“AI가 했다”는 것은 감사 답변이 될 수 없다

3개 기업 중 1개만이 자율 에이전트에 대한 거버넌스 준비가 되어 있다고 답했습니다 (McKinsey의 2026 AI Trust Report). Grant Thornton의 2026 AI Impact Survey에 따르면, 임원진의 78%는 90일 이내 독립적인 AI 거버넌스 감사를 통과할 수 있다는 강한 확신이 부족했습니다. 이 두 숫자는 “AI를 관리하기가 어렵다”라는 항목으로 분류됩니다. 저는 진짜 문제는 더 구체적이고, 해결 가능한 문제라고 생각합니다. 대부분의 팀은 자신들의 에이전트가 실제로 무엇을 할 수 있도록 허용했는지에 대한 기록조차 없습니다.

아직 통과할 수 없는 감사

시나리오를 상상해 보세요. AI 에이전트가 하룻밤 사이에 변경 사항(마이그레이션, 배포, 설정 편집 등)을 전송했고, 무언가 고장 났습니다. 검토가 시작되고, 두 가지 지루한 질문을 받게 됩니다:

1. 행동이 실행된 순간 어떤 통제가 있었는가?
2. 그 증거는 어디에 있는가?

2026년에 에이전트를 운영하는 대부분의 팀에게 솔직한 대답은 “샌드박스(sandbox), RBAC, 그리고 대시보드”입니다. 이 세 가지 답변 중 어느 것도 질문에 답하지 못합니다.

**대시보드(dashboard)**는 룸미러와 같습니다. 나중에 무슨 일이 일어났는지 알려줄 뿐입니다. 이는 디버깅에는 유용하지만 승인 기록으로는 쓸모가 없습니다.

RBAC은 에이전트가 누구인지 그리고 이론적으로 무엇을 건드릴 수 있는지를 정의합니다. 그것은 _지금 이 특정 행동_이 허용되었어야 했는지를 결정하지 않으며, 그 결정을 기록하지도 않습니다.

**샌드박스(sandbox)**는 피해 범위를 제한합니다. 손상을 격리할 뿐이며, 감사자가 승인으로 받아들일 수 있는 아티팩트를 생성하지는 못합니다.

숫자들이 이를 뒷받침합니다. Kiteworks가 225개 기업 리더를 대상으로 실시한 2026년 설문조사에 따르면, 응답자의 33%는 AI 운영에 대한 증거 기반의 감사 추적(audit trail)이 없었고, 61%는 로그가 시스템 전반에 걸쳐 파편화되어 있었으며, 60%는 오작동하는 에이전트를 신속하게 종료할 수 없다고 답했습니다.

인간 승인 단계가 조용히 한 일

십 년 동안 CI/CD 배포 규율은 단순한 속성에 의존해 왔습니다. 즉, 특정 행동은 사람이 서명하지 않고는 발생하지 않는다는 것이었습니다. 우리는 보통 이 단계를 나쁜 변경 사항을 포착하는 공로를 돌립니다. 하지만 그것은 또 다른 것, 즉 기록을 남기는 역할을 무료로 수행했습니다. 이름, 타임스탬프, 그리고 승인 기록이었습니다. 통제와 증거는 같은 사건이었습니다.

에이전트를 감시되지 않는 파이프라인(unattended pipeline)으로 이동시키면, 그 단계에서 인간을 제거하게 됩니다. 통제력을 잃게 되는 것이죠. 그리고 동시에 기록 추적(paper trail)도 잃습니다. 모든 사람이 의지하는 두 가지 보상적 통제 장치인 샌드박싱(sandboxing)과 RBAC은 이 두 가지를 깨끗하게 대체하지 못합니다.

게이트 결정 자체를 감사 아티팩트(audit artifact)로 만들기

해결책은 행동이 발생하는 순간에 결정론적(deterministic) 결정을 다시 배치하고, 그 결정을 로그로 남기게 하는 것입니다.

