로봇에 신분증 입힌다…라온시큐어 'AI 인증' 시장 선점 나서

'에이전틱AI'가 조직 행위자로 부상
DID 기반 AI 신원관리 기술 확장
'AI 아이덴티티' 보안 시장 공략

라온시큐어 제공.

"AI에게 메일 정보 유출을 막으라고 지시했다. 얼마 뒤 메일 서버 설정이 통째로 삭제돼 있었다."

최근 미국 하버드·MIT·스탠퍼드 등의 연구진은 이른바 'AI 비서'에게 회사 업무를 맡겼을 때 발생 가능한 새로운 보안 위험을 제기했다. AI가 의도와 다른 행동을 하거나 권한 밖 시스템을 조작하고 외부 공격에 속아 내부 정보를 유출하는 사례가 실제로 확인됐다는 것이다.

19일 관련 업계에 따르면 AI의 권한을 관리하는 기술이 글로벌 산업계와 정책당국 모두의 관심사로 급부상하고 있다. 인간의 구체적 지시 없이 스스로 판단해 실행하는 '에이전틱AI(Agentic AI)'의 확산이 본격화되면서 이를 통제할 체계의 필요성도 함께 커지고 있기 때문이다.

미국 대학 연구와 비슷한 사례는 세계 곳곳에서 보고되고 있다. 알리바바 AI 연구팀의 실험에서 AI는 할당된 GPU 자원을 무단으로 가상자산 채굴에 사용하고, 방화벽을 스스로 우회한 것으로 확인됐다. AI가 지시받지 않은 행동을 스스로 실행한 것이다.

실제 상용 서비스에서도 경고음이 울렸다. 마이크로소프트365 코파일럿에서 발견된 '에코리크(EchoLeak)' 취약점은 사용자 조작 없이도 AI가 민감 정보를 외부로 유출할 수 있는 제로 클릭 방식으로 확인됐다. AI가 조직 내부 시스템과 데이터를 직접 다루는 환경에서는 AI 자체의 신원과 권한을 관리하는 체계가 필요하다는 점을 보여주는 사례다.

특히 기업 환경에서 에이전틱AI는 단순한 도구가 아니라 실제 업무를 수행하는 '조직의 행위자'로 인식되기 시작했다. 메일 발송, 시스템 조회, 외부 서비스 호출 등 다양한 업무를 절차에 맞춰 연속 수행하는 만큼 AI가 누구의 권한으로 어디까지 행동할 수 있는지를 관리하는 기술이 새로운 보안 영역으로 떠오르는 상황이다.

국내에서는 라온시큐어 가 에이전틱AI의 신원과 권한을 관리하는 'AAM(Agentic AI Management)' 기술 개발에 속도를 내면서 AI 신원관리 시장 선점에 나서고 있다. AAM은 에이전틱 AI에 추적 가능한 ID를 부여하고 역할에 맞는 권한을 위임해, 모든 행동을 추적·통제하는 AI 전용 아이덴티티 관리 체계다.

이는 AI가 기업 시스템에 접근하거나 외부 서비스를 호출할 때 사전에 부여된 권한 범위 안에서만 작동하도록 통제하는 것이 핵심이다. 조직 시스템에 접근하는 AI의 모든 행위를 인증 기반으로 관리하는 구조로, AI 신원 관리 영역에서 새로운 보안 모델로 주목받고 있다.

라온시큐어의 강점은 사람을 대상으로 검증된 디지털 신원인증 기술을 AI 영역으로 확장할 수 있다는 점이다. 이 회사는 모바일 주민등록증과 모바일 운전면허증 등 국가 디지털 신분증 인프라 구축에 참여하며 분산신원인증(DID) 기술을 공급해왔다. 이제는 사람에게 신분증을 발급하듯 에이전틱 AI에도 고유한 디지털 신분증을 부여하고 이를 기반으로 권한과 행동 범위를 통제하겠다는 전략이다.

AI가 조직 구성원처럼 업무를 수행하는 환경이 확대되면서 'AI 아이덴티티(인공지능 신원)' 관리 체계가 새로운 보안 시장으로 부상하고 있다는 분석도 나온다.

시장 규모 역시 빠르게 성장할 전망이다. 시장조사업체 마켓앤드마켓에 따르면 비인간 신원 접근관리 시장 규모는 올해 106억5000만달러(약 16조원)에서 2030년 187억1000만달러(약 28조원)로 성장할 것으로 전망된다. AI 기반 자동화 시스템이 기업 운영에 깊숙이 들어올수록 관련 신원 관리 시장도 함께 확대될 것이라는 관측이다.

해외에서는 빅테크와 정책 기관이 비슷한 문제의식을 공유하고 있다. 마이크로소프트는 AI를 별도의 '비인간 신원'으로 규정하고, 고유 신원 부여와 권한 통제, 활동 추적 체계를 구축하고 있다.

에이전틱AI를 단순한 도구가 아니라 독립된 행위자로 관리하기 시작한 것이다. 미국 국립표준기술연구소(NIST)는 지난 2월 AI의 신원·인증·보안을 위한 연방 차원의 표준 마련에 착수했다. AI가 권한 밖의 행동을 했을 때 책임 소재를 어떻게 규정할 것인지, 접근권한을 어떻게 즉각 차단할 것인지가 핵심 과제로 논의되고 있다.

우리나라 정부도 역시 이런 흐름을 관심사로 올리고 있다. 최근 개인정보보호위원회는 '에이전틱AI' 기술을 주제로 브라운백 회의를 열고 기술 구조와 개인정보 보호 위험 요소를 점검했다고 밝혔다. 특히 여러 서비스가 연결되는 과정에서 권한이 예상보다 확대될 수 있는 '권한 확대', 악의적 입력을 통해 민감 정보가 외부로 전달될 수 있는 '프롬프트 인젝션', 메모리에 민감 정보가 축적될 가능성 등을 짚어보겠다고 했다.

보안 업계에서는 향후 로봇·드론·자율주행차 등 피지컬AI 확산과 함께 이들에 대한 인증·권한 관리의 중요성이 더욱 커질 것으로 보고 있다.

업계 관계자는 "기업 환경에서는 사람뿐 아니라 AI·로봇·자동화 시스템까지 모두 하나의 행위 주체로 관리해야 하는 시대가 도래하고 있다"며 "결국 AI 시대에는 모델 성능을 넘어, 이를 안전하게 통제하고 보안을 자동화할 수 있는 기술을 확보한 기업이 시장 주도권을 쥐게 될 것"이라고 말했다.

장효원 기자 specialjhw@asiae.co.kr