문제: 볼 수 없는 것은 거버넌스할 수 없습니다
에이전트는 이미 거기에 있습니다. 데이터베이스 자격 증명을 가진 코딩 어시스턴트, 어느새 오브젝트 스토어에 대한 쓰기 권한을 획득한 내부 RAG 서비스, 아무도 등록하지 않은 MCP 서버를 호출하는 스케줄 작업. 이들은 빠르게 움직이는 팀들에 의해 프로비저닝되었고, 보안 조직은 그 맵을 한 번도 본 적 없이 폭발 반경(blast radius)을 떠안습니다. 분석가들은 이러한 형태에 이름을 붙였습니다 — 에이전트 스프롤(agent sprawl) — 그리고 그 아래에 깔린 거버넌스 격차는 측정 가능합니다.
AI 관련 침해를 겪은 조직 중 약 97%가 적절한 AI 액세스 컨트롤을 갖추지 못했습니다 (IBM Cost of a Data Breach 2025, Ponemon). 이는 툴링 성숙도의 이야기가 아니라, 컨트롤 표면의 부재입니다. 동시에 Gartner는 2027년 말까지 40% 이상의 agentic-AI 프로젝트가 취소될 것으로 예상하며, 2030년까지 “guardian agents”가 agentic-AI 시장의 10~15%를 차지할 것으로 전망합니다 (Gartner, 보도자료) — 시장은 거버넌스되지 않은 에이전트가 실제 보안 검토와의 접촉에서 살아남지 못한다는 사실을 가격에 반영하고 있습니다.
이 패턴은 보안 팀보다 더 광범위합니다. 아직 동료 심사를 거치지 않은 예비 연구에서, 약 95%의 GenAI 파일럿이 측정 가능한 손익(P&L) 영향을 보이지 않았으며, 외부에서 구매한 도구가 내부에서 구축한 것보다 약 두 배 더 자주 성공했습니다 (MIT “GenAI Divide”, NANDA 프로젝트, Fortune 경유, 2025년 8월 — 예비). 원인이 무엇이든, 아무도 책임질 수 없는 에이전트로 가득 찬 에스테이트는 침해 위험과 낭비된 파일럿 위험이 동시에 복리로 누적되는 바로 그 조건입니다.
이는 AI TRiSM 프레이밍 — AI를 위한 신뢰, 위험, 보안 관리 — 에 깔끔하게 매핑됩니다. 여기서 거버넌스와 런타임 검사는 별개의 계층으로 자리합니다. Olivares AI는 에이전트 액세스를 발견하고, 관측하며, 거버넌스하는 계층이 되도록 구축되었으며, 그것이 어디에서 멈추는지에 대해 정직합니다.
Olivares AI가 보안 리더에게 제공하는 것
컨트롤 표면으로서의 타입이 지정된 read/write 액세스 맵
액세스 맵은 모든 에이전트를 노드로, 그리고 에이전트가 도달할 수 있는 모든 리소스 — 데이터베이스, 오브젝트 스토어, MCP 서버, API, 큐 — 를 노드로 모델링하며, 각 엣지를 R(읽기) 또는 RW(읽기-쓰기)로 타입을 지정합니다. 그 R 대 RW 타입 지정이 핵심입니다. 최소 권한 드리프트와 인시던트 폭발 반경은 모두 단순한 연결성이 아니라 쓰기 액세스의 함수이며, 평면적인 “액세스 보유” 목록은 정확히 그것을 숨깁니다. 이것은 방어자를 위한 정찰(reconnaissance) 입니다 — 공격자가 원할 바로 그 맵을, 에스테이트를 방어하는 사람들을 위해 구축한 것입니다.
전체 그래프를 읽는 것은 의도적으로 권한이 부여된, 테넌트 범위로 제한된, 완전히 감사되는 작업입니다. 모든 에이전트가 무엇을 건드릴 수 있는지에 대한 완전한 맵 자체가 정찰 로드맵이기 때문입니다. 맵은 관계 — 출처, 리소스, R/RW, 소스, 신뢰도, 타임스탬프 — 를 저장하며, 엣지를 가로질러 흐른 페이로드, SQL 본문, 시크릿, PII는 결코 저장하지 않습니다. 저장되지 않은 것은 유출될 수 없습니다.