ThumbGate는 에이전트가 실행되는 기계에서 PreToolUse 훅으로 작동합니다. 어떤 도구 호출(tool call)이 실행되기 전에, 활성화된 검사(active checks)와 비교하여 호출을 평가하고 위험한 것들—작업 디렉토리 외부의 rm -rf, 비밀 정보/.env 유출, 보호된 브랜치에 대한 강제 푸시(force-push), 파괴적인 마이그레이션, 패키지-락 초기화 등—을 차단합니다.

이것이 단순한 안전망이 아니라 감사 답변이 될 수 있게 만드는 두 가지 속성이 있습니다:

결정이 결정론적입니다. 런타임 게이트는 문자 그대로의 패턴 매치(pattern match) → AST 매치(AST match) → 범위 지정된 규칙 조회(scoped rule lookup)입니다. 강제 적용 경로에 LLM이 없습니다. 이것은 감사 측면에서 중요합니다. 왜냐하면 동일한 입력은 항상 동일한 판결을 내리기 때문입니다—모델의 동작에 대해 추상적으로 설명할 필요 없이, 어떤 행동이 차단되거나 허용되었는지 왜 그런지 설명할 수 있습니다. 또한 이는 프롬프트 주입(prompt injection)이 협상할 대상이 없다는 것을 의미합니다. 정규 표현식(regex)을 탈옥(jailbreak)할 수 없습니다.

결정 자체가 증거입니다. 모든 게이트 결정—차단, 허용 또는 리라우트—은 규칙 버전, 타임스탬프, 그리고 검토자 경로와 함께 보존됩니다. 이것이 인간의 서명이 남기던 기록을 자동화된 방식으로 매번 중요한 행동마다 생성하는 것이지, 사건 발생 후 로그에서 재구성하는 것이 아닙니다.

Agent tries:   git push --force origin main
ThumbGate:     BLOCKED — "Never force-push to a protected branch"
               Pattern matched: git push --force → main
...

이 차단 라인이 감사관에게 건네줄 것입니다.

규제 대상 팀을 위해

동일한 엔진은 규제 대상 업무를 위한 정책 템플릿을 담고 있습니다. 여기에는 법률 상담(무단 변호 행위 차단, 이해 상충 확인 필요), 금융 컴플라이언스(AI 생성 권장 사항 및 공개 자료 게이팅), 그리고 의료(진단 방지, HIPAA 준수 라우팅 강제)가 포함되며, 조직(org) 수준에서 컴플라이언스 감사 내보내기 기능을 제공합니다. 핵심은 특정 규칙 자체가 아니라, 'AI 에이전트가 중요한 일을 했다'는 것이 더 이상 기록되지 않은 사건이 아니게 된다는 점입니다.

솔직한 버전

ThumbGate는 사용자의 에이전트를 더 똑똑하게 만들지 않으며, 그 자체로 거버넌스 프로그램도 아닙니다. 여전히 정책, 소유권, 검토가 필요합니다. 이 도구가 제거하는 것은 회의실에서 나오는 최악의 답변입니다: 'AI가 했고, 무엇을 할 수 있었는지 기록이 없다.' 이는 행동 시점에 결정론적 승인 단계를 되돌려 놓으며, 그 단계가 흔적을 남기게 합니다.

이는 로컬 우선(local-first) 방식이며 MIT 라이선스를 따릅니다. npx thumbgate init 명령어를 사용하면 약 30초 만에 Claude Code, Cursor, Codex, Gemini CLI, Amp, Cline, 또는 OpenCode에 연결할 수 있습니다.

만약 감사관이 내일 와서 귀하의 AI 에이전트가 무엇을 통제하고 있는지 — 그리고 그 증거가 어디에 있는지 — 묻는다면, 무엇을 보여주시겠습니까?

저장소(Repo): https://github.com/IgorGanapolsky/ThumbGate