
제로 트러스트(Zero Trust)는 에이전트가 아닌 인간을 위해 설계되었습니다
요약
기존 제로 트러스트 모델은 인간 사용자를 중심으로 설계되어 AI 에이전트의 특성을 반영하지 못합니다. 본문은 에이전트 네이티브 보안 모델의 필요성을 강조하며, AGTP를 통해 새로운 보안 패러다임을 제시합니다.
핵심 포인트
- 기존 제로 트러스트는 인간의 ID 체계(SSO, MFA)에 최적화됨
- AI 에이전트는 기존 워크로드와는 다른 보안 요구사항을 가짐
- 에이전트 네이티브 제로 트러스트 모델 구축이 필수적임
- AGTP는 에이전트 환경에 맞는 새로운 보안 모델을 제안함
2009년, Google이 해킹을 당했습니다. 나중에 Operation Aurora라고 불리게 된 이 공격은, 그 시점까지 기업들이 공격자를 차단하는 기반이었던 기업용 VPN을 통해 들어왔습니다. 이 침해 사고는 한 세대 동안 네트워크 보안을 조직해 온 가정, 즉 네트워크 내부가 신뢰할 수 있는 장소라는 가정을 무너뜨렸습니다. 외부가 위협이 존재하는 곳이었고, 보안의 역할은 벽을 튼튼하게 유지하는 것이었습니다.
Google의 대응은 BeyondCorp였습니다. 원칙은 단순하고 구조적이었습니다. 네트워크 내부를 포함하여 네트워크는 적대적이라는 것입니다. 모든 요청은 검증(verified)되어야 합니다. 모든 사용자는 지속적으로 인증(authenticated)되어야 합니다. 모든 장치는 증명(attested)되어야 합니다. 요청이 어디에서 왔는지에 기반한 암묵적 신뢰(implicit trust)는 존재하지 않습니다. 벽은 사라졌고, 검증은 모든 상호작용으로 이동했습니다.
이 개념이 제로 트러스트(zero trust)가 되었습니다. Forrester는 2010년에 이 명칭을 붙였습니다. Google은 이를 제품화했습니다. NIST는 2020년 SP 800-207에서 이를 성문화했습니다. 백악관은 2022년에 연방 기관에 이를 의무화했습니다. 모든 진지한 CISO(정보보호최고책임자)는 지난 5년 동안 어떤 형태로든 이를 배포해 왔습니다. 이 모델은 작동합니다. 이는 제기된 질문에 대한 올바른 답입니다.
하지만 이 질문은 인간과 워크로드(workloads)에 관한 것입니다. 에이전트(Agents)는 다른 문제입니다.
이 부분은 에이전트 인프라 논의에서 느리게 진행되어 온 부분입니다. 제로 트러스트는 제품, 프레임워크, 조달 요구 사항에 기록된 15년의 운영적 개선을 거쳤습니다. 제로 트러스트가 사용자 및 서비스에 대해 수행하던 것을 현재 프로덕션에서 실행 중인 에이전트에게 수정 없이 확장할 수 있다고 가정하고 싶은 유혹이 생깁니다. 그 유혹은 잘못되었으며, 모델이 깨지는 지점들이 바로 에이전트 네이티브(agent-native) 제로 트러스트 모델이 제공해야 할 것이 무엇인지 알려줍니다.
AGTP는 누군가가 그 모델을 구축했을 때 어떤 모습인지를 보여줍니다.
제로 트러스트가 가정하는 것
제로 트러스트를 운영상의 가정들로 단순화하면, 인간과 워크로드 (workload)의 형태가 명확히 드러납니다.
이 모델은 요청을 수행하는 주체(actor)가 실시간으로 이를 보증할 수 있는 ID 제공자 (Identity Provider, IdP)를 가지고 있다고 가정합니다. 인간은 SSO, MFA 및 자격 증명 순환 (credential rotation) 기능이 있는 IdP를 가집니다. 워크로드 (workload)는 SPIFFE, 알려진 CA로부터 발급된 인증서를 사용하는 mTLS, 또는 메타데이터 서비스로부터의 단기 자격 증명을 가집니다. 두 경우 모두 검증 단계는 "이 호출자가 여전히 정당한지 ID 제공자에게 묻는 것"이며, IdP는 현재의 답변을 제공합니다.
