AI 에이전트 기반을 구축하기 전에 만들어야 할 감사 대장: MCP·샌드박스·생성물 증적 구현 템플릿

2026년 5월 20일 JST 시점의 영어권 AI 뉴스를 보면, AI 에이전트의 경쟁 축은 '똑똑한 모델'만이 아닙니다.

Google은 클라우드 상의 관리 에이전트와 샌드박스(Sandbox)를 내놓고, Anthropic은 SDK/MCP 기반 기업을 인수하며, GitHub는 Copilot cloud agent 설정을 API로 감사할 수 있게 하고, OpenAI는 생성물의 이력을 검증하는 메커니즘을 강화하고 있습니다.

이 기사에서는 이러한 1차 정보를 바탕으로, AI 에이전트를 도입하기 전에 만들어야 할 감사 대장 (Audit Ledger) 을 템플릿화합니다. 뉴스의 사실과 그로부터 도출된 실무적 해석을 나누어 다룹니다.

AI 에이전트 기반은 도입 전에 다음의 대장을 만들어야 합니다.

대장 항목	목적	최소한으로 기록할 것
Agent Identity	누가 무엇을 했는지 추적할 수 있도록 함	agent 명, 실행자, 실행 환경, 권한
...

한마디로 말하면, AI 에이전트 도입의 첫 번째 결과물은 프롬프트 모음집이 아닙니다.

어떤 에이전트가, 어떤 도구를, 어떤 환경에서, 어떤 증적(Traceability)과 함께 사용할 수 있는지를 고정하는 감사 대장입니다.

Google은 2026년 5월 19일, Gemini API의 Managed Agents를 발표했습니다. 단일 API call로 추론, 도구 이용, 코드 실행을 수행하는 에이전트를 클라우드 상에서 기동할 수 있다고 설명하고 있습니다.

인용:

"executes code in an isolated, ephemeral Linux environment"

일본어 번역: 격리된 일시적인 Linux 환경에서 코드를 실행합니다.

에이전트가 코드를 실행한다면, '어떤 모델인가'보다 먼저 '어떤 환경에서 실행되는가'를 결정해야 합니다.

관리 에이전트의 편리함은 실행 환경의 추상화입니다. 반면, 파일 유지, 네트워크 도달 범위, 외부 API 호출, 과금, 로그 유지를 모호하게 둔 채 도입하면 사고 조사를 할 수 없습니다.

최소한 다음과 같이 환경을 분류합니다.

agent_runtime_policy:
default_runtime: isolated_ephemeral_sandbox
persistent_state_allowed:
...

Anthropic은 2026년 5월 18일, SDK와 MCP server tooling을 다루는 Stainless의 인수를 발표했습니다. Stainless는 TypeScript, Python, Go, Java 등을 위한 SDK나 MCP 서버를 생성하는 기업입니다.

인용:

"agents are only as capable as the systems they can reach"

일본어 번역: 에이전트의 능력은 도달할 수 있는 시스템에 의해 결정됩니다.

MCP나 SDK는 에이전트에게 있어 '손과 발'입니다. 즉, API 설계의 모호함은 그대로 에이전트의 사고 범위가 됩니다.

OpenAPI나 MCP server를 만들 때는 인간을 위한 사용성뿐만 아니라, 에이전트가 오용하기 어려운 계약(Contract)을 두어야 합니다.

tool_contract:
tool_name: send_invoice
operation_type: external_effect
...

GitHub는 2026년 5월 18일, repository의 Copilot cloud agent 설정을 REST API로 감사할 수 있는 public preview를 발표했습니다. API는 MCP server configuration, enabled tools, GitHub Actions workflow policy, firewall configuration을 반환한다고 설명되어 있습니다.

인용:

"audit the security posture of your repositories at scale"

일본어 번역: 리포지토리의 보안 상태를 대규모로 감사할 수 있습니다.

AI coding agent를 조직에 도입한다면, 리포지토리 단위로 '무엇이 허용되어 있는가'를 인간이 화면으로 보는 것만으로는 부족합니다.

주 단위로 설정을 가져와 이전 설정과의 차이(Diff)를 감지하는 메커니즘이 필요합니다.

copilot_agent_audit:
repository: owner/repo
collected_at: 2026-05-20T10:00:00+09:00
...

운영 시에는 이를 단순한 재고 조사로 끝내지 않고, Pull Request(PR)나 Slack 알림으로 전환하면 효과적입니다.

GitHub는 2026년 5월 5일, GitHub MCP Server를 통한 secret scanning(비밀 정보 스캔)을 일반 제공(GA)한다고 발표했습니다. MCP 대응 AI coding agent(코딩 에이전트)나 IDE에서 commit(커밋) 또는 PR 전에 노출된 secret(비밀 정보)을 스캔할 수 있습니다.

인용:

"before you commit or open a pull request"

일본어 번역: commit(커밋)하기 전, 또는 Pull Request(PR)를 열기 전에 확인할 수 있습니다.

GitHub Docs에서는 MCP를 통한 탐지 결과가 현재 세션에만 나타나며, GitHub상의 영구적인 alert(경고)로는 남지 않는다고 설명하고 있습니다.

인용:

"not persisted as alerts on GitHub"

일본어 번역: GitHub상의 경고(alert)로는 영구 저장되지 않습니다.