허용 대 관측: 발견 사항이 되는 비교
모든 엣지는 두 가지 독립적인 사실을 지닙니다. 액세스가 허용(permitted) 되었는지(권한 부여 또는 정책이 이를 허용함)와, 그것이 관측(observed) 되었는지(텔레메트리와 네이티브 감사가 실제로 일어나고 있음을 보여줌)입니다. 그 두 계층 간의 비교(diff)가 컨트롤 신호입니다:
- 예상치 못한 액세스(Unexpected access) — 관측되었으나 허용되지 않음. 에이전트가 어떤 권한 부여로도 커버되지 않는 무언가를 건드렸습니다. 이것이 보안과 관련된 핵심 헤드라인입니다.
- 사용되지 않은 권한 부여(Unused grants) — 허용되었으나 결코 관측되지 않음. 막연한 “여러분의 IAM을 검토하십시오”라는 알림이 아니라, 구체적인 최소 권한 정리 목록입니다.
이 비교는 의도적으로 보수적입니다. 플랫폼이 작동 중인 자격 증명을 그 권한 부여가
작성된 대상 에이전트에 아직 확실히 연결할 수 없는 경우, 해당 엣지는
reconciliation_pending으로 표시됩니다 — 조작된 위반이 아니라 정직한 불확실성입니다.
전체 reconciliation 계약에 대해서는 허용 대 관측을
참조하십시오.
허세를 거부하는 충실도(Fidelity)
자신이 아는 것을 과장하는 보안 도구는 아무것도 없는 것보다 나쁩니다. 모든 엣지는
두 가지 정직한 축을 지닙니다. R/RW 분류의 커버리지(Coverage) 는
clean | lossy | opaque로 계층화됩니다 — 네이티브 감사가 명확하게 만드는 곳에서는
clean이며(pgAudit를 통한 Postgres, CloudTrail을 통한 오브젝트 스토리지, 데이터
웨어하우스, 그리고 커널 수준 eBPF 백스톱), 모드가 추측이 아니라 unknown으로
표시되는 opaque 스토어(Redis, SQLite, D1)까지 이어집니다. 귀속(Attribution) 은
에이전트별 ID 신호가 액세스를 하나의 에이전트로 해석하는 경우 firm이며, 공유
서비스 계정이 어느 에이전트가 작동했는지를 숨기는 경우 approximate입니다.
clean/firm 엣지와 거의 관측되지 않은 엣지는 결코 동등하게 확실한 것으로
렌더링되지 않습니다 — 충실도 모델을 읽어보십시오.
Deny-closed 거버넌스, 이중 통제, 그리고 킬 스위치
거버넌스는 read-first이며 deny-closed입니다. 권한 부여 코어는 deny-by-default이고 테넌트 범위로 제한되어, confused-deputy 및 IDOR 부류를 구조적으로 차단합니다. 그 위에 연결하는 모든 속성 기반 정책은 추가로 제한할 수만 있습니다 — 그 조합은 교집합이므로, 정책은 결코 권한 부여를 넓힐 수 없습니다.
제품이 어떤 작업을 게이팅하는 경우, 그 루프는 다음과 같습니다: 표면이 제시하고
(드리프트, 발견 사항) → 권한이 부여된 운영자가 결정하며 → 그 결정이 기록됩니다.
승인 엔진은 직무 분리(separation of duty)(요청자는 자신의 요청을 결정할 수 없음)와
중복 결정자 가드를 안정적인 인간 ID를 키로 하여 강제합니다 — 시스템 토큰은 ID가
없으며 결정할 수 없습니다. critical 작업은 NIST SP 800-53 AC-3(2)에서 도출된
필수 2인 하한선(mandatory two-person floor) 을 지니며, 이는 생성 시점과
결정 시점에 재도출되어 강제되므로, 등급을 낮추는 운영자 정책조차 critical 작업을
단독으로 수행되도록 만들 수 없습니다. 03:00의 인시던트를 위한 감사되는
브레이크-글래스(break-glass) 밸브가 존재합니다 — 구조적으로 요란하고,
하드웨어로 단계 상승(stepped-up)되며, 시간 제한이 있고, 사후 검토가 강제됩니다.