이 모델은 액세스 시점에 토큰 (token)을 특정 리소스로 제한함으로써 최소 권한 액세스 (least-privilege access)를 강제할 수 있다고 가정합니다. 인간은 인가 흐름 (authorization flow) 중에 OAuth 스코프 (scope)를 부여받습니다. 워크로드 (workload)는 명시적인 리소스 권한이 부여된 정책 결합형 자격 증명을 부여받습니다. 스코프 (scope)는 토큰 (token) 내에 존재하며, 애플리케이션이 이를 강제합니다.
이 모델은 텔레메트리 (telemetry)를 통한 지속적인 검증을 가정합니다. 세션 (session)은 재확인됩니다. 토큰 (token)은 갱신됩니다. 액세스 스트림에 대해 이상 탐지 (anomaly detection)가 실행되며, 침해 가정 (breach assumptions)에 따라 모든 세션은 언제든 취소될 수 있습니다. 주체 (actor)가 지속적으로 존재하기 때문에 검증은 지속적으로 이루어집니다.
이 모델은 네트워크 계층에서 마이크로 세그멘테이션 (microsegmentation)을 강제할 수 있다고 가정합니다. 구역(zone) 간의 트래픽은 검사됩니다. 세그먼트 경계에서의 신원은 세그먼트 관리자가 이해하는 인증서를 통해 검증 가능합니다. 측면 이동 (lateral movement)은 제로 트러스트가 차단하기 위해 구축된 핵심 대상입니다.
이러한 가정들은 제로 트러스트가 설계된 대상인 주체 (actor) 유형들에게는 유효합니다. 하지만 주체 (actor)가 에이전트 (agent)가 되면 이 가정들은 뒤틀리기 시작합니다.
모델이 뒤틀리는 지점
에이전트 (agent)는 전통적인 의미에서의 ID 제공자 (Identity Provider, IdP)를 갖지 않습니다. 에이전트를 "보증"하는 제공자는 활성화 시점에 에이전트의 제네시스 (Genesis)에 서명한 거버넌스 플랫폼 (governance platform)이며, 이는 실시간으로 세션 (session)을 인증하는 IdP와는 구조적으로 다릅니다. 에이전트의 신원 (identity)은 세션 토큰 (session token, 지속적으로 발급되고 짧은 기간 유효하며 활성 로그인에 결합됨)보다는 여권 (passport, 한 번 발급되어 엔티티의 수명 동안 유효하며 영구적인 기록에서 파생됨)에 더 가깝습니다. "이 에이전트가 정당한가"라고 묻는 것은 "이 사용자가 로그인되어 있는가"라고 묻는 것보다 "이 여권이 진짜인가"라고 묻는 것에 더 가깝습니다. 따라서 검증 메커니즘 (verification mechanism)이 바뀌어야 합니다.
에이전트는 MFA (Multi-Factor Authentication) 장치를 갖지 않습니다. 에이전트에게 요구할 수 있는 두 번째 요소도 없고, 알림을 보낼 전화기도 없으며, 꽂을 하드웨어 키 (hardware key)도 없습니다. 에이전트를 위한 인증 요소는 다릅니다. 즉, 제네시스 (Genesis)에 대한 암호학적 증명 (cryptographic proof), 소유자에 대한 조직적 결합 (organizational binding), 레지스트리 (registry) 내 매니페스트 (manifest)의 최신성 (freshness), 에이전트 ID (Agent-ID)를 TLS에 결합하는 인증서 (certificate)의 유효성 (currency) 등이 그것입니다. 에이전트를 위한 다요소 인증 (multi-factor)은 사용자를 위한 다중 장치 (multi-device)가 아니라, 검증을 위한 다중 소스 (multi-source)를 의미합니다.