여기서 중요한 것은 MCP secret scanning을 '기록 시스템'이 아닌 '작업 전 게이트(gate)'로 취급하는 것입니다.

에이전트에게 commit(커밋)이나 PR 작성을 허용한다면, 그 전에 secret scanning을 필수화하고 탐지 시에는 자동으로 중단시킵니다.

pre_commit_agent_gate:
  required_checks:
    - secret_scanning_mcp
...

OpenAI는 2026년 5월 19일, Content Credentials, SynthID, 공개 검증 도구의 preview(미리보기)를 포함하는 content provenance(콘텐츠 출처)에 대한 노력을 발표했습니다. C2PA conformance(준수), Google SynthID와의 연동, OpenAI 유래 이미지 검증을 다룹니다.

인용:

"metadata is not foolproof"

일본어 번역: 메타데이터는 만능이 아닙니다.

생성형 AI를 사용한 이미지, 음성, 기사, 제안서, 코드 차분(diff)을 공개한다면, 'AI로 만들었는지 여부'를 모호하게 하지 않는 설계가 필요합니다.

단, provenance metadata(출처 메타데이터)에만 의존해서는 안 됩니다. 업로드, 압축, 스크린샷, 형식 변환 과정에서 손실될 가능성이 있습니다. 애플리케이션 측의 대장, 서명, 생성 로그, 공개 시의 주석을 조합해야 합니다.

provenance_record:
  artifact_id: article-eyecatch-2026-05-20
  artifact_type: image
...

GitHub는 2026년 5월 19일, Gemini 3.5 Flash가 GitHub Copilot에서 일반 제공된다고 발표했습니다. Copilot Business/Enterprise에서는 관리자가 Gemini 3.5 Flash policy(정책)를 활성화해야 합니다.

인용:

"administrators must enable the Gemini 3.5 Flash policy"

일본어 번역: 관리자는 Gemini 3.5 Flash 정책을 활성화해야 합니다.

모델이 늘어날수록 에이전트 운영은 편리해집니다. 동시에 모델별 가격, 속도, 품질, 데이터 취급 방식, 사용 가능한 도구의 차이점을 관리해야 합니다.

'어떤 모델이든 동일하게 동작한다'는 생각은 위험합니다. 모델 선택 또한 변경 관리의 대상으로 삼아야 합니다.

model_policy:
  allowed_models:
    - name: gemini-3.5-flash
...

AI 에이전트 도입 전에 최소한 다음 순서로 확인합니다.

• 에이전트별 identity(식별 정보)를 고정한다
• MCP server와 API connector를 목록화한다
• 파괴적 작업, 외부 전송, 운영 환경 변경을 명시적으로 분류한다
• ephemeral sandbox(휘발성 샌드박스)와 persistent state(지속적 상태)의 경계를 정한다
• secret scanning을 commit/PR 전의 필수 gate(게이트)로 만든다
• Copilot cloud agent 등의 설정을 API로 정기 감사한다
• 생성물의 provenance record(출처 기록)를 저장한다
• 인간 리뷰 필수 조건을 금액, 고객, 운영 환경 영향도에 따라 정의한다
• 모델 추가나 policy(정책) 변경을 변경 관리 프로세스에 포함한다
• 사고 발생 시 중단할 수 있는 owner(소유자)와 runbook(운영 절차서)을 결정한다

실패	발생할 수 있는 일	대책
MCP 서버를 편리한 도구로서 추가함	에이전트(Agent)가 예기치 않은 API에 도달함	도구 계약(Tool contract)과 소유자(Owner)를 필수 항목으로 지정
...

작게 시작하려면, 다음 파일 하나를 리포지토리(Repository)에 두는 것만으로도 효과가 있습니다.

# .agent-governance.yml
version: 1
owners:
...

최근의 AI 뉴스에서 보이는 흐름은 상당히 일관적입니다.

• 에이전트(Agent)는 클라우드 상의 관리 환경에서 동작한다
• MCP나 SDK가 조작 범위를 결정한다
• 개발 지원 에이전트의 설정은 API를 통해 감사(Audit)된다
• 비밀 정보 스캐닝(Secret scanning)은 AI 코딩 워크플로우(AI coding workflow)에 포함된다
• 생성물의 이력(Provenance)은 표준과 애플리케이션 측 대장(Ledger) 양쪽 모두에서 다룬다
• 모델 선택 또한 조직의 정책(Policy)이 된다

따라서, 도입 전에 만들어야 할 것은 'AI 활용 아이디어 모음'이 아닙니다.

**Agent Identity, Tool / MCP Inventory, Sandbox Policy, Secret Scan Gate, Provenance Record, Human Review Rule을 포함하는 감사 대장(Audit Ledger)**입니다.

이 대장이 있다면, AI 에이전트는 편리한 실험 단계를 넘어 설명 가능한 업무 기반에 가까워집니다.

• Gemini API에서 관리형 에이전트(Managed Agents) 도입
• Anthropic이 Stainless를 인수
• REST API를 통해 Copilot 클라우드 에이전트 설정의 리포지토리 감사
• GitHub MCP 서버를 통한 비밀 정보 스캐닝(Secret scanning) 정식 출시
• GitHub MCP 서버를 사용한 비밀 정보 스캐닝
• 더 안전하고 투명한 AI 생태계를 위한 콘텐츠 이력(Content provenance) 고도화
• Gemini 3.5 Flash의 GitHub Copilot 정식 출시