AI 에이전트 인증: 사용 사례와 신원 요구

2025년은 AI의 해로 자리 잡아가고 있습니다. LLM과 에이전트 경험의 급속한 성장과 함께, 우리는 종종 질문을 받습니다: 이 새로운 시대를 어떻게 받아들일까요? AI 에이전트 인증과 권한 부여의 새로운 사용 사례는 무엇일까요? 이 기사에서는 일반적인 에이전트 경험을 탐구하고, 보안 및 인증 시나리오를 지적할 것입니다.

ChatGPT 운영자 에이전트 인증 경험#

최근에 ChatGPT Operator를 구매하고 몇 가지 일반적인 워크플로를 탐색했습니다. 예를 들어 도쿄, 일본에서 숙박을 예약하는 것이었습니다. 운영자는 내가 제시한 요청에 따라 적합한 방을 찾는 것을 매우 쉽게 만들었습니다.

체크아웃 중에는 나에게 로그인하라고 요청한 후 다시 나에게 제어를 넘겼습니다.

이 경험은 나를 불안하게 만들었습니다. 내 제어 하에 있었고 에이전트가 대신 로그인할 수는 없었지만, 여전히 내 이메일과 비밀번호를 운영자의 브라우저에 입력해야 했습니다. 이는 운영자를 통해 이메일(또는 어떤 서비스)이 로그인된다면, 자격 증명이 쿠키에 저장된다는 것을 의미합니다.

OpenAI의 운영자는 사용자 자격 증명을 절대 저장하지 않으며 SOC II 같은 준수 표준을 따른다고 말합니다. 그러나 서드파티 에이전트가 외부 서비스와 상호작용할 때, 보안 위험은 상당히 증가합니다.

일반적으로 에이전트에게 계정 접근 권한과 자격 증명을 직접 주는 것은 좋은 생각이 아닙니다.

아직 개선의 여지가 많습니다. 다음 섹션에서는 다양한 인증 및 자격 증명 관리 접근 방식을 살펴보고, 그 장단점을 따져보겠습니다.

이 X Threads 에서 논의된 것처럼 말이죠.

자격 증명은 어떻게 처리되고 있으며, 보안 위험은 무엇인가요?#

AI 에이전트에게 직접 자격 증명 제공#

이 접근 방식에서는 AI가 사용자 대신 평문으로 자격 증명(예: 이메일과 비밀번호)을 입력합니다. 예를 들어, AI 에이전트가 로그인 세부 정보를 요청하고 이를 대신 입력할 수 있습니다.

그러나 이 방법은 민감한 정보를 노출할 수 있기 때문에 보안상의 위험이 있습니다. 필요한 경우, 패스워드 관리자 또는 비밀 관리 시스템을 통합하는 것이 더 안전합니다. 또한, 자격 증명이 저장되는 기간을 제한하여 유출 위험을 최소화할 수 있습니다.

대신 평문 자격 증명 대신 개인 액세스 토큰(PATs)은 비밀번호 또는 대화형 로그인 없이 접근을 허용하는 보다 안전한 방법을 제공합니다. PATs는 CI/CD, 스크립트 및 리소스에 프로그램적으로 접근해야 하는 자동화된 애플리케이션에 유용합니다. 보안을 강화하려면, PAT 범위를 제한하고 만료 시간을 설정하며 유출 및 계정 탈취 방지를 위해 폐기를 허용하는 것이 가장 좋습니다.

OAuth를 통한 사용자 위임#

OAuth (Open Authorization)는 웹에서 위임된 인증을 위해 널리 사용되는 표준입니다. 사용자는 로그인 자격 증명을 공유하지 않고 다른 서비스에서 자신의 데이터에 타사 애플리케이션이 제한적으로 접근하도록 허용할 수 있습니다.

본질적으로, OAuth는 안전한 접근 위임 문제를 해결합니다: 예를 들어, 여행 애플리케이션이 Google 캘린더를 읽을 수 있도록 권한을 부여할 수 있지만 Google 비밀번호를 주지 않습니다. 이는 사용자가 데이터 제공자(e.g. Google)로 인증하여 수행되며, 타사 애플리케이션에 사용자 자격 증명을 노출하지 않고 토큰을 발급합니다.

이 시나리오를 처리하는 더 좋은 방법은 ChatGPT Operator(또는 다른 에이전트)를 인증하여 비밀번호나 자격 증명 없이 Airbnb에서 읽고 쓸 수 있게 하는 것입니다. 운영자가 직접 로그인하게 두는 대신, 안전한 인증 절차를 통해 접근을 허용할 수 있습니다.

제 생각으로는, OpenAI Operator가 신뢰와 신원 보안을 강화하고자 한다면, 이를 실현할 수 있는 여러 방법이 있습니다.

