AI 에이전트 ID(Identity) 지형: 7개의 경로, 38개의 플레이어, 그리고 하나의 질문

1년 전만 해도 거의 존재하지 않았던 카테고리가 어떻게 AI 스택에서 가장 혼잡한 레이어 중 하나가 되었는가.

1년 전만 해도 "에이전트 ID (agent identity)"라는 문구를 말하는 사람은 거의 없었습니다. 오늘날 이 용어는 전체 AI 스택에서 가장 혼잡한 레이어 중 하나를 지칭합니다. 저는 이 분야를 매핑해 보았으며, 38개의 별개 제품, 프로토콜(protocol), 그리고 표준화 기구(standards bodies)를 확인하고 카운트를 멈췄지만, 그 수는 매달 계속해서 늘어나고 있습니다.

Microsoft, AWS, Google, Salesforce, Okta, IBM, CyberArk, 그리고 Palo Alto가 모두 이 분야에 뛰어들었습니다. 벤처 캐피털의 지원을 받는 스타트업들의 물결도 몰려오고 있습니다. 표준화 기구들도 등장했습니다. 이들 모두는 동일한 질문을 중심으로 움직입니다: 이 에이전트는 누구이며, 무엇을 할 수 있도록 허용되는가?

에이전트 ID가 땅따먹기 경쟁이 된 이유

그 트리거는 단순합니다. 이제 에이전트는 스스로 도구(tools)를 호출하고, API를 호출하며, 다른 에이전트와 대화합니다. 그리고 이러한 모든 호출은 인증(authenticate)을 거쳐야 합니다. 우리가 지난 20년 동안 구축한 ID 시스템은 키보드 앞에 사람이 앉아 있다고 가정합니다. 에이전트는 그 가정을 깨뜨립니다. 에이전트는 관리자 없이 실행되고, 타인을 대신하여 행동하며, 몇 초 만에 생성되었다가 사라질 수 있고, 수십 개의 복제본으로 확산될 수 있습니다.

두 가지 힘이 여기에 불을 지폈습니다. 첫째, 평균적인 기업 내 비인간 ID(non-human identities)의 수는 이미 인간의 수를 압도하고 있으며, 에이전트는 그 곡선을 더욱 가파르게 만듭니다. 둘째, MCP와 A2A를 포함한 새로운 에이전트 프로토콜(agent protocols)이 이 문제를 공론화했습니다. 에이전트가 한 번도 만난 적 없는 서버에 연결하는 순간, 누군가는 그 에이전트가 누구인지에 대해 답변해야 합니다. 거의 존재하지 않았던 카테고리가 땅따먹기 경쟁(land rush)이 되었습니다.

에이전트 ID 시장의 7가지 경로

38개의 플레이어는 7개의 경로로 분류됩니다. 로고보다 경로가 더 중요한데, 그 경로가 제품이 실제로 어떤 문제를 해결할지를 결정하기 때문입니다.

Enterprise IAM / IGA. 기존의 아이덴티티(Identity) 강자들로, 인간 중심의 거버넌스를 에이전트(Agent)로 확장합니다.

• Microsoft Entra Agent ID: Entra ID 및 Copilot에 네이티브하게 통합된 에이전트 아이덴티티 (Agent Identities)
• Okta / Auth0 for AI Agents: 동적 제로 트러스트 (Zero-Trust) 인증을 갖춘 검증 가능한 에이전트 ID
• SailPoint Agent Identity Security: 인간과 나란히 존재하는 에이전트를 위한 통합 IGA 거버넌스
• Saviynt Identity Security for AI: 에이전트, MCP 서버 및 도구를 위한 컨트롤 플레인 (Control Plane)
• Ping Identity Agentic IAM: 인간의 감독 하에 운영되는 신뢰할 수 있는 런타임 아이덴티티 (Runtime Identities)
• Strata Maverics: 모든 IdP(Identity Provider)에 걸쳐 에이전트 아이덴티티를 오케스트레이션 (Orchestrate)
• Akeyless AI Agent IdP: 임베디드된 비밀 정보(Secrets)가 없는 퍼스트 클래스(First-class) 에이전트 ID
• WSO2 Agent ID: 모든 에이전트를 검증 가능한 자격 증명 (Verifiable Credentials)으로 등록
• IBM Agentic AI Identity: 인간으로 추적 가능한 범위 제한 위임 (Scoped Delegation)
• CyberArk Secure AI Agents: 에이전트로 확장된 특권 액세스 (Privileged Access) 및 비밀 정보 (Secrets)
• Idira (Palo Alto Networks): 새로운 아이덴티티 클래스로서 에이전트를 발견하고 거버넌스 수행

Cloud & Workload Identity. 하이퍼스케일러(Hyperscalers) 및 워크로드 아이덴티티 플레이어들로, 에이전트를 워크로드(Workload)로 취급합니다.

