현장에서 이사회가 AI를 묻는 방식이 바뀌었다. 작년까지는 “어디에 쓸 수 있나”가 많았다. 지금은 “멈출 수 있나”, “누가 승인했나”, “사고가 나면 증거가 남나”를 묻는다. 질문의 결이 달라졌다는 것은 투자 검토의 기준이 달라졌다는 뜻이다.
에이전트는 챗봇이 아니다. 업무 시스템에 접속하고, 파일을 읽고, API를 호출하고, 결재 초안을 만들고, 때로는 다른 에이전트를 부른다. 이사회가 봐야 할 대상은 모델 성능이 아니라 권한을 가진 자동 행위자의 운영 체계다.
보안 질문은 모델이 아니라 권한에서 시작한다
에이전트 보안의 출발점은 “어떤 모델을 쓰는가”가 아니다. “그 에이전트가 무엇을 할 수 있는가”다.
OWASP Top 10 for Agentic Applications 2026은 에이전트의 주요 위험을 목표 탈취, 도구 오용, 권한 남용, 공급망 취약점, 메모리·컨텍스트 오염, 다중 에이전트 통신 실패 같은 범주로 정리한다. 공통점은 명확하다. 위험은 답변 문장보다 실행 권한에서 커진다.
이사회 질문은 이렇게 바뀌어야 한다.
| 낡은 질문 | 2026년에 필요한 질문 |
|---|---|
| 어떤 LLM을 쓰는가 | 어떤 업무 권한을 위임했는가 |
| 정확도는 어느 정도인가 | 실패했을 때 피해 반경은 어디까지인가 |
| 사람이 검토하는가 | 어떤 조건에서 사람에게 올라오는가 |
| 보안팀 검토를 받았는가 | 권한·로그·중단 장치가 운영 중인가 |
에이전트는 소프트웨어가 아니라 제한된 신원을 가진 내부 행위자로 다뤄야 한다.
이 관점이 없으면 PoC는 빠르지만 운영은 느려진다. 보안팀은 막고, 현업은 우회하고, 경영진은 ROI를 기다린다. 실제 병목은 기술 검토가 아니라 권한 설계의 부재다.
이사회는 네 가지 증거를 요구해야 한다
2026년의 거버넌스는 선언문으로 닫히지 않는다. IMDA의 Model AI Governance Framework for Agentic AI는 에이전트의 자율성, 인간 감독, 책임성, 안전장치를 함께 다룬다. WEF도 에이전트 거버넌스를 이사회 의사결정권과 연결해 설명한다. 방향은 같다. 거버넌스는 문서가 아니라 운영 통제다.
이사회가 요구할 증거는 네 가지다.
- Agent inventory: 어떤 에이전트가 어디서 돌고 있는지, 소유자는 누구인지, 연결된 도구는 무엇인지.
- 권한 경계: 데이터, 시스템, API, 외부 전송, 결재 행위에 대한 허용·차단 조건.
- Human-in-the-loop 조건: 모든 일을 사람이 보는 방식이 아니라, 위험 조건에서만 확실히 올라오는 설계.
- 감사 로그와 kill switch: 에이전트의 판단, 도구 호출, 데이터 접근, 중단 이력이 재구성되는지.
Microsoft의 2026년 에이전트 보안 글도 관찰 가능성, 거버넌스, 보안을 한 묶음으로 다룬다. Anthropic의 Claude Code 문서 역시 permissions, MCP 접근, hooks 같은 실행 통제 장치를 별도 주제로 다룬다. 시장의 방향은 이미 정해졌다. 에이전트 운영은 AgentOps와 보안 운영이 분리되지 않는다.
거버넌스는 승인 절차가 아니라 실행 구조다
많은 조직이 AI 거버넌스를 위원회로 이해한다. 위원회는 필요하다. 그러나 위원회만으로 에이전트를 통제하지 못한다. 에이전트는 회의 주기보다 빠르게 움직인다.
AX Ops 관점에서 에이전트 거버넌스는 세 층으로 설계한다.
- 전략 층: 어떤 업무에 자율성을 줄지, 어떤 업무는 금지할지 정한다.
- 운영 층: 배포, 권한 변경, 로그 점검, 사고 대응의 책임자를 고정한다.
- 기술 층: context engineering, memory 정책, tool orchestration, MCP 연결, 평가·모니터링을 통제한다.
여기서 핵심은 “허가받은 자율성”이다. 에이전트의 자율성을 없애면 생산성이 사라진다. 자율성을 무제한으로 주면 사고 반경이 커진다. 이사회가 승인해야 할 것은 AI 사용 여부가 아니라 자율성의 등급과 통제 조건이다.
참고: 이사회가 같이 볼 문서들
- OWASP, “Top 10 for Agentic Applications 2026”: https://genai.owasp.org/resource/owasp-top-10-for-agentic-applications-for-2026/
- Singapore IMDA, “Model AI Governance Framework for Agentic AI”, 2026: https://www.imda.gov.sg/-/media/imda/files/about/emerging-tech-and-research/artificial-intelligence/mgf-for-agentic-ai.pdf
- World Economic Forum, “Board playbook: governing agentic AI”, 2026: https://www.weforum.org/stories/2026/04/board-playbook-governing-agentic-ai/
- Microsoft Security Blog, “Observability, governance, and security shape the new frontier”, 2026: https://www.microsoft.com/en-us/security/blog/2026/02/10/80-of-fortune-500-use-active-ai-agents-observability-governance-and-security-shape-the-new-frontier/
- Anthropic Docs, “Claude Code Security”: https://docs.anthropic.com/en/docs/claude-code/security
- Cloud Security Alliance, “Agentic AI Autonomy Levels and Control Framework”, 2026: https://labs.cloudsecurityalliance.org/wp-content/uploads/2026/03/agentic-ai-autonomy-levels-control-framework-v2-csa-styled.pdf
요약하면, 2026년 이사회가 물어야 할 질문은 “AI가 똑똑한가”가 아니다. “권한을 가진 AI를 회사가 운영할 준비가 되었는가”다. 이 질문을 투자, 보안, 운영, 조직 책임까지 한 번에 닫는 구조가 AX Ops다. AX Ops 방법론 →