1. 로그인 프로세스를 운영자 외부로 이동: ChatGPT Operator 외부에서 사용자 로그인 처리. 이는 사용자가 “[서비스]로 로그인” 버튼을 클릭하고, 서비스의 안전한 로그인 페이지로 리디렉션 되어 자신을 인증하게 한다는 뜻입니다. 예를 들어, Airbnb 플러그인이 있었다면, 사용자는 자격 증명을 입력하고 ChatGPT를 승인하기 위해 Airbnb의 웹사이트로 보내지게 될 것이며, 그런 다음 플러그인이 토큰을 받습니다. ChatGPT는 실제 비밀번호를 보는 대신 임시 접근 토큰이나 키만 받으며, 제한된 접근(예: “내 일정 읽기”)만 제공합니다.

2. AI 에이전트가 작업을 수행하기 전에 사용자가 승인 흐름을 완료하도록 함. 이 접근 방식은 통합, 마켓플레이스 및 연결된 서비스의 통합을 처리하는 많은 제품과 유사합니다.

   Notion 연결 페이지

   여기 또 다른 예는 슬랙의 Notion과의 마켓플레이스 통합처럼, 슬랙이 특정 작업공간에 대한 접근을 요청하고 이를 승인해야 하는 경우입니다.

동시에, 슬랙은 또한 이 과정에서 작업공간에 접근할 수 있도록 Notion을 승인하는 동의 페이지를 제공합니다.

ChatGPT Operator는 유사한 접근 방식을 채택하여 OAuth를 통합하고, 에이전트가 안전하게 여러 타사 서비스에 접근하도록 해야 합니다. 이를 통해 작업을 안전하게 수행할 수 있는 필요한 권한을 가진 접근 토큰을 얻을 수 있습니다.

중요한 작업을 위한 추가 인증#

AI 에이전트는 일상적인 작업을 독립적으로 처리할 수 있지만, 고위험 작업을 위해서는 추가 검증이 필요합니다. — 예를 들어, 자금을 송금하거나 보안 설정을 수정할 때 — 사용자는 다중 요소 인증(MFA)를 통해 자신의 신원을 확인해야 합니다. 이는 푸시 알림, 일회용 비밀번호(OTPs), 또는 생체 인증을 통해 이루어질 수 있습니다.

그러나 빈번한 추가 인증은 사용자의 불만을 초래할 수 있으며, 특히 너무 자주 트리거될 경우 더욱 그렇습니다. 따라서 에이전트 전용 경험은 이 새로운 패러다임 내에서 사용자 경험을 고려해야 합니다.

사용자 경험을 손상시키지 않으면서 보안을 강화하기 위해서는 적응형 인증 및 MFA가 사용되어 언제 추가적인 검증이 필요한지 판단해야 합니다. IP 변화나 이상 행동 같은 위험 기반 트리거는 불필요한 인증 요청을 최소화하는 데 도움이 됩니다.

다중 에이전트 생태계를 위한 연합 신원 및 SSO#

다중 에이전트 기업 생태계에서는 AI 에이전트가 종종 다양한 플랫폼 간에 상호작용해야 합니다. 인증을 간소화하기 위해, 사용자는 Okta, Azure AD, 또는 Google Workspace와 같은 아이덴티티 제공자(IdP)를 통해 한 번 인증합니다. 그런 다음 에이전트는 SAML, OpenID Connect (OIDC)을 사용하여 인증되며, 접근은 역할 기반(RBAC) 또는 속성 기반(ABAC) 접근 제어로 관리됩니다.

이 접근 방식은 여러 번 로그인해야 하는 필요성을 제거하면서, 중앙 집중화된 신원 관리를 통해 보안 및 준수를 강화합니다. 또한 동적 접근 정책을 허용하여 에이전트가 정의된 권한 내에서 작동하도록 보장합니다.

범위 및 권한 관리#

운영자와 에이전트가 사용자를 대신해 행동할 수 있으므로, 사람에게 충분한 제어를 제공하고 AI 에이전트 권한을 신중하게 정의하는 것이 중요합니다. 따라야 할 두 가지 주요 원칙은 다음과 같습니다:

1. 최소 권한 – 작업에 필요한 최소한의 권한만 부여합니다.
2. 시간에 민감한 접근 – 보안 위험을 줄이기 위해 접근 기간을 제한합니다.

Role-Based Access Control(RBAC) 은 특정 작업을 위한 특정 역할을 할당하여 에이전트의 범위를 관리하는 데 도움이 됩니다. 더 정밀한 제어를 위해, Attribute-Based Access Control(ABAC) 은 동적, 문맥 인식 권한 관리를 가능하게 하여 AI 에이전트가 필요한 시기에 필요한 것만 접근하도록 보장합니다.

