AI 기능이 발전함에 따라 다음과 같은 개념이 생겨납니다. 인간이 아닌 정체성 (국민건강보험) 및 AI 에이전트 엔지니어링, 제품 및 시스템 설계를 비롯한 일상 업무에서 이러한 요소들이 점점 더 많이 나타나고 있습니다. 아키텍처 다이어그램, GitHub 토론, 개발자 스탠드업, 심지어 기능 사양에도 이러한 요소들이 포함되어 있습니다. LLM 기반 서비스는 "에이전트"로 분류될 수 있고, 지속적인 사용자 대면 시스템은 "ID"로 분류됩니다. 문제는 무엇일까요? 이러한 용어는 근본적으로 다른 것을 설명할 때 서로 바꿔 사용됩니다.
AI 에이전트는 AI/LLM 기반 소프트웨어 시스템입니다. 강력하고 자율적일 수 있습니다. 도구이기는 하지만 종종 신원으로 취급되지 않지만, 신원으로 취급되어야 합니다. 보안, 감독, 그리고 책임이 필요하지만, 의지반면, NHI는 시스템에 할당된 기계 또는 작업 부하의 정체성으로, 지속되고 적응하며 자신의 정체성과 유사한 방식으로 나타납니다. NHI를 행위자로 취급하는 것은 점점 더 복잡해지고 존재감이 커지는 NHI의 존재를 무시할 위험이 있습니다.
이 블로그에서는 이러한 용어의 실제 의미, 차이점, 그리고 특히 지능형 시스템을 구축하고 통합하는 팀에게 이러한 구분이 중요한 이유를 설명합니다.
AI 에이전트란 무엇인가요?
AI 에이전트는 대규모 언어 모델(LLM)로 구동되는 시스템으로, 의사 결정을 내리고, 작업을 관리하며, 실시간 입력에 동적으로 적응합니다. 이러한 시스템은 수동적인 도구를 넘어 자율적으로 실시간으로 적응할 수 있습니다.
AI 에이전트는 단순히 응답하는 데 그치지 않고, 실제로 조치를 취합니다. 사용자 입력을 기다리는 기존 시스템과 달리, AI 에이전트는 워크플로를 시작하고, API를 조율하고, 데이터베이스를 업데이트하고, 일정을 관리하고, 심지어 물리적 장치를 제어할 수도 있습니다. 개발자 도구와 고객 지원 시스템부터 스마트 홈 플랫폼과 제품 백엔드에 이르기까지 모든 것에 점점 더 많이 통합되고 있습니다. 예를 들어, AI 에이전트는 감정 분석을 기반으로 지원 티켓을 자동으로 에스컬레이션하고, 코드 검토 후 배포 파이프라인을 트리거하고, 실시간 센서 데이터를 기반으로 IoT 장치 설정을 조정할 수 있습니다.
대부분의 AI 에이전트는 일반적으로 다음 세 가지 핵심 특성을 공유합니다.
- 자율 – 지속적인 인간의 입력 없이 작동할 수 있습니다.
- 목표 지향적 행동 – 그들은 정의된 목표나 작업을 추구합니다.
- 환경 인식 – 그들은 입력을 처리하고 변화하는 맥락에 따라 행동을 조정합니다.
이러한 에이전트는 강력하고 지능적으로 보일 수 있지만, 여전히 설계된 인공물인 소프트웨어 시스템입니다. 이들은 정체성, 의도, 또는 자아의 연속성을 가지고 있지 않습니다. 특히 자연어로 상호작용할 때 인간처럼 느껴지는 방식으로 행동할 수 있지만, 근본적으로는 특정 기능을 수행하도록 설계된 프로그램을 기반으로 하는 작업 중심적인 시스템입니다. 이러한 차이점을 이해하는 것이 매우 중요합니다.
비인간 정체성(NHI)이란 무엇입니까?
인간이 아닌 정체성 (NHI)는 소프트웨어 및 시스템이 리소스에 액세스하는 데 사용하는 머신 또는 워크로드 ID입니다. API와 같은 엔터티에 할당됩니다. 서비스 계정컨테이너, 워크로드 및 IoT 기기. NHI의 목적은 자동화된 시스템 및 서비스가 사람의 개입 없이 분산 환경의 다른 구성 요소와 안전하게 상호 작용할 수 있도록 하는 것입니다. 데이터 전송, API 호출, 코드 배포, 워크로드 오케스트레이션 및 서비스 간 통신과 같은 작업을 지원합니다. NHI는 일상적인 업무 운영의 기반이 되며, 동적 멀티 클라우드 환경에서 인프라가 확장, 적응 및 자율적으로 작동할 수 있도록 지원합니다.
예를 들어, NHI는 CI/CD 파이프라인을 통해 코드를 프로덕션에 푸시하고, Kubernetes 포드를 통해 볼트에서 비밀을 가져오고, IoT 센서를 통해 클라우드 대시보드에 상태 지표를 보고하도록 허용할 수 있습니다.
높은 수준에서 NHI는 일반적으로 세 가지 핵심 특성을 공유합니다.
- 자동화 우선 – 수동 개입 없이 작동하도록 설계되었습니다.
- 시스템 통합 – 앱, 인프라 및 플랫폼에 밀접하게 내장되어 있습니다.