에이전트는 인간의 의미에서의 세션 (session)을 갖지 않습니다. 에이전트는 몇 시간 동안 실행되다가 밤새 중단될 수도 있고, 다른 컨텍스트 (context)에서 재개되거나, 작업 중간에 다른 에이전트에게 권한을 넘길 수도 있습니다. 제로 트러스트 (zero trust)가 설계된 대상인 "세션"은 키보드 앞에 앉아 있는 인간을 가정합니다. 에이전트에게는 세션을 넘나들고 조직을 넘나드는 런타임 (runtime)에서 작동할 수 있는 상태 (state) 및 연속성 프리미티브 (continuity primitives)가 필요합니다.
에이전트는 설계상 조직의 경계를 넘나듭니다. 제로 트러스트 마이크로세그멘테이션 (microsegmentation)은 세그먼트 경계가 조직 내부에 있고, 한 명의 운영자가 양쪽 모두에서 정책을 실행한다고 가정합니다. A 회사의 에이전트가 B 회사의 에이전트에게 작업을 위임하는 경우, 어느 한 운영자도 단독으로 제어할 수 없는 경계에서의 정책 집행 (policy enforcement)이 필요합니다. 단일 세그먼트 관리자가 양쪽 모두에 대한 가시성 (visibility)을 가질 수 없기 때문에, 마이크로세그멘테이션은 프로토콜 계층 (protocol layer)에서 존재해야 합니다.
에이전트 (agent)는 여러 당사자를 가리키는 책임성 (accountability)을 가집니다. 인간의 요청은 하나의 주체 (principal), 즉 사용자를 가집니다. 에이전트의 요청은 세 가지 주체를 가집니다: 행동한 에이전트, 에이전트에 대해 책임을 지는 소유자 (owner), 그리고 에이전트가 권한을 행사하고 있는 주체 (principal)입니다. 제로 트러스트 프레임워크 (zero trust frameworks)에는 동일한 요청 내에서 이 세 가지를 모두 표현할 수 있는 네이티브 프리미티브 (native primitive)가 없으므로, 각 시스템은 추가적인 당사자들을 인코딩하기 위한 자신만의 방식을 만들어내며, 이러한 인코딩 방식들은 조직 간에 결합 (compose)되지 못하고 실패합니다.
이러한 왜곡은 실재합니다. 하지만 해결 가능합니다. 해결책은 제로 트러스트 원칙을 진지하게 받아들이고, 왜곡을 유발한 행위자 유형 (actor type)에 대해 해당 원칙을 충족하는 프리미티브를 생성하는 것입니다.
AGTP가 제로 트러스트를 위해 수행하는 역할
AGTP는 에이전트 트래픽에 제로 트러스트 원칙을 적용하여 이를 프로토콜 속성 (protocol properties)으로 만듭니다. 각 원칙은 특정 AGTP 구조체 (construct)에 매핑됩니다.
절대 신뢰하지 말고, 항상 검증하라 (Never trust, always verify). 모든 AGTP 요청은 와이어 레벨 헤더 (wire-level headers)로서 Agent-ID, Owner-ID, 그리고 Authority-Scope를 포함합니다. 신원 (Identity)은 Agent Genesis에 암호학적으로 고정되며, 이는 256비트 해시값이 Agent-ID가 되는 서명된 기원 문서 (signed origin document)입니다. Genesis-issuer 신뢰 경로 (trust path)는 문서화된 세 가지 경로 중 하나를 통해 검증 가능합니다: DNS-anchored, log-anchored, 또는 hybrid 방식입니다. AGTP 요청을 받는 수신자는 네트워크, 호스트, 또는 호스팅 도메인을 신뢰하지 않고도 에이전트의 신원 주장 (identity claim)을 검증할 수 있습니다. 검증은 세션마다 협상되는 방식이 아니라 구조적 (structural)으로 이루어집니다.
최소 권한 (Least privilege). Authority-Scope는 규범적 헤더 (normative header)로, 규준을 준수하는 서버는 모든 요청에서 이를 반드시 (MUST) 파싱해야 하며, 선언된 범위를 초과하는 모든 메서드에 대해 455 Scope Violation을 반환해야 합니다. 범위 (scope)는 예약된 레지스트리 (reserved registry)에서 가져온 domain:action 형식으로 표현됩니다. 범위 집행 지점 (Scope Enforcement Points)은 애플리케이션이 요청을 확인하기 전, 라인 레이트 (line rate)에서 범위를 강제합니다. 최소 권한은 애플리케이션 계층의 관례에서 와이어 레벨의 보장 (wire-level guarantee)으로 이동합니다.
