대부분의 대학은 AI 도입을 결정한 적이 없습니다. AI가 그냥 도착했을 뿐입니다. 교원은 AI로 글을 쓰고, 학생은 AI로 코드를 작성하며, 연구 그룹은 공유 연구실 계정과 부서 데이터에 에이전트를 연결하고, 중앙 IT는 사후에야 그 사실을 알게 됩니다. EDUCAUSE 연구(2025)는 이 격차를 명확히 설명합니다. 이제 AI 사용은 고등 교육 기관의 교원과 직원 전반에 널리 퍼져 있는 반면, 공식적인 AI 거버넌스와 허용 사용 정책의 적용 범위는 그 뒤를 따라가지 못하고 있습니다. 아무도 볼 수 없고, 아무것도 집행하지 않는 정책은 통제가 아닙니다 — 그저 PDF 문서일 뿐입니다.
이 격차가 캠퍼스에만 있는 것은 아니지만, 캠퍼스에서는 그 격차가 더 날카롭게 드러납니다. 계정은 설계상 공유됩니다. 연구 무결성은 무엇이 무엇을 건드렸는지 아는 데 달려 있습니다. 그리고 여러분이 가장 활성화하고 싶은 사람들 — 즉 연구자들 — 은 강압적인 통제가 가해질 경우 정확히 섀도 도구로 내몰릴 바로 그 사람들입니다.
문제의 실체
캠퍼스 네트워크에서는 다음 세 가지가 동시에 사실인 경향이 있습니다.
- 허용 사용 정책은 존재하지만 집행되지 않습니다. AI가 어떤 시스템을 건드릴 수 있고 무엇을 할 수 있는지에 관한 규칙은 있습니다. 그러나 에이전트가 행위를 시도하는 그 순간에 그 규칙을 결정으로 바꿔주는 것은 아무것도 없습니다.
- 공유 계정은 주체 식별을 지워버립니다. 한 연구실의 에이전트들은 커넥션 풀 뒤에서 하나의 서비스 계정으로 실행됩니다. 네이티브 감사는 그 액세스를 실제로 수행한 사람이나 에이전트가 아니라 그 자격 증명에 귀속시킵니다.
- 연구자는 빠르게 움직여야 합니다. 그들은 실제와 거의 같은 데이터에 대해 오늘 당장 새 에이전트를 시험해 보고 싶어 하지, 티켓을 제출하고 기다리고 싶어 하지 않습니다. 거버넌스가 그들이 통과하기 위해 사정해야 하는 게이트라면, 그들은 그것을 우회합니다.
이는 더 넓은 시장이 직면하고 있는 것과 동일한 양상입니다. AI 관련 침해를 겪은 조직 가운데 약 97%는 적절한 AI 액세스 통제를 갖추지 못한 상태였으며 (IBM Cost of a Data Breach 2025, Ponemon), Gartner는 2027년 말까지 agentic-AI 프로젝트의 40% 이상이 취소될 것으로 전망합니다 — 거버넌스 부채가 그 큰 이유 중 하나입니다. 캠퍼스 버전은 에이전트가 적고 폭발 반경이 작은 초기에 바로잡는 편이 비용이 더 저렴합니다.
Olivares AI가 돕는 방식
Olivares AI는 귀하의 인프라에서 AI 에이전트를 발견하고, 각 에이전트가 읽고 쓸 수 있는 대상을 매핑하며, 그 액세스를 거버넌스하고 감사하도록 해주는 개방적이고 self-host 가능한 플랫폼입니다. 이 제품은 read-first 입니다. 즉 무언가를 게이트하기 전에 대역 외에서 관찰하고 기록하며, 게이트할 때는 deny-closed(거부 우선) 방식입니다. 캠퍼스 입장에서 이는 먼저 진실을 보는 것에서 시작할 수 있고 — 그런 다음에야 무엇을 집행할지 결정할 수 있다는 뜻입니다.