킬 스위치는 에스테이트 전반의 deny 게이트입니다. 작동시키는 것은 의도적으로 저렴합니다(admin 등급, 사유 하나, 정족수 없음). 합의를 기다리는 중지는 중지가 아니기 때문입니다. 거버넌스되는 모든 작동(actuation) 게이트는 중지 행(stop row)을 실시간(live) 으로 조회하며 읽기 오류 시 fail closed 합니다. 재활성화는 결코 일방적이지 않습니다 — 새로운 이중 통제 승인으로 게이팅되며 브레이크-글래스 경로가 없습니다. “에스테이트는 중지 상태로 유지된다”가 안전한 상태이기 때문입니다.
변조 증거(Tamper-evident evidence)
모든 변경(mutating) 작업은 변경과 동일한 트랜잭션 내에서, 실제 행위자와 함께 추가 전용, 해시 체인 감사 원장(append-only, hash-chained audit ledger) 에 추가됩니다. 민감한 읽기는 커밋된 쓰기로 자체 감사(self-audit)됩니다. 이력을 다시 쓰는 것은 탐지 가능하며, 원장에는 결코 PII가 포함되지 않습니다. 컴플라이언스 모듈은 그 런타임 증거를 컨트롤 프레임워크에 매핑하여, 평가가 설문지가 아니라 관측된 현실로부터 공급되도록 합니다.
이것이 무엇이며 — 무엇이 아닌가
- Self-hosted이며 주권적(sovereign)입니다. 컨트롤 플레인은 여러분 자신의 인프라 위에서 실행되며 에어갭이 가능합니다. Olivares AI는 개방적이고 self-hostable 플랫폼입니다(AGPL-3.0). 보안 모델과 아키텍처를 참조하십시오.
- 기본적으로 탐지형이며, 조치하는 곳에서는 deny-closed입니다. 광범위하게 관측하고 거버넌스하지만, 광범위하게 작동(actuate)하지는 않습니다. 조치를 취할 수 있는 경우, 그 표면은 실시간, 온디맨드, 또는 선언된 이음새(seam)이며 — 모듈 카탈로그가 어느 것인지 표시합니다. 시행(enforcement)의 부재는 대개 설계에 의한 것입니다.
- 1.0 이전이며, 23개 모듈로 구성된 공개 카탈로그를 갖추고 있습니다(현재 약 20개 연결됨). 모든 것이 라이브는 아닙니다. 우리는 완전한 커버리지를 암시하기보다 어느 것이 어느 것인지 명시합니다.
- 에어갭은 여러분의 모델이 아니라 Olivares 컨트롤 플레인에 적용됩니다. Claude와 같은 호스팅 모델은 결코 에어갭이 아니며, self-hosted 모델(vLLM, Ollama)만이 오프라인으로 실행됩니다. Olivares는 어느 경우든 액세스를 거버넌스합니다.
- 인증되지 않았습니다. Olivares AI는 SOC 2, ISO/IEC 42001, EU AI Act를 지향하여 설계되었습니다(designed toward). 어떠한 인증도 보유하고 있지 않으며 이를 주장하지 않습니다.
고등교육 및 연구 에스테이트는 이 문제의 평행한 버전을 가지고 있습니다 — 교직원 전반에 걸친 광범위한 AI 사용에 비해 공식적인 AI 거버넌스와 허용 사용(acceptable-use) 커버리지가 뒤처지는 것입니다 (EDUCAUSE 연구, 2025). 그것이 여러분의 맥락이라면 고등교육을 참조하십시오. 인프라를 운영하는 플랫폼 팀은 플랫폼 엔지니어링에서 시작해야 합니다.