Auth 와 MCP 서버 연결#

MCP는 AI 에이전트에게 더 많은 문맥 정보를 제공하여, 그들의 전반적인 성과와 사용자 경험을 개선하는 데 점점 더 인기를 끌고 있습니다.

MCP 서버와 인증의 관련성, 그리고 그 중요성은?#

이전에 MCP 서버가 무엇인지를 이해하기 위한 기사를 작성한 적이 있습니다.

MCP 서버는 모델 컨텍스트 프로토콜의 핵심 부분으로, AI 모델과 외부 데이터 소스 간의 다리 역할을 합니다. 이는 Slack, Gmail 및 Google 캘린더와 같은 서비스에서 실시간 쿼리와 데이터 검색을 가능하게 합니다. MCP 서버를 구축함으로써, 이러한 원격 서비스를 LLM에 연결하여 AI 기반 애플리케이션을 더 나은 컨텍스트와 스마트한 작업 실행으로 강화할 수 있습니다.

또한 Retrieval-Augmented Generation(RAG) 시스템과는 달리, 임베딩을 생성하고 벡터 데이터베이스에 문서를 저장할 필요 없이, MCP 서버는 사전 인덱싱 없이 데이터를 직접 접근합니다. 이는 정보가 더 정밀하고 최신일 뿐만 아니라, 보안을 손상시키지 않고 더 낮은 계산 오버헤드와 통합됨을 의미합니다.

참조: https://norahsakal.com/blog/mcp-vs-api-model-context-protocol-explained

MCP 서버를 사용하는 AI 에이전트의 경우, MCP 서버, LLM, 에이전트 및 사용자 간의 다중 상호작용이 발생합니다.

오늘날의 AI 주도 세계에서는 에이전트들이 여러 서비스를 관리하기 때문에, 여러 MCP 서버와의 통합 요구가 점점 더 높아지고 있습니다.

에이전트 인증이 부상 — 제품은 적응해야 함#

좋은 예로는 Composio.dev가 있습니다. 이것은 AI 에이전트와 LLM이 외부 앱 및 서비스와 연결하는 방법을 간소화하는 개발자 중심 통합 플랫폼입니다. '사용자 대신 행동하기 위한 AI 에이전트 인증'이라고 불리며, 기본적으로 AI 기반 제품에 쉽게 통합할 수 있는 MCP 서버(커넥터)의 컬렉션을 제공합니다.

인증 분야에 있지만, 현실은 더 넓은 CIAM(고객 신원 및 접근 관리) 분야의 작은 부분일 뿐입니다. 그들이 구축한 것은 실제로 MCP 서버(커넥터)의 컬렉션으로, 유용하지만 전체 CIAM 솔루션이 포함하는 것의 일부일 뿐입니다.

이전의 예시를 기반으로, 만약 Google Drive(원격 서비스)를 Airbnb 대신 MCP 서버로 간주한다면, 단지 서드파티 통합 그 이상이 됩니다 — 외부 데이터 소스로 역할을 합니다. 이는 에이전트가 컨텍스트 정보를 접근하고, LLM과 상호작용하며, 잠재적으로 생성, 읽기, 업데이트 및 삭제(CRUD) 파일에 대한 권한을 얻을 수 있도록 합니다.

그러나 핵심 인증 및 권한 부여 요구 사항은 동일합니다.

에이전트 제품의 인증을 처리하기 위해 Logto 사용#

Logto는 인증 및 권한 부여를 원활하게 만드는, SaaS 및 AI 에이전트 제품을 지원하는 다용도 CIAM 솔루션입니다. 다음은 그 이유입니다:

1. AI 에이전트 제품을 위한 관리형 인증 – Logto는 OAuth 2.0, SAML, API 키, 개인 액세스 토큰 및 JWT를 지원하여 여러 MCP 서버와의 손쉬운 통합을 가능하게 합니다. 표준 기반의 기초 덕분에 고유의 MCP 서버를 구축하여 Logto에 연결할 수도 있습니다.
2. 아이덴티티 제공자(IdP) 기능 – 제품이 사용자를 확보한 후, Logto는 IdP로 작용하여 서비스를 MCP 서버로 변환하고 AI 생태계로 통합할 수 있습니다.
3. 고급 권한 부여
   1. 사용지 역할 관리를 위한 역할 기반 접근 제어(RBAC)
   2. 세밀하고 동적인 접근 제어를 위한 커스텀 JWT 기반 ABAC
4. 보안 강화 – 다중 요소 인증(MFA) 및 스텝업 인증과 같은 기능은 중요한 작업의 안전성을 확보하고 에이전트의 안전성을 높이는 데 도움이 됩니다.

궁금한 점이 있으신가요? 연락하기 를 통해 Logto가 AI 에이전트 경험을 향상시키고 보안 요구 사항을 충족하는 방법을 알아보세요.