• AWS Bedrock AgentCore Identity: 에이전트를 위한 워크로드 아이덴티티 및 브로커링된 토큰 (Brokered Tokens)
• Salesforce Agentforce / MuleSoft: 게이트웨이에서 전파되는 신뢰할 수 있는 에이전트 아이덴티티
• Cloudflare Agents / MCP: 에이전트 및 MCP를 위한 엣지 인가 (Edge Authorization) 및 호스팅
• SPIFFE / SPIRE: 비인간 워크로드를 위한 증명된 워크로드 아이덴티티 (Attested Workload Identities, SVIDs)
• Aembit: 에이전트 워크로드를 위한 비밀 정보 없는 적시 접근 (Just-in-time Access)
• HashiCorp Vault: 에이전트 워크로드를 위한 동적 단기 자격 증명 (Dynamic Short-lived Credentials)

Developer / CIAM Auth. 에이전트에 OAuth 및 MCP 자격 증명을 발급하는 인증 플랫폼들입니다.

• Descope Agentic Identity Hub: 에이전트 및 MCP 서버를 위한 전용 아이덴티티 제공자 (Identity Provider)
• Stytch (a Twilio company): 에이전트 및 MCP를 위한 OAuth 2.1 인가 서버 (Authorization Server)
• Ory: 에이전트를 위한 오픈 소스 OAuth 2.1 아이덴티티
• WorkOS: AI 에이전트 및 MCP 서버를 위한 개발자 인증 (Developer Auth)

비인간 아이덴티티 보안 (Non-Human Identity Security). 에이전트를 비인간 아이덴티티 (Non-human identities)로 식별하고 관리하는 보안 벤더들입니다.

• Astrix Security: 섀도우 에이전트 (Shadow agents) 및 비인간 아이덴티티 (Non-human identities)를 식별하고 관리
• Token Security: 에이전트 및 NHI를 위한 머신 우선 아이덴티티 보안 (Machine-first identity security)
• Oasis Security: 에이전트 비인간 아이덴티티를 위한 라이프사이클 (Lifecycle) 및 포스처 (Posture) 관리

탈중앙화 / DID (Decentralized / DID). 에이전트 식별자를 조직 간에 이동 가능하게 만드는 자기주권 (Self-sovereign) 접근 방식입니다.

• Indicio ProvenAI: 에이전트를 위한 탈중앙화 ID (Decentralized IDs) 및 검증 가능한 자격 증명 (Verifiable credentials)
• ArcBlock: 기본적으로 에이전트를 위한 블록체인 기반 DID (Blockchain-anchored DIDs) 제공
• Agent 402: 에이전트를 위한 탈중앙화 아이덴티티 (Decentralized identity), 결제 및 발견 (Discovery)
• agent-did: 에이전트를 위한 오픈 소스 DID 및 VC 툴킷

프로토콜 및 표준 (Protocols & Standards). 에이전트가 어떻게 식별하고 통신하는지를 정의하는 와이어 레벨 (Wire-level) 사양입니다.

• Model Context Protocol (MCP): 에이전트 인증 (Agent auth)을 구동하는 도구 연결 표준 (Tool-connectivity standard)
• Google A2A (Agent2Agent): 벤더 간 상호 운용성을 위한 서명된 에이전트 카드 (Signed Agent Cards)
• Agent Transfer Protocol (AGTP): 암호화된 정형 아이덴티티 (Cryptographic canonical identity), 인증서 및 에이전트 네임 서비스 (Agent Name Service, ANS)
• Agent Auth (AAuth): 에이전트별 암호화된 퍼스트 클래스 아이덴티티 (First-class identity)
• W3C DID + VC: 대부분의 에이전트 ID가 기반으로 삼는 기초 표준
• Alibaba Open Agent Auth: 에이전트 운영에 결합된 암호화된 아이덴티티 (Cryptographic identity)
• AGNTCY (Cisco Outshift): 멀티 에이전트 시스템 (Multi-agent systems)을 위한 아이덴티티 및 스코프 프레임워크 (Scope framework)

거버넌스 및 표준화 기구 (Governance & Standards Bodies). 다른 모든 이들이 구현해야 할 규칙을 작성하는 기관들입니다.

• NIST AI Agent Standards Initiative: 에이전트 아이덴티티 및 보안을 위한 미국의 표준화 노력
• CoSAI Principles for Agentic IAM: 인간이 관리하는 에이전트를 위한 산업 원칙
• OWASP NHI Top 10 / Agent Name Service (ANS): 리스크 베이스라인 및 DNS와 유사한 에이전트 네임 서비스

이 지도가 말해주는 것

두 가지 사실이 있으며, 이들은 서로 반대 방향으로 움직입니다.