침해를 가정하십시오 (Assume breach). 모든 중대한 AGTP 상호작용은 응답 에이전트의 식별자(identity), 요청 해시(request hash), 그리고 응답 상태(response status)에 결합된 속성 기록(Attribution-Record)을 생성합니다. 이 기록들은 서명되어 RFC 9162 및 SCITT (RFC 9943)를 준수하는 추가 전용 투명성 로그(append-only transparency logs)에 기록됩니다. 침해가 발생했을 때, 포렌식 기질(forensic substrate)은 이미 존재합니다. 사고 대응(Incident response) 시 프레임워크별 애플리케이션 로그를 재구성하는 대신 로그를 쿼리하기만 하면 됩니다.
모든 요청을 명시적으로 검증하십시오 (Verify explicitly, every request). AGTP는 세션 기반 신뢰(session-based trust)에 의존하는 대신 모든 요청에 검증 자료를 포함합니다. 에이전트 ID(Agent-ID)가 존재합니다. 소유자 ID(Owner-ID)가 존재합니다. 권한 범위(Authority-Scope)가 존재합니다. 검증 서버는 동일한 연결 내의 이전 요청으로부터 전달된 암묵적 신뢰(implicit trust) 없이, 매 호출마다 새로운 결정을 내리는 데 필요한 모든 것을 갖추고 있습니다.
마이크로세그멘테이션 (Microsegmentation). 거버넌스 존(zone:eu-gdpr, zone:us-healthcare, zone:retail-verified)은 일급 객체(first-class)입니다. 에이전트들은 존(zone)에 등록됩니다. 요청은 AGTP-Zone-ID 헤더를 포함합니다. SEP는 라인 레이트(line rate)로 존 경계를 강제하며, 정책상 금지된 존 간 트래픽에 대해 457 Zone Violation을 반환합니다. 마이크로세그멘테이션은 프로토콜이 존 의미론(zone semantics)을 전달하고 AGTP를 인식하는 모든 SEP가 이를 읽을 수 있기 때문에 조직 경계를 넘어 작동합니다.
지속적인 검증 (Continuous validation). 행동 기반 신뢰 점수(Behavioral trust scores)는 서명된 속성 기록(Attribution-Records)으로부터 계산되어 ANS 결과에 나타납니다. 디스커버리(Discovery) 응답은 실시간 행동 데이터를 포함하므로, 에이전트의 평판은 등록 시점에 가졌던 자격 증명이 아니라 현재의 행동을 반영합니다. 신뢰는 프로토콜 계층에서 동적으로 움직입니다.
위치 기반 신뢰를 배제하십시오 (No location-based trust). 에이전트 ID(Agent-ID)는 제네시스 해시(Genesis hash)로부터 유도됩니다. 이는 호스팅 변경, 도메인 교체, 운영자 이관 시에도 변하지 않습니다. 호스트 간을 이동하는 에이전트는 동일한 정형 식별자(canonical identity)를 유지합니다. 익숙한 호스트 이름에서 위장된(spoofed) 에이전트는 검증자가 잡아낼 수 있는 해시 불일치를 발생시킵니다. 신뢰는 네트워크 위치가 아닌 식별자에 결합됩니다.
ID 기반 액세스 제어 (Identity-based access control). Authority-Scope 토큰은 AGTP-CERT 확장 기능 내의 인증서 커밋먼트 (certificate commitments)를 통해 에이전트 ID (Agent-ID)에 결합됩니다. 세션 수립 시 인증서를 읽는 SEP는 요청당 $O(1)$의 비용으로 범위를 강제할 수 있는데, 이는 커밋먼트가 한 번 파싱된 후 이후에는 확인만 이루어지기 때문입니다. 액세스 결정은 요청이 어디에서 오는 것처럼 보이는지가 아니라, 검증된 식별자 (identity)에 연결됩니다.
