당신의 AI 에이전트가 운영 환경에서 작업을 수행했습니다. 이에 대해 다섯 가지 질문에 답할 수 있습니까?
요약
AI 에이전트가 운영 환경에서 자율적으로 행동함에 따라 발생하는 거버넌스 문제를 다룹니다. 기존 IAM의 한계를 지적하며, 에이전트의 의도와 책임을 관리할 수 있는 새로운 ID 컨트롤 플레인인 CLAIIM을 소개합니다.
핵심 포인트
- 기존 IAM은 에이전트의 의도나 행동 범위를 평가하지 못함
- 에이전트 거버넌스는 자격 증명을 넘어 실제 행동과 책임 소재를 규제해야 함
- CLAIIM은 관리되는 ID, 정책 게이트, 버전 관리된 기술을 제공함
- 모든 결정은 Chron을 통해 변조 불가능한 감사 추적으로 기록됨
AI 에이전트(AI agents)는 질문에 답하는 수준을 넘어 행동을 취하는 단계로 나아가고 있습니다.
배포 에이전트(deployment agent)는 스테이징(staging) 환경으로 푸시를 합니다. 코드 리뷰 에이전트(code review agent)는 풀 리퀘스트(pull request)에 댓글을 답니다. 지원 에이전트(support agent)는 답변 초안을 작성합니다. 재무 에이전트(finance agent)는 보고서를 읽습니다.
이것은 모두 행동(actions)입니다. 이들은 AI에 의해 트리거되어, 당신을 대신하여 당신의 환경 내에서 발생했습니다. 이제 스스로에게 질문해 보십시오:
- 어떤 에이전트가 이 행동을 수행했는가?
- 해당 에이전트에 대해 책임을 지는 인간은 누구인가?
- 해당 행동이 실행되기 전에 명시적으로 허용되었는가?
- 어떤 정책(policy)이 이를 규제했는가?
- 현재 어떤 변조 방지 증거(tamper-evident proof)가 존재하는가?
만약 이 질문들 중 어느 하나라도 답변이 "로그를 확인해 봐야 합니다"라면, 당신은 AI 에이전트를 위한 거버넌스 계층(governance layer)을 갖추지 못한 것입니다. 당신은 단지 감사 추적(audit trail)이 있는 AI를 가지고 있을 뿐입니다. 그것은 다릅니다.
IAM이 이 문제를 해결하지 못하는 이유
ID 및 액세스 관리(Identity and access management, IAM)는 서비스 계정(service account)이 시스템에 접근할 권한이 있는지를 알려줍니다. 이는 정적이고 예측 가능한 동작을 하는 인간과 서비스를 위해 구축되었습니다.
IAM은 주어진 행동이 에이전트가 선언한 범위(scope) 내에 있었는지 알려줄 수 없습니다. 에이전트의 행동을 그에 대한 책임을 수락한 특정 인간과 결합할 수 없습니다. IAM은 의도(intent)나 범위를 평가하지 않고, 단지 자격 증명(credential)이 유효한지만을 평가합니다.
유효한 서비스 계정 토큰을 가진 AI 에이전트는 당신이 의도한 범위를 훨씬 벗어나 행동할 수 있으며, 당신의 IAM 계층은 그 차이를 알지 못할 것입니다.
격차(The gap): IAM은 자격 증명이 무엇에 도달할 수 있는지를 규제합니다. 에이전트 거버넌스(Agent governance)는 에이전트가 실제로 무엇을 할 수 있는지, 그리고 잘못된 행동을 했을 때 누가 책임을 지는지를 규제합니다.
CLAIIM이 하는 일
CLAIIM은 AI 에이전트를 위한 ID 컨트롤 플레인(identity control plane)입니다. 모델은 네 단계로 구성됩니다:
1. 관리되는 ID (Governed identity): 각 에이전트는 고유한 ID, 선언된 기술 세트(skill set), 그리고 이 에이전트의 작동을 승인한 사람인 지정된 인간 책임 고정점(human accountability anchor)과 함께 등록됩니다.
2. 행동 전 정책 게이트 (Policy gate before action): 에이전트가 행동하기 전에 CLAIIM 게이트에 요청합니다. 게이트는 활성화된 정책(active policy)에 따라 요청된 행동을 평가합니다. 실행 전, 이유와 함께 허용(ALLOW) 또는 거부(DENY)를 반환합니다.
3. 버전 관리된 기술(Versioned skills) 및 정책(policies): 기술(Skills)은 에이전트가 무엇을 할 수 있는지 정의합니다. 정책(Policies)은 에이전트가 무엇을 할 수 있도록 허용되는지를 정의합니다. 두 가지 모두 버전이 관리되며, 평가 시점에 고정(locked)됩니다.
4. Chron: 모든 결정 이후의 증거: 모든 ALLOW(허용) 및 DENY(거부) 결정은 추가 전용(append-only) 감사 추적(audit trail)인 Chron에 즉시 기록됩니다. 에이전트(Agent), 앵커(anchor), 행동(action), 정책 버전(policy version), 기술 버전(skill version), 결과(outcome). 모든 결정은 매번 기록됩니다.