첫 번째는 수렴(convergence)입니다. 업계 전체가 이제 에이전트가 자신이 서비스하는 인간 및 내부에서 실행되는 앱과는 별개로, 그들만의 일급 시민(first-class) 신원(identity)을 가져야 한다는 점에 동의하고 있습니다. 1년 전에는 이것이 하나의 가설(thesis)이었으나, 오늘날에는 표준이 되기 위해 경쟁하는 수많은 옵션이 존재합니다. 기존 기업(incumbents), 스타트업, 그리고 규제 기관이 동시에 동일한 계층(layer)에 도달했을 때, 그 계층은 실재하는 것입니다.

두 번째는 파편화(fragmentation)입니다. 일곱 개의 경로(lanes)가 동일한 헤드라인을 내세우지만, 그 이면에서는 서로 다른 문제를 해결하고 있습니다. 엔터프라이즈 IAM(Identity and Access Management)은 에이전트 생명주기(lifecycle)를 관리합니다. 워크로드 신원(workload-identity) 플레이어들은 실행 중인 프로세스를 인증(authenticate)합니다. CIAM(Customer Identity and Access Management) 플랫폼은 토큰(token)을 발행(mint)하고 검증(verify)합니다. 비인간 신원(non-human-identity) 보안 벤더들은 환경 내에 이미 퍼져 있는 에이전트들을 찾아냅니다. 탈중앙화(decentralized) 접근 방식은 식별자(identifier)를 조직 간에 이동 가능하게(portable) 만듭니다. 프로토콜(protocols)은 신원이 네트워크(wire)를 통해 전달되는 방식을 정의합니다. 표준화 기구(standards bodies)는 다른 모든 이들이 구현할 규칙을 작성합니다. 경로를 지정하기도 전에 "시장 선도자(market leader)"를 선택하는 구매자는 잘못된 형태의 솔루션을 구매하게 됩니다.

이것이 마케팅 문구가 서로 뒤섞여 보이는 이유입니다. 이 사이트들 중 열 곳만 읽어봐도, 모든 에이전트를 위한 일급 시민 신원(first-class identity)이라는 동일한 문장을 열 번이나 마주하게 될 것입니다. 슬로건은 동일하지만, 실체는 경로(lane)와 계층(layer)에 존재합니다. 그러므로 거기서부터 시작하십시오. 당신의 진짜 문제가 발견(discovery), 발행(issuance), 상호운용성(interoperability), 또는 거버넌스(governance)인지 결정한 다음, 해당 문제를 다루는 경로를 쇼핑하십시오. 당신이 중요하게 생각하는 차별화 요소는 홈페이지에 나와 있는 것이 아닌 경우가 많습니다.

지도가 놓치고 있는 계층

일곱 개의 경로 전체를 살펴보면 한 가지 사실이 눈에 띕니다. 모든 경우에 검증(verified)되는 대상은 식별자(identifier)라는 점입니다. 키(key), 토큰(token), 서명된 에이전트 카드(signed Agent Card), 또는 발견된 자격 증명(discovered credential) 등이 그것입니다. 그리고 이는 빠르게 기본 요건(table stakes)이 되어가고 있습니다.

더 어려운 질문들은 한 단계 위 계층에 자리 잡고 있습니다. 이 에이전트가 실제로 어떤 권한을 가지고 있는가? 누가 이를 위임했는가, 그 권한은 어디까지 미치는가, 그리고 에이전트가 행동을 시작했을 때 무엇이 이를 제약하는가? 식별자(Identifier)는 이름을 부여할 뿐입니다. 그것은 행위(conduct)에 대해서는 아무것도 말해주지 않습니다. 유효한 토큰을 보유한 검증된 에이전트(verified agent)라 할지라도 아무도 의도하지 않은 행동을 취할 수 있으며, 그 에이전트가 달고 있는 배지는 경로상의 모든 검사를 통과할 것입니다.

저는 다른 곳에서도 정체성 계층(identity layer)이 에이전트가 무엇인지 인증할 방법이 없다고 주장해 왔습니다. 왜냐하면 이 분야에는 에이전트에 대한 테스트 가능한 정의가 공유되지 않기 때문입니다. 이 지도는 그 주장의 나머지 절반입니다. 업계는 에이전트의 이름을 붙이는 데에는 인상적인 기계 장치들을 구축했지만, 에이전트를 거버넌스(governing)하는 데에는 거의 구축하지 않았습니다. 미개척지는 바로 행동 계층(behavioral layer)입니다. 즉, 발견(discovery)과 결합된 자기 기술적 정체성(self-describing identity), 각 에이전트가 주장하는 바에 대한 정직한 기록, 그리고 자격 증명(credentials)이 아닌 행위를 판단하는 런타임 양심(runtime conscience)이 있는 곳입니다. 바로 그곳에서 다음 38개의 기업이 경쟁하게 될 것입니다.

그러므로 다음 에이전트 정체성 피치(pitch)가 당신의 예산을 확보하기 전에, 이 지도 전체가 교묘히 피해 가고 있는 단 하나의 질문을 던지십시오. 도구가 에이전트의 이름을 지정하고 나면, 그 에이전트가 무엇을 할 수 있도록 허용되는지를 무엇이 규제(governs)하는가?