Cloudflare의 휘발성 에이전트 계정은 실제 신원 문제에 대한 진정한 해결책이다

에이전트 시스템 (agentic systems)을 구축할 때 가장 어려운 부분은 LLM 호출이 아닙니다. 보안 악몽을 초래하지 않으면서 에이전트에게 일관된 신원을 부여하는 것입니다. Cloudflare는 이 문제를 직접적으로 해결하는 기능을 방금 출시했으며, 이는 헤드라인이 시사하는 것보다 아키텍처적으로 더 흥미롭습니다.

실제로 일어난 일

Cloudflare는 AI 에이전트를 위한 임시 계정을 발표했습니다. 이는 에이전트가 프로그래밍 방식으로 생성, 사용 및 파괴할 수 있는 수명이 짧고 범위가 제한된 Cloudflare 계정입니다. 사용 사례는 트래픽 프록시 (proxying traffic), 외부 API 호출, DNS 처리, Workers 실행 등 실제 인터넷 기반 작업을 수행해야 하는 에이전트입니다. 이 모든 작업은 사용자의 기본 Cloudflare 계정과 연결되지 않으며 작업 수명 주기(lifecycle)를 넘어 지속되지 않습니다.

이것은 단순히 "TTL(Time To Live)이 설정된 토큰을 생성하는 것"이 아닙니다. 이는 API를 통해 프로비저닝되는 완전한 계정 수준의 격리 경계(isolation boundary)이며, 자체적인 Workers 네임스페이스, 자체적인 DNS 범위 및 자체적인 과금 컨텍스트를 가집니다. 에이전트의 작업이 끝나면 계정은 스스로 해제됩니다.

중요한 기술적 세부 사항

여기서 핵심적인 설계 선택은 **토큰 수준의 범위 지정 (token-level scoping)이 아닌 계정 수준의 격리 (account-level isolation)**입니다. 이 차이는 엄청나게 중요합니다.

토큰 범위 지정 액세스(대부분의 팀이 API 키로 기본 설정하는 방식)는 에이전트가 무엇을 할 수 있는지는 제한하지만, 에이전트가 수행하는 작업의 _폭발 반경 (blast radius)_은 격리하지 못합니다. 범위가 지정된 토큰을 가진 에이전트가 오작동하여 트래픽을 잘못 라우팅하거나, 속도 제한 (rate limits)을 초과하거나, IP가 차단되는 경우, 그 피해는 귀하의 계정에 미칩니다. 귀하의 평판, 할당량(quotas), 그리고 다운스트림 서비스와의 관계가 영향을 받습니다.

계정 수준의 격리는 휘발성 계정 자체가 폭발 반경이 된다는 것을 의미합니다. 에이전트가 Workers를 실행하거나, Cloudflare의 에지(edge)를 통해 트래픽을 프록시하거나, DNS 레코드를 생성하도록 허용할 수 있으며, 만약 에이전트가 어리석은 행동을 하거나 해킹을 당하더라도 그 피해는 격리됩니다. 상위 계정은 영향을 받지 않습니다. 휘발성 계정은 만료되고 가비지 컬렉션 (GC) 됩니다.

이는 운영체제 (OS)의 프로세스 격리 (process isolation) 뒤에 숨겨진 것과 동일한 논리입니다. 모든 서브프로세스 (subprocess)에 제한된 범위의 루트 권한 (root access)을 부여하는 대신, 각자의 UID를 가진 별도의 프로세스에서 실행하는 것과 같습니다. Cloudflare는 이 모델을 에이전트 인프라에 적용하고 있습니다.

과금 격리 (billing isolation) 또한 주목할 만합니다. 고객을 대신하여 에이전트를 실행하는 경우 (멀티 테넌트 (multi-tenant)), 각 에이전트의 리소스 소비를 단순히 집계된 로그에서 추정하는 것이 아니라 계정 수준에서 추적하고 할당할 수 있습니다. 이는 멀티 테넌트 플랫폼에서 비용 할당 (cost attribution)을 위해 실제로 유용합니다.

개발자에게 주는 의미

만약 여러분이 멀티 테넌트 AI 플랫폼 (multi-tenant AI platform) — 즉, 각 고객의 에이전트가 고객을 대신하여 작업을 수행하는 형태 — 을 구축하고 있다면, 아마 이미 신원 (identity) 문제에 부딪혔을 것입니다. 모든 것을 하나의 계정 아래에서 실행하거나 (나쁜 예: 공유된 피해 범위 (blast radius), 할당 불가), 고객별 자격 증명 (credentials)을 수동으로 관리하고 있을 것입니다 (나쁜 예: 운영 오버헤드, 자격 증명 확산 (credential sprawl)). Cloudflare의 휘발성 계정 (ephemeral accounts)은 Cloudflare의 서비스 영역에 닿는 모든 워크로드에 대해 더 깔끔한 제3의 선택지입니다.

에이전트 및 MCP 시스템의 경우: 오늘날 대부분의 에이전트 프레임워크는 네트워크 신원을 사후 고려 사항으로 취급합니다. 에이전트가 여러분의 API 키를 가져가면, 그저 에이전트가 이상한 행동을 하지 않기를 바랄 뿐입니다. 휘발성 계정은 에이전트에게 시간 제한이 있는 범위(time-bounded scope)를 가진 실제 기능적 신원을 부여하고, 갱신하지 않음으로써 이를 취소할 수 있는 방법을 제공합니다. 이는 실행 중인 개별 토큰을 취소하려고 시도하는 것보다 훨씬 더 나은 제어 평면 (control plane)입니다.

**RAG 파이프라인 (RAG pipelines)**의 경우 연결 고리가 덜 직접적이지만, 만약 여러분의 검색 에이전트 (retrieval agents)가 외부 서비스에 접속하거나, 에지 (edge)에서 응답을 캐싱하거나, Cloudflare Workers를 통해 데이터 소스로 프록시를 수행한다면 (이는 속도 제한 (rate-limit) 관리를 위한 실제 패턴입니다), 이제 새로운 인프라를 구축하지 않고도 작업별 또는 테넌트별 격리를 구현할 수 있는 경로를 갖게 된 것입니다.

더 깊은 함의는 다음과 같습니다: 이는 Cloudflare가 에이전트(agents)를 단순한 봇(bots)이 아닌, 일급 인터넷 시민(first-class internet citizens)으로 간주하고 도박을 걸고 있다는 점입니다. 그들에게는 단순한 키(keys)가 아니라 계정(accounts)이 필요합니다. 이것이 올바른 사고 모델(mental model)이며, 다른 인프라 제공업체들도 이를 따를 것으로 예상합니다.

오늘 해야 할 한 가지

Cloudflare 임시 계정 API 문서를 읽고 현재 귀하의 에이전트 신원 모델(agent identity model)과 비교해 보십시오. 구체적으로: 귀하의 에이전트 중 하나가 침해되거나 통제 불능 상태(runs amok)가 될 경우, 그 영향 범위(blast radius)는 어느 정도입니까? 만약 답변이 "내 계정 전체"라면, 그것이 바로 해결해야 할 문제입니다. 아직 배포하지 않더라도 휘발성 계정(ephemeral accounts)을 대상으로 프로토타입을 만들어 볼 가치가 있습니다.

AI 인프라에서 실제로 움직이고 있는 것들에 대한 일일 견해를 계속 팔로우하세요 — 과장 없이, 빌더(builders)에게 중요한 것만을 전달합니다.