AI 에이전트에게 어디까지 맡길까: 권한·승인·브라우저 보안 워크플로
AI 에이전트를 업무에 붙일 때 가장 먼저 정해야 하는 것은 "무엇을 시킬까"가 아닙니다. 더 중요한 질문은 어디까지 맡기고, 어디서 멈추게 할 것인가입니다.
단순 챗봇은 답변을 생성하고 끝납니다. 하지만 에이전트는 브라우저를 열고, 링크를 클릭하고, 파일을 읽고, SaaS 안에서 실제 행동을 실행할 수 있습니다. 생산성은 올라가지만, 권한 설계가 느슨하면 작은 실수가 곧바로 데이터 유출이나 잘못된 실행으로 이어질 수 있어요.
이미 AI 에이전트 협업 전략이나 1인 운영자용 AI 콘텐츠 파이프라인을 운영에 붙이고 있다면, 이제 필요한 것은 더 많은 프롬프트가 아니라 위임의 경계선입니다.
왜 지금 권한 설계가 먼저인가요
Microsoft 2026 Work Trend Index는 10개 시장의 AI 사용 지식근로자 2만 명을 조사하면서, AI 성과의 핵심 변수가 개인 역량만이 아니라 조직의 준비도라고 설명합니다. 특히 에이전트가 실행을 맡을수록 사람은 더 많은 판단과 지휘 역할을 갖게 됩니다.
이 말은 "AI를 많이 쓰면 된다"가 아닙니다. 팀 안에서 누가 어떤 작업을 에이전트에게 맡길 수 있는지, 어떤 행동은 사람 승인이 필요한지, 결과를 어떻게 검토할지가 문서화되어야 한다는 뜻입니다.
보안 쪽 신호도 분명합니다. NIST CAISI는 AI 에이전트 시스템을 "계획을 세우고 실제 시스템이나 환경에 영향을 주는 자율 행동을 할 수 있는 시스템"으로 보고, 모델 출력과 소프트웨어 기능이 결합될 때 생기는 고유한 위험을 별도로 다루고 있습니다.
즉, 에이전트는 단순한 도구가 아니라 권한을 가진 실행 주체에 가깝습니다. 그러니 사람 계정, API 키, 자동화 봇처럼 다뤄야 합니다.
위임은 세 단계로 나누는 편이 안전합니다
에이전트 업무를 "허용"과 "금지"로만 나누면 운영이 금방 막힙니다. 실무에서는 아래 세 단계가 더 현실적입니다.
1. 읽기 전용 위임
에이전트가 자료를 읽고 요약하지만, 외부 시스템을 수정하지 않는 단계입니다.
- 문서 요약
- 회의록 정리
- 공개 웹 자료 조사
- 코드베이스 읽기
- 후보안 비교표 작성
이 단계에서는 정확도 검토가 중요하지만, 보안 사고의 폭발력은 상대적으로 낮습니다. 단, 민감 문서나 고객 데이터가 들어가면 읽기 전용이어도 접근 범위는 제한해야 합니다.
2. 초안 생성 위임
에이전트가 실제 산출물을 만들지만, 아직 외부에 공개하거나 시스템에 반영하지 않는 단계입니다.
- 이메일 초안
- PR 설명 초안
- 고객 답변 초안
- 자동화 워크플로 설계안
- 데이터 정리 스크립트 초안
이 단계에서는 사람 검토 전에는 전송하지 않는다는 규칙이 핵심입니다. 초안은 빠르게 만들되, 발송·배포·결제·삭제 같은 행동은 다음 단계로 분리해야 합니다.
3. 실행 위임
에이전트가 실제 시스템을 바꾸는 단계입니다.
- 티켓 상태 변경
- 캘린더 일정 생성
- CRM 필드 수정
- 배포 파이프라인 실행
- 외부 링크 클릭 후 정보 수집
- 사내 문서나 저장소에 파일 작성
여기부터는 에이전트가 작업자 권한을 갖습니다. 모든 실행 작업은 위험도에 따라 승인 게이트와 로그가 필요합니다.
