에이전트 지출 규정 준수 — CFO가 '4,200달러 API 청구서 승인자가 누구인가요?'라고 물을 때

2주 전에는 3계층 에이전트 감사 아키텍처를 공개했습니다. 지난주에는 속도 알림(velocity alerts) 기능이 포함된 실시간 지출 대시보드를 만들었습니다. 이 두 글 모두 엔지니어들로부터 일관된 반응을 얻었습니다.

이것은 법인카드 명세서에 해당하는 에이전트 지출 내역입니다. 모든 거래는 회계 카테고리로 코딩되고, 비즈니스 정당화가 함께 기록됩니다.

from dataclasses import dataclass, field
from datetime import datetime, date
from typing import Optional
...

핵심 필드는 policy_snapshot_id입니다. 결제 시점에 에이전트의 활성 정책(한도, 카테고리, TTL)을 해시하여 거래에 고정합니다. 6개월 후 감사자가 '3월 12일에 클라우드 컴퓨팅에 $2,100을 지출할 권한이 있었나요?'라고 물으면, 정책 스냅샷을 가리키며 답변을 증명할 수 있습니다.

2. 정책 변경 로그 (Policy Change Log)

모든 지출 정책 수정에는 불변(immutable) 로그 항목이 필요합니다. git 커밋과는 다릅니다. CFO가 스프레드시트로 내보낼 수 있는 형태여야 합니다.

@dataclass
class PolicyChange:
    change_id: str
...

이것이 '우리는 에이전트 지출을 모니터링한다'와 '우리는 에이전트 지출에 대한 통제된 프로세스를 갖추고 있다'의 차이입니다. 후자가 감사를 통과합니다.

3. 월별 규정 준수 요약 (Monthly Compliance Summary)

한 페이지로, 에이전트 클러스터당 한 장씩입니다. CFO가 이 내용을 이사회 회의 전에 90초 만에 읽을 수 있습니다.

def generate_compliance_summary(agent_ids: list[str], month: date) -> dict:
    """에이전트 세트에 대한 한 페이지 규정 준수 요약을 생성합니다."""
    total_spend = sum(get_agent_spend(aid, month) for aid in agent_ids)
...

status 필드는 이진값입니다. 만약 NEEDS_REVIEW라고 되어 있다면, CFO는 감사자가 도착하기 전에 질문을 할 것을 알고 있습니다.

4. 감사 내보내기 (Audit Export) (NDJSON, S3, 불변)

모든 거래, 모든 정책 변경, 모든 규정 준수 요약은 객체 잠금(object lock)이 적용된 추가 전용(append-only) S3 버킷에 덤프됩니다. 이것이 귀사의 SOC2 증거 패키지입니다.

import boto3
from datetime import datetime
import json
...

시장에서 제공하는 것 vs. 부족한 것

시장에서 제공하는 것 vs. 부족한 것

Product	기능 (What It Does)	격차 (The Gap)
SpendSafe.ai	사전 지출 통제, 예산 한도 설정	규정 준수 보고서 없음, GL 코딩 불가
...
아무도 규정 준수 계층(compliance layer)을 제공하지 않습니다. 에이전트 결제를 운영하는 모든 회사는 자체 QuickBooks 통합, 자체 정책 변경 로그, 자체 감사 내보내기 기능을 구축하고 있습니다. 이는 현재는 0달러짜리 제품이며 엄청난 격차입니다.

일주일 안에 구현하기 (Ship It in a Week)

네 가지 아티팩트(artifacts)를 한 번에 모두 만들 필요는 없습니다. 우선순위에 따라 순차적으로 구현하세요:

1주 차: 모든 거래 건마다 policy_snapshot_id가 지정된 에이전트 지출 원장(Agent Spend Ledger). 이것만으로도