AI 에이전트가 이메일 발송, 결제 처리, 티켓 발행 등 실제 시스템에 영향을 미치는 행동을 수행할 때, 그 행동의 '권한'을 어떻게 안전하게 통제할 것인지는 중요한 보안 과제입니다. 최근 '가든(Guarden)'이라는 오픈소스 프로젝트가 이러한 문제 해결을 위해 공개되었습니다. 가든은 AI 에이전트의 행동을 실행 경계(action boundary)에서 강제하는 권한 부여 시스템으로, 에이전트가 어떤 방식으로 행동을 유발하든 관계없이 일관된 보안 정책을 적용합니다.
기존에는 AI 모델이 도구(tool)를 직접 호출하거나 함수 호출 루프를 통해 행동할 경우 SDK나 도구 래퍼(wrapper) 수준에서 권한을 제어할 수 있었습니다. 하지만 모델이 직접 코드를 작성하고 실행하는 경우(코드 인터프리터, 자율 코딩 에이전트 등)에는 이러한 방식으로는 통제가 어려웠습니다. 가든은 이 문제를 해결하기 위해 모든 행동을 '액션(Action)'이라는 단일 형태로 정규화(normalize)하고, 오픈 정책 에이전트(OPA) 기반의 정책 엔진을 통해 허용 여부를 결정합니다. 이 결정은 브로커(broker)라는 단일 지점에서 이루어지며, 오직 허용된 액션만 실제 도구 프록시(tool proxy)를 통해 실행됩니다. 또한, 샌드박스(sandbox) 내 코드에는 실제 자격 증명 대신 짧은 수명의 제한된 토큰이 부여되어 최소 권한 원칙을 준수합니다.
가든의 접근 방식은 AI 에이전트의 잠재적 위험을 효과적으로 관리하고, 기업들이 AI를 더욱 안전하게 도입할 수 있도록 돕는다는 점에서 중요합니다. 특히, 도구 스키마(tool schema)로부터 최소 권한 정책을 자동으로 생성하고, 인자(argument) 수준의 세밀한 제어 및 '누구를 대신하여(on-behalf-of)'와 같은 복잡한 조건까지 처리할 수 있어 실제 운영 환경에서의 활용 가치가 높습니다. 모든 결정은 변경 불가능한 감사 기록(audit trail)으로 남겨져 투명성을 확보하며, 이는 AI 시스템의 책임성(accountability)을 강화하는 데 기여할 것입니다. 이러한 보안 강화는 AI 에이전트가 금융, 의료 등 민감한 분야에서 더 폭넓게 활용될 수 있는 기반을 마련해 줄 것으로 기대됩니다.