- 대량 및 단기간 – 이들은 종종 고속 및 대규모로 프로그래밍 방식으로 생성되고 파괴됩니다.
NHI는 그 중요성에도 불구하고, 인간 사용자 관리를 위해 구축된 기존 신원 시스템에서 종종 간과됩니다. NHI는 일반적으로 적절한 가시성, 거버넌스 또는 제어 기능이 부족하여 보안 위험이 커지고 있습니다. NHI는 의도나 인식이 없으며 지능적이지 않습니다. 하지만 NHI는 권한과 접근 권한을 보유하고 있으며, 이러한 권한이 침해될 경우 심각한 보안 위험으로 이어질 수 있습니다. NHI가 지속적으로 발전함에 따라 보안 및 운영 복원력을 유지하기 위해서는 NHI의 역할을 이해하고 효과적으로 보호하는 것이 필수적입니다.
비인간 신원과 AI 에이전트 간의 주요 차이점
AI 에이전트는 국민건강보험(NHI)이 아니며, 국민건강보험처럼 취급되어서는 안 됩니다. AI 에이전트를 국민건강보험(NHI)이라는 범주에 포함하는 것은 부정확할 뿐만 아니라 보안 위험을 초래할 수도 있습니다.
서비스 계정 및 토큰과 같은 NHI는 설계상 예측 가능합니다. NHI는 특정 기능을 미리 정의된 방식으로 실행하도록 설계된 정적 도구입니다. 동작은 변하지 않으며, 지시 없이는 작동하지 않습니다. 이러한 예측 가능성 덕분에 기존 신원 프레임워크 내에서 모델링, 모니터링 및 관리가 가능합니다.
AI 에이전트는 근본적으로 다릅니다. 자율적입니다. 의도를 해석하고, 독립적으로 추론하며, 실시간으로 진화하는 결정을 내립니다. AI 에이전트의 행동은 정해진 스크립트가 아닌 자율적입니다. NHI와는 달리 AI 에이전트는 놀라운 결과를 낼 수 있는데, 이는 부작용이 아니라 기능입니다.
AI 에이전트를 또 다른 유형의 것으로 취급합니다. 기계의 정체성 이러한 근본적인 변화를 무시하는 것은 잘못된 통제를 적용하고, 새로운 위험 요소를 간과하며, 궁극적으로 지능적으로 설계된 시스템에 대한 신뢰를 훼손할 위험이 있습니다. 우리는 이러한 기관들이 시대에 뒤떨어진 신원 확인 방식을 강요받는 것을 멈춰야 합니다.
AI 에이전트는 새로운 유형의 신원입니다. 수명 주기 거버넌스, 행동 모니터링, 실시간 개입에 대한 새로운 접근 방식을 요구합니다. 이는 단순히 지식의 문제가 아니라 보안의 문제임을 인지해야 합니다.
주요 차이점은 다음과 같습니다.
| 국민건강보험공단 | AI 에이전트 | |
| 그들이 무엇인지 | 시스템 또는 서비스에 대한 디지털 자격 증명 | AI 기반 작업 중심 지능형 시스템 |
| 주요 목적 | 머신이나 워크로드가 리소스를 인증하고 액세스할 수 있도록 합니다. | 결정을 내리고, 데이터에 따라 작업하고, 워크플로를 수행합니다. |
| 보안에 초점을 맞추다 | 자격 증명 관리, 액세스 제어, 수명 주기 | 동작 모니터링, 권한 및 컨텍스트 제한 |
| ID 라이프사이클 | 다음과 같이 구성됨 사용자 계정: 생성됨, 회전됨, 만료됨 | 독립형 ID가 아닙니다. NHI를 기반으로 구축됨 |
| 위험성 | 노출된 API 키, 사용하지 않는 서비스 계정 | 자율적 과잉 확장, 과도한 특권, 신속한 주입 및 오용 |
| 거버넌스 요구 사항 | 최소 권한, 자격 증명 위생 및 순환 | 가드레일, 설명 가능성 및 의도 제한 |
| 신원 보안 조정 | 적용 인증, 권한 부여 및 가시성 | 작업 범위, 검증 및 관찰성 강화 |
차이점을 아는 것이 중요한 이유
NHI와 AI 에이전트의 차이점을 이해하는 것은 환경과 사용자의 보안을 유지하는 데 매우 중요합니다. 둘을 동일하게 취급하면 한 계층은 보호하면서 다른 계층은 완전히 개방된 상태로 두는 위험이 있습니다. 자격 증명을 잠그면 에이전트가 해당 자격 증명으로 무엇을 하는지 모니터링하지 못할 수 있습니다. 또는 AI의 동작을 제한하면 장기적이고 과도한 권한이 부여된 NHI를 사용하고 있다는 사실을 간과할 수도 있습니다.
이 두 가지 위협 요소는 서로 다르며, 신원 보안 전략에서 이 두 가지를 별개의 개체로 다루지 않으면 심각한 취약점과 보안 위험을 제대로 관리하지 못하게 됩니다. 지금이 바로 NHI와 AI 에이전트의 차이점을 명확히 이해해야 할 때입니다. 이러한 가시성을 확보해야만 적절한 제어를 적용하고, 적절한 취약점을 해소하고, 이미 존재하는 위험에 앞서 나갈 수 있기 때문입니다.
