.

이러한 사고는 개인 차원에 그치지 않았다. 올해 초 한 AI 전용 소셜 플랫폼에서는 인증 절차 없이 데이터베이스에 접속할 수 있었고, AI 에이전트 150만 개의 API 키와 이용자 이메일 3만 5000건이 그대로 노출됐다. 글로벌 빅테크의 업무용 AI 비서에서는 '기밀' 이메일을 AI가 무단으로 읽고 요약하는 버그가 수 주간 방치되기도 했다. AI가 일을 대신하는 만큼, 우리의 정보도 함께 위험에 놓이고 있다.

2026년은 'AI 에이전트의 해'로 불린다. AI 에이전트는 단순 챗봇을 넘어 스스로 판단하고 이메일 발송, 결제, 파일 수정, 다른 AI와의 협업까지 자율적으로 수행한다. 위임한 권한만큼 사고의 파급력도 커진다. 국내 보안 담당자 667명 대상 설문에서 81.2%가 올해 최대 사이버 위협으로 'AI 기반 보안 위협'을 꼽았으며, 그 중심에 AI 에이전트의 오·남용이 있다. 해커가 에이전트의 통제권을 탈취하면 사기 메일 발송, 무단 결제, 허위 정보 대량 유포 등 '좀비 AI'로 전락시킬 수 있다.

이처럼 외부 공격에 의한 위협만이 아니다. AI 에이전트가 일상적으로 작동하는 과정 자체에서도 개인정보보호의 새로운 국면이 열리고 있다. 과거에는 사람이 데이터를 조회·처리하는 과정에서 침해가 발생했지만, 이제는 다수의 AI 에이전트가 정보 주체의 관여 없이 개인정보를 주고받는 상황이 확산되고 있다. 국내 개인정보보호위원회는 'AI 프라이버시 민·관 정책협의회'를 출범시켜 에이전트 환경의 규율 체계를 설계하고 있으며, 미국 NIST는 올해 2월 'AI 에이전트 표준 이니셔티브'를 발족해 보안·신원인증·상호운용성 표준을 마련하고 있다. 오픈소스 웹 애플리케이션 보안 프로젝트(OWASP)는 '에이전틱 AI 10대 보안 위협'을 발표해 목표 탈취·도구 오남용·권한 상승 등을 경고했고, IDC는 2030년까지 대기업 20%가 부적절한 AI 에이전트 제어로 소송·벌금·임원 해임을 겪을 것으로 전망했다. AI 에이전트 보안은 한 기업이나 한 국가의 과제가 아니라 글로벌 공통 의제가 된 것이다.

그렇다면 우리는 무엇을 준비해야 할까? 기업과 조직은 AI 에이전트에 최소한의 권한만 부여하고, 결제·정보 변경 같은 민감 작업에는 사람의 승인을 의무화해야 한다. AI 입출력을 실시간 감시하고 이상 행위를 차단하는 'AI 가드레일'을 조직 전반에 적용하며, 사용 중인 모든 AI 서비스를 전수조사해 데이터 접근의 가시성을 확보해야 한다. 올해 1월 시행된 인공지능 기본법이 투명성과 고영향 AI 관리를 사업자 의무로 규정한 만큼, 이를 구체적 실행으로 옮겨야 할 때다. 개인 이용자 역시 AI 비서에 어떤 권한을 허용하고 있는지 지금 당장 점검해볼 필요가 있다.

필자는 그동안 정보보호 현장을 지켜보며 확인한 사실이 있다. 새로운 기술은 언제나 새로운 위협과 함께 왔다는 것이다. 인터넷 시대에는 네트워크의 경계를 지키는 것이 보안이었고, 모바일 시대에는 그 경계가 사라지면서 모든 사용자와 기기를 검증하는 것이 보안이 됐다. 그리고 지금, AI 에이전트 시대에는 사람 없이 스스로 판단하고 행동하는 AI를 통제하는 것이 보안의 새로운 과제가 됐다. 하지만 이번에는 속도와 규모가 다르다. AI 에이전트는 사람의 판단을 대신하므로 한 번의 보안 실패가 과거와는 비교할 수 없는 연쇄적 피해로 이어질 수 있다. 기술의 편리함에 도취되기 전에, 그 기술이 가진 위험을 직시하고 통제할 줄 아는 것이 진정한 혁신의 조건이다. AI 에이전트 시대의 보안은 기술의 문제이기 이전에, 기술에 대한 우리의 태도와 책임의 문제다. 진승헌 ETRI 인공지능데이터보안연구실 책임연구원

기자의 다른기사 보기

랭킹뉴스

헤드라인 뉴스

행정통합 충청 지선 뇌관 현실화…野 "정치 사기" vs 與 "추후 지원"

좌초된 대전충남 행정통합이 6·3 지방선거 여야 최대격전지 금강벨트 뇌관으로 부상할 것이라는 관측이 현실화 되고 있다. 정부 추경 예산안에 광주전남통합특별시 출범을 위한 예산이 누락 된 것이 트리거가 됐는 데 이를 두고 여야는 격렬하게 충돌했다. 이재명 정부가 매년 5조 원씩 총 20조 원 지원이라는 파격적 재정 특례를 내세워 통합을 밀어붙였지만, 정작 출범을 앞두고 기본 예산조차 확보하지 못하면서 충청권에서도 파장이 커지는 모습이다. 16일 정치권에 따르면 오는 7월 1일 출범을 앞둔 광주전남통합특별시에 필요한 예산 177억 원이..

#세월호 참사 12주기 #추모

[세월호 참사 12주기] 정부·여야 추모… 생명안전기본법 제정되나

2014년 발생한 세월호 참사 12주기인 16일 이재명 정부와 여야 정치권은 희생자들의 명복을 빌며 유가족과 생존자에게 위로를 전했다. 특히 사회적 재난과 참사에 대한 국가의 책임과 의무를 강조하며 국민의 생명과 안전을 위해 '생명안전기본법' 제정에도 힘을 실었다. 이재명 대통령은 김혜경 여사와 이날 오후 경기도 안산화랑유원지에서 열린 '4·16세월호 참사 12주기 기억식'에 참석해 세월호 침몰로 인한 희생자 304명을 추모하고, 유가족에게 깊은 위로를 전했다. 대통령이 세월호 참사 기억식에 직접 참석한 건 역대 처음으로, 사회적..

12년 전 상흔, 아직도… 세종서도 "안전 최우선"

#김태흠 #박수현 #충남지사

김태흠vs박수현, 충남도 수성·입성 관심 고조… 관건은 천안·아산

6.3전국동시지방선거 충남지사 선거 대진표가 확정되면서 김태흠 충남지사가 수성에 성공할지, 박수현이라는 새로운 도백이 탄생할지 관심이 고조되고 있다. 김 지사는 보령·서천 3선 국회의원을 지내다 민선8기 충남도에 입성, 강력한 추진력을 바탕으로 도를 원활하게 이끌어왔다는 강점이 있다. 박 후보는 공주·부여청양 국회의원으로 청와대 대변인과 민주당 수석대변인을 거치는 등 정부 여당과 원활한 관계 및 소통 능력이 뛰어나다는 점이 강점이다. 각자의 장점이 뚜렷해 상당한 접전이 예상된다는 게 지역정치권의 판단이다. 다만 양측 모두 천안·아산..