이 패턴은 제로 트러스트 (zero trust)가 인간과 워크로드 (workloads)에 적용되었던 것과 동일하며, 새로운 액터 (actor) 유형에 맞춰 재구성된 것입니다. 검증은 와이어 레벨 (wire-level)에서 이루어집니다. 범위 (Scope)는 선언되고 강제됩니다. 감사 (Audit)는 구조적입니다. 경계 (Boundaries)는 프로토콜 레벨 (protocol-level)입니다. 신뢰는 식별자에 결합되며 지속적으로 평가됩니다. 원칙은 그대로 유지되지만, 기본 요소 (primitives)는 액터에 맞게 변화합니다.
AGTP가 더 나아가는 지점
에이전트의 사례가 전통적인 제로 트러스트가 제공하는 것 이상을 요구하는 지점들이 있으며, AGTP는 여기에 추가적인 구조를 제공합니다.
조직 간 위임 (Cross-organization delegation)은 분산 신뢰 (distributed trust) 분야에서 가장 해결하기 어려운 미해결 과제였습니다. 제로 트러스트는 조직 내부의 신뢰를 다룹니다. AGTP는 서명된 위임 체인 (signed delegation chains)을 통해 조직의 경계를 넘나드는 신뢰를 다룹니다. 여기서 각 홉 (hop)의 범위는 이전 홉 범위의 엄격한 부분 집합이며, 체인이 끊어지면 551 Authority Chain Broken을 반환합니다. 이 프로토콜은 애플리케이션 레이어 (application layer)가 신뢰성 있게 강제할 수 없는 속성을 강제합니다. 즉, 위임된 요청을 받는 에이전트는 위임하는 에이전트가 갖지 못한 권한을 사용할 수 없습니다.
상거래 시점의 거래 상대방 검증 (Counterparty verification)은 제로 트러스트가 통상적으로 다루는 범위를 넘어섭니다. AGTP의 머천트 식별자 레이어 (merchant identity layer)는 구매를 시작하는 측과 동일한 엄격함으로 구매를 받는 측을 검증합니다. 머천트 매니페스트 핑거프린트 (Merchant-Manifest-Fingerprint)는 에이전트가 검증한 매니페스트를 서버가 실제로 제시하는 매니페스트에 결합함으로써 엔드포인트 리다이렉션 (endpoint redirection)을 잡아냅니다. 상거래 트랜잭션의 양측 모두 식별되며, 양자 귀속 레코드 (dual-party Attribution-Record)는 다운스트림 시스템 (downstream systems)에 완전한 아티팩트 (artifact)를 제공합니다.
프로토콜 전반에 걸친 휴대 가능한 증거 (Portable evidence)는 제로 트러스트 (Zero Trust)가 역사적으로 어려움을 겪어온 격차를 해소합니다. Intent-Assertion JWT는 비-AGTP (non-AGTP) 시스템이 직접 소비할 수 있는, 주체에 의해 승인된 의도 (principal-authorized intent)에 대한 서명된 증명입니다. 카드 네트워크, 결제 프로세서, 규제 기관 및 분쟁 해결사들은 AGTP를 사용할 필요 없이 공개된 키를 통해 JWT 서명을 검증합니다. 이는 AGTP 네이티브 인프라와 이미 존재하는 제도적 구조 (institutional fabric) 사이의 가교 역할을 합니다.
검증 가능한 속성으로서의 평판 (Reputation)은 또 다른 격차를 해소합니다. 제로 트러스트는 "호출자를 검증하라"고 말합니다. AGTP는 "호출자를 검증할 뿐만 아니라, 호출자가 네트워크 전체에서 무엇을 수행했는지도 드러내라"고 말합니다. ANS 결과에 포함된 행동 기반 신뢰 점수 (Behavioral trust scores)는 다운스트림 의사 결정에 신원 (identity)만 있을 때보다 더 풍부한 입력을 제공합니다. 위임 (delegation)을 위한 에이전트를 선택하는 것은 곧 책임성 (accountability)을 위한 에이전트를 선택하는 것이 되며, 선택하는 순간에 그 기록 (track record)을 확인할 수 있습니다.
AI 자동 생성 콘텐츠
본 콘텐츠는 Dev.to AI tag의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기