허용 사용 정책을 deny-closed 방식으로 집행
거버넌스 계층은 AUP를 결정을 만들어내는 정책으로 바꿉니다. ABAC 엔진은 역할 기반 액세스 이후에 실행되며 추가 제한만 가할 수 있습니다. 즉 거부 규칙이 일치하면 거부하고, 그렇지 않으면 기존 결정이 유지되며, 잘못 구성된 정책은 개방(open)이 아니라 폐쇄(closed)로 실패합니다. 따라서 “어떤 AI 에이전트도 성적 시스템에 쓰기를 할 수 없다” 또는 “샌드박스 에이전트는 SIS에 접근할 수 없다”는 규칙이 메모가 아니라 집행되는 거부가 됩니다.
v1이 무엇과 일치하는지에 대해서는 정확해야 합니다. 오늘날의 거부 규칙은 주체(principal), 권한/동사(verb), 리소스 — 즉 실제로 평가기(evaluator)에 도달하는 속성 — 를 기준으로 작동합니다. 리소스 민감도를 기준으로 분기하는 규칙(예: “FERPA로 태그된 모든 것”)은 리소스 속성 시임(seam)이 필요하며, 이는 문서화된 후속 작업이지 아직 출시되지 않았습니다. 사람이 개입(human in the loop)해야 하는 경우, 플랫폼은 승인 요청과 추가 전용(append-only) 결정 이력을 기록하므로, “누가 이 에이전트가 그 데이터셋에 접근하도록 승인했는가”는 나중에 답할 수 있습니다.
read-first, deny-closed 모델과 작동(actuation)이 라이브 상태인지 온디맨드 상태인지는 /docs/concepts/governance를 참조하십시오.
공유 계정 전반에서 누가 무엇을 했는지 식별
이것이 캠퍼스에 가장 핵심이 되는(load-bearing) 기능입니다. 액세스 맵은 솔직한 신뢰 수준과 함께, 어떤 에이전트가 어떤 리소스를 읽거나 쓰는지, 그리고 그 액세스가 허용된 것인지 단지 관찰된 것인지를 기록합니다. 신원 거버넌스 (/product/identity)는 에이전트를 그 자격 증명이 제시하는 정규(canonical) 신원에 바인딩하여, 액세스가 확실하게 식별될 수 있도록 합니다.
여기서 솔직함의 원칙은 다른 어느 곳에서보다 더 중요합니다. 주체 식별은 에이전트별 또는 세션별 신원이 액세스에 전파될 때에만 확실합니다. 여러 에이전트가 풀 뒤에서 하나의 공유 연구실 계정으로 실행될 때, 주체 식별은 그 하나의 신원으로 축소되며 — 제품은 사람을 추측하는 대신 그 사실을 그대로 밝히고, 공유 바인딩을 거버넌스 발견 사항으로 표면화합니다. 둘 이상의 에이전트에 바인딩된 신원은 덮어두지 않고 플래그로 표시됩니다. 해결책은 운영적입니다. 에이전트별 신원을 전파하면(예를 들어 커넥션의 애플리케이션 이름에) 주체 식별이 더 선명해집니다. 우리는 신호가 뒷받침할 수 없는 이름은 출력하지 않습니다.
연구자를 위한 거버넌스 적용 샌드박스
연구자는 운영 환경이 아니라 모의(mocked) 리소스에 대해 에이전트 시나리오를 격리된 일회성(ephemeral) 방식으로 실행할 수 있습니다. 기본 샌드박스 러너(runner)는 구조적으로 격리되어 있습니다. 즉 귀하의 스토어, 네트워크, 시크릿에 대한 핸들을 전혀 보유하지 않으며, 시나리오가 모의로 만들지 않은 리소스를 요청하는 단계는 실제 무언가에 도달하는 대신 결정론적 mock-miss 마커를 반환합니다. 실행은 일회성이며, 각 실행은 실제 러너와 격리 여부를 기록하므로, 성능이 저하된 백엔드는 숨겨지지 않고 가시화됩니다. 더 강력한 OS 수준 격리(강화된 컨테이너나 microVM)는 self-host 운영자가 연결하는 플러그형(pluggable) 백엔드입니다.