권한 매트릭스를 먼저 만드세요
권한 설계는 거창한 보안 문서가 아니어도 됩니다. 팀 단위로 아래 표 하나만 만들어도 에이전트 운영 품질이 크게 달라집니다.
| 작업 유형 | 허용 범위 | 사람 승인 | 로그 |
|---|---|---|---|
| 공개 웹 검색 | 허용 | 불필요 | 검색어와 방문 URL 저장 |
| 사내 문서 읽기 | 프로젝트별 허용 | 민감 폴더는 필요 | 문서 ID와 요약 결과 저장 |
| 이메일 초안 작성 | 허용 | 발송 전 필수 | 수신자, 제목, 최종 수정자 저장 |
| 파일 생성 | 지정 폴더만 허용 | 공유 폴더는 필요 | 생성 경로와 diff 저장 |
| 결제·구매·계약 | 기본 금지 | 예외 승인 | 승인자와 사유 필수 |
| 삭제·권한 변경 | 기본 금지 | 관리자 승인 | 변경 전후 상태 저장 |
핵심은 "에이전트가 뭘 하면 안 되는가"를 막연히 적는 것이 아닙니다. 읽기, 쓰기, 전송, 삭제, 결제, 권한 변경을 서로 다른 행동으로 쪼개야 합니다.
예를 들어 이메일 업무도 하나의 권한이 아닙니다.
- 받은 메일을 읽기
- 답장 초안을 쓰기
- 첨부파일을 열기
- 수신자를 추가하기
- 실제로 전송하기
이 다섯 가지는 위험도가 모두 다릅니다. 읽기와 초안 작성은 허용해도, 전송은 사람 승인 뒤에만 실행되도록 나눌 수 있어야 합니다.
브라우저 에이전트는 링크 클릭이 핵심 위험입니다
브라우저를 쓰는 에이전트에서 가장 과소평가되는 위험은 "이상한 사이트에 접속했다"가 아닙니다. 더 직접적인 문제는 링크 자체가 데이터 유출 경로가 될 수 있다는 점입니다.
OpenAI의 AI Agent Link Safety 글은 URL을 통한 데이터 유출을 별도의 공격 유형으로 설명합니다. 악성 페이지나 프롬프트가 에이전트를 조작해 특정 URL을 불러오게 만들면, URL 경로나 쿼리 문자열에 민감 정보가 실려 외부로 나갈 수 있습니다.
그래서 브라우저 에이전트에는 아래 규칙이 필요합니다.
- 자동 클릭 금지 구간: 로그인, 결제, 파일 다운로드, 권한 요청 페이지
- URL allowlist: 신뢰 도메인만이 아니라, 자동 접근해도 되는 URL 패턴까지 제한
- 파일 다운로드 격리: 다운로드 파일은 바로 열지 않고 별도 검사 폴더에 저장
- 폼 제출 전 승인: 이름, 이메일, 전화번호, 결제 정보, 고객 정보가 들어가는 폼은 자동 제출 금지
- 외부 이미지·링크 로딩 제한: 에이전트가 임의 URL을 불러오지 못하게 제한
도메인만 보고 판단하는 방식은 부족합니다. 같은 신뢰 도메인 안에서도 특정 URL은 안전하고, 특정 URL은 추적이나 데이터 전송에 쓰일 수 있기 때문입니다.
Human-in-the-loop는 '검토자 한 명'이 아닙니다
사람이 중간에 보는 구조를 만든다고 해서 자동으로 안전해지지는 않습니다. 중요한 것은 어떤 상황에서 누구에게 멈춰야 하는지입니다.
실무에서는 승인 단계를 아래처럼 나누는 편이 좋습니다.
낮은 위험: 사후 검토
실행 후 문제가 있어도 쉽게 되돌릴 수 있는 작업입니다.
- 공개 자료 요약
- 개인 메모 정리
- 초안 생성
- 내부 검색 결과 정리
이 경우에는 에이전트가 먼저 실행하고, 사람은 결과만 검토해도 됩니다.
중간 위험: 실행 전 확인
실행 후 수정은 가능하지만, 잘못되면 업무 혼선이 생기는 작업입니다.
- 캘린더 초대 발송
- 티켓 상태 변경
- 공유 문서 수정
- 사내 채널 메시지 게시
이 단계에서는 에이전트가 "하려는 행동"을 먼저 요약해야 합니다. 사람은 한 줄 요약, 변경 대상, 되돌리는 방법을 보고 승인합니다.
높은 위험: 관리자 승인
되돌리기 어렵거나 외부 영향을 주는 작업입니다.
- 결제
- 계약
- 권한 변경
- 고객 데이터 내보내기
- 대량 삭제
- 외부 발송
이 작업은 기본적으로 자동 실행 대상에서 빼는 편이 안전합니다. 꼭 필요하다면 에이전트가 실행하는 것이 아니라 승인 요청 패킷을 만드는 수준에 머물러야 합니다.
에이전트 작업 지시서는 이렇게 써야 합니다
에이전트에게 업무를 맡길 때는 프롬프트보다 작업 지시서에 가깝게 쓰는 편이 안전합니다. 아래 구조를 복사해 팀 표준으로 써도 좋습니다.