구체적인 예시: DevOps 에이전트
당신에게 배포 에이전트(deployment agent)가 있다고 가정해 봅시다. 이 에이전트가 스테이징(staging) 환경에는 자유롭게 배포하기를 원하지만, 운영(production) 환경에 대한 배포는 완전히 차단하고 싶습니다.
CLAIIM에서 당신은 다음과 같이 정책을 정의합니다:
# 이 에이전트가 사용할 수 있는 기술(Skills)
skill: deploy-v2
...
에이전트가 게이트(gate)를 호출하면, 아무것도 수행하기 전에 결정을 받게 됩니다:
from claiim import Gate
gate = Gate(agent_id="deploy-bot", token="...")
...
게이트는 운영 환경 배포가 시작되기 전에 이를 차단합니다. 에이전트는 당신의 배포 인프라를 호출조차 하지 못합니다. 두 결정 모두 즉시 Chron에 기록됩니다.
Chron 기록
| outcome | agent | action | anchor | policy | skill |
|---|---|---|---|---|---|
| ALLOW | deploy-bot | deploy:staging | s.emp1 | no-prod-v1 | deploy-v2 |
| ... |
모든 행은 하나의 결정입니다: 누가 요청했는지, 무엇을 원했는지, 누가 책임을 지는지, 어떤 정책 및 기술 버전이 활성화되었는지, 그리고 무엇이 결정되었는지를 나타냅니다. 추가 전용(Append-only) 방식이며, 매번 기록됩니다.
프롬프트 인젝션(prompt injection)에 관한 중요한 뉘앙스
CLAIIM은 모델의 추론을 검사하거나 프롬프트 인젝션(prompt injection)을 탐지하지 않습니다. 하지만 프롬프트 인젝션이 발생한 에이전트가 deploy:production을 호출하려고 시도하더라도, 게이트는 여전히 DENY를 반환합니다. 게이트는 에이전트가 왜 해당 요청을 했는지에는 신경 쓰지 않습니다. 게이트는 요청 이유와 상관없이 정책에 따라 행동을 평가합니다.
이는 모델이 침해(compromised)된 상황에서도 CLAIIM이 격리(containment)를 제공한다는 것을 의미합니다. CLAIIM이 인젝션 자체를 방지하는 것은 아니지만, 인젝션이 실제로 할 수 있는 일을 제한합니다.
Evaluation Preview 설치하기
CLAIIM은 전적으로 당신의 환경에서 실행됩니다. 평가 경로(evaluation path)는 Docker Compose를 사용하며, 10분 이내에 Chron에 증거가 남는 작동 가능한 게이트를 구축할 수 있습니다.
# 1. 배포 저장소(distribution repo)를 클론합니다
git clone https://github.com/nivaya/claiim
cd claiim
...
이미지 액세스 참고 사항: 컨테이너 이미지(Container images)는 통제된 프리뷰 출시(controlled preview rollout) 기간 동안 게이트(gated) 처리됩니다. 귀하의 GitHub 사용자 이름을 포함하여 **support@claiim.io**로 이메일을 보내주세요. 액세스 권한이 부여되면, 3단계 전에
read:packages권한을 가진 GitHub PAT를 생성하고docker login ghcr.io를 실행하십시오.
연습 스크립트(rehearsal script)는 샘플 에이전트(sample agent)를 프로비저닝하고, 에이전트가 할 수 있는 일과 할 수 없는 일을 정의하며, 게이트(gate)를 통해 허용(ALLOW)과 거부(DENY)를 모두 실행한 뒤, 이를 검증하기 위한 Chron ID를 출력합니다. 통합 코드(integration code)를 단 한 줄도 작성하기 전에 실제 게이트 결정(gate decisions)을 확인할 수 있습니다.
프리뷰 포함 사항 및 미포함 사항
완료 및 테스트 완료:
- 게이트 강제 적용 (ALLOW / DENY)
- Chron 감사 추적 (audit trail, 추가 전용)
- 조직적 경계 (Organizational boundaries)
- 버전 관리된 기술(Skills) 및 정책(Policies)
- 권한이 있는 변경에 대한 2인 제어 (Two-person control)
- Python SDK
- 관리자 UI (Admin UI)
- Docker Compose 설치
프리뷰 미포함 (GA를 향해 진행 중):
- Kubernetes Helm 차트
- SAML / OIDC 연합 (federation)
- 액티브-액티브 고가용성 (Active-active HA)
- 주권적 배포(Sovereign deployments)를 위한 서명된 에어갭(air-gap) 번들
귀하의 데이터는 귀하의 환경을 벗어나지 않습니다. Chron 기록, 에이전트 ID, 정책 및 게이트 결정은 모두 Nivaya가 호스팅하는 시스템이 아닌 귀하의 데이터베이스에 저장됩니다.
시도해 보기
설치 가이드 및 프리뷰 범위: claiim.io
프리뷰 액세스: support@claiim.io로 귀하의 GitHub 사용자 이름을 포함하여 이메일을 보내주시면 패키지 액세스를 활성화해 드립니다.
AI 자동 생성 콘텐츠
본 콘텐츠는 Dev.to AI tag의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기