회의실에서 가장 먼저 나오는 질문은 대개 모델이다. 어떤 LLM을 쓸지, 온프레미스가 맞는지, 내부망에서 돌릴 수 있는지부터 묻는다. 그러나 공공·금융 현장에서 진짜 쟁점은 모델이 아니다. 에이전트가 무엇을 읽고, 무엇을 호출하고, 무엇을 바꿀 수 있는지가 쟁점이다.
챗봇은 답을 낸다. 에이전트는 행동한다. 내부 지침을 검색하는 수준과 고객정보를 조회하고, 결재 초안을 만들고, 계정 권한을 요청하고, 대출 심사 보조를 수행하는 수준은 같은 AI 프로젝트가 아니다. 규제 산업에서는 이 차이를 먼저 갈라야 한다.
배포 전략은 모델이 아니라 권한에서 시작된다
공공·금융에서 에이전트를 “업무 자동화”로 부르면 판단이 흐려진다. 에이전트는 업무 시스템에 붙는 순간 하나의 운영 주체가 된다. 그래서 배포 단위는 기능 목록이 아니라 권한 묶음이어야 한다.
에이전트 배포의 1차 설계도는 프롬프트가 아니라 권한표다.
최근 공식 자료의 방향도 같다. 2026년 미국 재무부의 Financial Services AI Risk Management Framework 발표는 금융 AI를 수명주기, 책임성, 투명성, 회복탄력성 관점에서 관리하라고 못 박았다. 2025년 12월 금융위원회도 금융분야 통합 AI 가이드라인 개정 방향에서 거버넌스, 합법성, 보조수단성, 신뢰성, 금융 안정성, 신의성실, 보안성을 제시했다. 말은 다르지만 결론은 같다. 에이전트는 “쓸 수 있느냐”가 아니라 “어디까지 시켜도 되느냐”로 다뤄야 한다.
규제 환경의 에이전트는 네 단계로만 올린다
처음부터 실행 권한을 주는 배포는 실패 확률을 키운다. 규제 산업에서는 단계가 전략이다.
| 단계 | 에이전트 권한 | 허용 업무 | 배포 판단 |
|---|---|---|---|
| 1단계 | 읽기 | 규정 검색, 회의록 요약, 내부 지식 조회 | 데이터 접근 로그가 남는가 |
| 2단계 | 초안 작성 | 보고서, 답변, 심사 의견 초안 | 사람이 최종 책임을 지는가 |
| 3단계 | 제한 실행 | 승인된 API 호출, 티켓 생성, 알림 발송 | 사전 승인·사후 추적이 되는가 |
| 4단계 | 조건부 자율 실행 | 반복 운영 처리, 예외 탐지 후 조치 제안 | 중단·회수·롤백이 즉시 되는가 |
핵심은 3단계부터다. 도구 호출, MCP 연동, workflow orchestration이 들어가는 순간 보안팀과 준법팀의 질문이 달라진다. “답이 맞나”가 아니라 “잘못된 호출이 나가도 멈출 수 있나”를 봐야 한다.
영국 정부의 2026년 Integrated Agents 가이드는 배포 또는 활성화 전 책임자 확인과 서면 승인을 요구한다. Five Eyes 계열 보안기관의 2026년 agentic AI guidance도 낮은 위험 업무부터 점진적으로 배포하고, 회복탄력성·가역성·위험 containment를 효율보다 앞에 두라고 정리했다. 이 원칙은 공공·금융 배포 전략의 기준선이다.
운영 통제는 런타임에서 끝난다
많은 조직이 사전 심의 문서로 안심한다. 그러나 에이전트의 위험은 실행 중에 생긴다. tool description이 오염되고, 권한이 과하게 묶이고, 사람의 요청을 우회 해석하고, 로그는 남았지만 맥락은 사라진다.
금융보안원은 2025년 MCP 기반 에이전트 보안 위협을 설명하며 도구 설명 조작, 비정상 대출 승인, 공격자 계좌로의 자금 이체 같은 영향을 직접 언급했다. 대응도 명확하다. 사용자·도구·에이전트 인증, 인간 검토, 최소 권한, 실시간 모니터링, 의사결정 추적이 기본선이다.
AX 관점에서 운영 통제는 네 가지로 묶는다.
- Agent identity: 에이전트별 계정, 키, 권한을 분리한다.
- Tool boundary: 호출 가능한 도구와 파라미터를 업무별로 고정한다.
- Human gate: 고객 영향, 금전 이동, 권한 변경은 승인 없이 실행하지 않는다.
- Runtime audit: 입력, 검색, 판단, 호출, 결과, 사람의 개입을 한 흐름으로 남긴다.
샌드박스도 배포 전 테스트 환경이 아니라 운영 전략의 일부다. UK AISI의 Inspect Sandboxing Toolkit은 에이전트 평가에서 tooling, host, network 축으로 격리 수준을 나눈다. 이 구분은 그대로 운영 설계에 들어와야 한다.
참고
- U.S. Department of the Treasury, “Treasury Releases Two New Resources to Guide AI Use in the Financial Sector”, 2026. https://home.treasury.gov/news/press-releases/sb0401
- 금융위원회, “금융권 AI 협의회 개최 및 금융분야 AI 가이드라인 개정방향”, 2025. https://www.fsc.go.kr/no010101/85908
- 개인정보보호위원회, “생성형 인공지능(AI) 개발·활용을 위한 개인정보 처리 안내서”, 2025. https://m.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS217&mCode=D010030000&nttId=11439
- NSA 등 Five Eyes, “Careful Adoption of Agentic AI Services”, 2026. https://media.defense.gov/2026/Apr/30/2003922823/-1/-1/0/CAREFUL%20ADOPTION%20OF%20AGENTIC%20AI%20SERVICES_FINAL.PDF
- 금융보안원, “MCP 기반 AI 에이전트 보안 위협”, 2025. https://www.fsec.or.kr/bbs/detail?bbsNo=11700&menuNo=69
- UK Government, “AI Insights: Integrated Agents”, 2026. https://www.gov.uk/government/publications/ai-insights/ai-insights-integrated-agents-html
- UK AI Security Institute, “The Inspect Sandboxing Toolkit”, 2026. https://www.aisi.gov.uk/blog/the-inspect-sandboxing-toolkit-scalable-and-secure-ai-agent-evaluations
공공·금융의 에이전트 전략은 빠른 출시가 아니라 안전하게 권한을 넓히는 운영 체계를 만드는 일이며, 그 체계 설계가 AX Ops의 출발점이다. AX Ops 방법론 →