목표:
- 어떤 결과를 만들지 한 문장으로 적는다.
허용된 입력:
- 읽어도 되는 문서, URL, 폴더, 데이터 범위를 적는다.
허용된 행동:
- 검색, 요약, 초안 작성, 파일 생성 등 가능한 행동만 적는다.
금지된 행동:
- 전송, 삭제, 결제, 권한 변경, 민감 정보 복사 등 금지 행동을 적는다.
승인 필요 조건:
- 외부 발송, 파일 수정, 고객 정보 포함, 새 URL 접속 등 멈춰야 하는 조건을 적는다.
출력 형식:
- 사람이 검토하기 쉬운 표, 체크리스트, diff, 요약 형식을 지정한다.
좋은 지시서는 에이전트에게 더 많은 자유를 주는 문서가 아닙니다. 어디서 멈춰야 하는지 알려주는 문서입니다.
로그는 결과보다 행동을 남겨야 합니다
에이전트 로그를 결과물만 남기면 사고가 났을 때 원인을 찾기 어렵습니다. 특히 브라우저나 SaaS를 다루는 에이전트는 다음 항목을 남겨야 합니다.
- 사용자가 요청한 원문
- 에이전트가 세운 실행 계획
- 접근한 문서와 URL
- 호출한 도구와 API
- 생성·수정·삭제한 파일 경로
- 사람 승인 시각과 승인자
- 최종 결과와 되돌리는 방법
Microsoft Security의 Agentic AI 리스크 정리도 에이전트를 명확한 ID, 제한된 권한, 지속적인 감독, 라이프사이클 거버넌스를 가진 특권 애플리케이션처럼 다루는 접근을 강조합니다.
이 관점이 중요합니다. 에이전트는 "똑똑한 자동완성"이 아니라 행동하는 계정입니다. 계정이라면 당연히 권한, 로그, 감사, 폐기 절차가 있어야 합니다.
바로 적용하는 30일 도입 순서
처음부터 전사 표준을 만들 필요는 없습니다. 한 팀에서 30일만 아래 순서로 운영해 보면 충분히 감을 잡을 수 있습니다.
1주 차: 읽기 전용부터 시작
- 공개 웹 검색
- 사내 문서 요약
- 회의록 정리
- 코드 리뷰 참고 메모
이 단계에서는 실행 권한을 주지 않습니다. 에이전트가 얼마나 자주 틀리는지, 어떤 정보에서 헷갈리는지 먼저 봅니다.
2주 차: 초안 생성으로 확장
- 이메일 초안
- 보고서 목차
- 회의 아젠다
- 티켓 설명
- PR 설명 초안
초안에는 반드시 "사람 검토 전 전송 금지" 라벨을 붙입니다. AI 코드 리뷰어로 기술 부채를 관리하는 방식처럼 검토 기준이 명확한 업무부터 붙이는 편이 좋습니다.
3주 차: 제한된 실행 허용
- 개인 캘린더 임시 일정 생성
- 지정 폴더 안 파일 생성
- 비공개 초안 문서 수정
- 테스트용 티켓 상태 변경
이때부터는 승인 게이트와 로그를 같이 켜야 합니다. 실행 권한만 열고 기록을 남기지 않으면, 나중에 운영 기준을 되돌리기 어렵습니다.
4주 차: 권한 매트릭스 확정
- 허용 작업 목록 정리
- 금지 작업 목록 정리
- 승인 필요 조건 정리
- 사고 시 중단 절차 정리
- 팀 공용 템플릿 배포
30일의 목표는 완전 자동화가 아닙니다. 무엇은 맡겨도 되고, 무엇은 아직 사람이 해야 하는지를 팀이 같은 언어로 말하게 만드는 것입니다.
마무리
AI 에이전트의 생산성은 "얼마나 자율적인가"만으로 결정되지 않습니다. 오히려 실무에서는 잘 멈추는 에이전트가 더 오래 쓰입니다.
에이전트에게 일을 맡긴다는 것은 판단을 포기한다는 뜻이 아닙니다. 사람이 목표와 기준을 정하고, 에이전트가 실행 후보를 만들고, 위험한 지점에서는 다시 사람에게 돌아오는 구조를 만드는 일입니다.
처음 시작한다면 오늘 할 일은 하나면 충분합니다. 팀에서 에이전트가 하는 일을 읽기, 초안, 실행 세 칸으로 나누어 보세요. 그 다음에 승인 게이트와 로그를 붙이면, AI 활용은 더 빨라지는 동시에 더 안전해집니다.