이는 연구실에 새 에이전트가 실제 데이터를 건드리기 전에 시험해 볼 수 있는 안전한 공간을 제공합니다 — 이것이 바로 빠르게 움직이는 연구자를 우회시키지 않고 거버넌스 안에 머무르게 하는 방법입니다. 실제 시스템을 실제로 거버넌스하는 에이전트의 경우, 동의 게이트가 적용된 방어적 레드팀 배터리(프롬프트 인젝션, 탈옥, 데이터 유출)가 에이전트의 저항력을 탐지할 수 있으며, 이는 OWASP Top 10 for Agentic Applications를 기준으로 채점됩니다. 이것은 귀하가 소유하고 권한을 부여한 에이전트에 대해서만 실행됩니다 — 공격 도구가 아니라 테스트 스위트입니다.
연구 무결성과 감사를 위한 증적
평가(evaluation)는 후보 에이전트 출력을 버전이 관리되는 골든 스위트(golden suite)와 비교하여 채점합니다 — 연구 그룹이 에이전트가 실행할 때마다 어떤 기준을 충족했다는 재현 가능한 기록을 필요로 할 때 유용합니다. 판정기(judge)는 솔직합니다. 채점 백엔드가 연결되지 않은 경우, 실행은 조용한 통과가 아니라 *건너뜀(skipped)*으로 기록되며, 원시 출력은 절대 영구 저장되지 않습니다 — 단방향 해시와 정제된 레이블만 저장됩니다. /product/evals를 참조하십시오.
기관 입장에서는, 컴플라이언스 계층 (/product/compliance)이 플랫폼이 이미 관찰하고 감사하는 내용을 해시 체인 원장(ledger)에 고정된, 봉인된 추가 전용 증적 패키지로 집계합니다. 뒷받침 증적이 있는 통제 항목은 충족됨으로 표시되고, 없는 항목은 통과를 위조하지 않고 **갭(gap)**으로 표시됩니다. 이는 EU AI Act 및 ISO/IEC 42001 같은 프레임워크에 대한 기술적 매핑입니다 — 법률 자문이 아니며, 제품은 인증을 주장하지 않습니다.
이 제품은 무엇이며 — 무엇이 아닌가
- 이것은 귀하의 인프라에서 AI를 위한 개방적이고 self-host 가능한 거버넌스 및 관찰 계층입니다. 컨트롤 플레인은 귀하 자신의 하드웨어에서 오프라인 / 에어갭으로 실행할 수 있으므로, 주체 식별 및 정책 데이터가 캠퍼스를 절대 벗어나지 않습니다.
- 이것은 read-first이며 deny-closed입니다. 폭넓게 관찰하고 거버넌스하지만, 폭넓게 작동(actuate)하지는 않습니다. 행위를 취할 수 있는 경우, 그 표면(surface)은 라이브이거나, 온디맨드이거나, 선언된 시임이며 — 모듈 카탈로그가 어느 것인지 표시합니다.
- 이것은 pre-1.0입니다. 카탈로그는 23개 모듈로 구성되며 그중 약 20개가 연결되어 있습니다. 위에서 언급한 일부 기능은 현재 제공되고, 일부는 온디맨드이며, 일부는 문서화된 후속 작업입니다. 우리는 어느 것인지 레이블로 표시합니다.
- 이것은 귀하의 모델을 실행하지 않으며, 에어갭 추론(inference)이 아닙니다. 에어갭은 컨트롤 플레인에 해당합니다. self-host 모델(vLLM, Ollama)만 오프라인으로 실행되며, Claude 같은 호스팅 모델은 그렇지 않습니다.
- 이것은 인증이 아닙니다. SOC 2 / ISO / EU AI Act 인증은 없습니다 — 컴플라이언스 매핑은 그 프레임워크들을 “지향하여 설계”되었으며 봉인(seal)이 아니라 증적을 생성합니다. 보안 태세는 /security를, 거버넌스 모델은 /docs/concepts/governance를 참조하십시오.
도입은 광범위하지만, 뒤처지는 것은 감독입니다(EDUCAUSE, 2025). 솔직한 출발점은 귀하의 AI가 이미 무엇을 건드리고 있는지를 보고, 무엇을 할 수 있는지를 결정하고, 그것을 증명하는 것입니다 — 바로 그 순서로 말입니다.