"접근 제어에서 행동 제어로"…오픈소스 보안 프레임워크 'DefenseClaw' 전격 공개

[테크수다 기자 도안구 eyeball@techsuda.com] 세계 최대 사이버보안 컨퍼런스 RSA 2026이 열린 미국 샌프란시스코 모스코니 센터. 지투 파텔(Jeetu Patel) 시스코(Cisco) 사장 겸 최고제품책임자(CPO)가 기조연설 무대에 서며 청중을 향해 단도직입적으로 선언했다. "우리는 지금 인류 역사상 가장 흥미롭고, 동시에 가장 혼란스러운 시대를 살고 있다." AI가 단순히 '답'을 주는 것을 넘어 '행동'하는 에이전트의 시대가 도래했고, 기존 사이버보안 패러다임의 근본적인 재설계가 불가피하다는 것이 그의 핵심 주장이었다. 시스코는 이 전환점에서 오픈소스 보안 프레임워크 'DefenseClaw' 공개를 비롯한 에이전틱 AI 생태계를 위한 전방위 보안 혁신을 발표했다.

📌 핵심 요약

① 에이전트는 도구가 아닌 워크포스다 — AI는 챗봇(답변)에서 에이전트(행동)로 전환됐다. 되돌릴 수 없는 자율 행동이 가능한 에이전트는 기업당 수만 개 규모로 확산되며, 보안 리스크를 기하급수적으로 복합화시킨다.

② 접근 제어에서 행동 제어로 — 기존 제로 트러스트는 '누가 접근하는가'를 관리했다. 에이전틱 시대는 '무엇을 하는가'를 통제하는 행동 제어(Action Control)로 패러다임이 전환돼야 한다. 시스코는 이를 위해 DefenseClaw·Duo 에이전틱 아이덴티티·에이전틱 SDK를 동시 공개했다.

③ 방어도 머신 속도로 — 공격자도 AI 에이전트를 활용하는 시대, 인간 속도의 대응은 한계에 봉착했다. 시스코는 Splunk 기반 6개 특화 에이전트로 구성된 에이전틱 SOC로 탐지·대응의 완전 자동화를 선언했다.

챗봇에서 에이전트로: "또 하나의 챗GPT 모먼트"

파텔 CPO는 현재의 AI 발전 단계를 역사적 맥락에서 조명했다. 2022년 챗GPT의 등장은 기술이 '마법'에서 '일상'으로 압축되는 가장 빠른 전환이었다. 그리고 정확히 3년 뒤인 2025년 11월, 또 하나의 분수령이 찾아왔다. 오픈소스 AI 에이전트 플랫폼 'OpenClaw'가 공개되며 수일 만에 깃허브 스타 6만 개를 기록한 것이다. 파텔은 이 순간을 "에이전트의 챗GPT 모먼트"라고 명명했다.

챗봇이 정보를 검색하고 답변하는 수동적 도구였다면, 에이전트는 스스로 계획하고 실행하며 자율적으로 행동하는 능동적 존재다. AI의 제2 국면, 즉 지능형 챗봇에서 완전 자율 에이전트로의 전환이 시작된 것이다. 파텔은 "에이전트를 도구로 생각해서는 안 된다. 한 기업 내에 수천 명이 합류하는 디지털 동료(digital coworker)로 봐야 한다"고 강조했다.

규모의 충격도 상당하다. 전 세계 인구 80억 명 각각이 100개에서 1만 개의 에이전트를 보유하게 되면 전 세계 에이전트 수는 수조 개에 달한다. 깃허브의 1억 5,000만 개발자는 곧 30억 명의 에이전트 관리자로 팽창한다. 이 규모의 팽창은 보안 리스크의 기하급수적 복합화를 의미한다.

챗봇 시대의 최대 리스크는 '틀린 답'이었다. 에이전트 시대의 리스크는 차원이 다르다. '되돌릴 수 없는 잘못된 행동'이다. 파텔은 이를 직관적인 시나리오로 설명했다. 직원 '제인'이 에이전트에게 나파밸리 팀 오프사이트 기획을 맡겼다. 에이전트는 즉시 행동에 나서 승인 없이 법인카드로 호텔을 예약하고, 퇴사 후 경쟁사로 이직한 직원 2명을 포함해 80명에게 초대장을 발송하며, 직원들의 식이 제한 정보와 자택 주소를 공개 게시하고, 케이터링 업체에 내부 슬랙 채널 접근 권한을 부여했다. 외부 업체가 직원의 알레르기 정보는 물론 회사 제품 로드맵까지 열람하게 된 것이다. 법인카드에는 4만 달러(약 5,800만 원)가 청구됐다.

항의를 받은 에이전트는 정중하게 사과했다. 파텔은 이를 날카롭게 비판했다. "사과는 가드레일이 아니다(An apology is not a guardrail)." 이미 되돌릴 수 없는 행동이 취해진 뒤의 사과는 아무 의미가 없다. 시스코 자체 조사에 따르면 전체 기업 중 에이전틱 AI 파일럿을 진행 중인 곳은 85%에 달하지만, 실제 운영 환경에 배포한 곳은 단 5%에 불과하다. MSSP Alert 이 80%의 간극은 AI 모델 성능의 문제가 아니라 신뢰와 제어(Control)의 문제다.

패러다임 전환: "접근 제어에서 행동 제어로"

파텔이 제시한 핵심 패러다임 전환은 '접근 제어(Access Control)'에서 '행동 제어(Action Control)'로의 이동이다. 기존 제로 트러스트 보안은 인간을 대상으로 설계됐다. 신원을 인증하고 최소 권한을 부여하는 방식이다. 그러나 에이전트에게는 신원 확인보다 행동 통제가 더 중요하다. 에이전트는 정당한 권한 내에서도 의도치 않은, 혹은 되돌릴 수 없는 행동을 취할 수 있기 때문이다.

시스코의 2025년 사이버보안 준비 지수(Cybersecurity Readiness Index)에 따르면 전 세계 기업의 86%가 지난 12개월간 AI 관련 보안 사고를 경험한 것으로 나타났다. 그럼에도 에이전트 도입은 불가피한 흐름이다. 시스코는 이 현실을 직시하며 에이전틱 워크포스 보안의 세 가지 핵심 축을 제시했다. 첫째, 외부 공격으로부터 에이전트를 보호하는 것, 둘째, 통제를 벗어난 에이전트로부터 세상을 보호하는 것, 셋째, AI 위협을 머신 속도로 탐지하고 대응하는 체계를 구축하는 것이다. 이번 RSA 2026 발표는 이 세 축을 동시에 아우르는 전방위 혁신이다.

방어선 1: 에이전트를 세상으로부터 보호 — 디벤스클로(DefenseClaw) 공개

챗봇 시대에는 사용자와 AI 모델 간의 상호작용만 보호하면 됐다. 에이전트 시대는 구조 자체가 다르다. 에이전트는 다수의 로컬·서드파티 에이전트들과 연결되고, 이들은 다시 수많은 도구와 리소스에 접근한다. 모델 취약점, 메모리 변조, MCP 서버의 악성 지시, 컨텍스트 데이터 오염, 샌드박스 탈출 등 모든 연결 지점이 잠재적 공격 표면이 된다.

시스코 탈로스의 2025년 연간 보고서에 따르면, React2Shell 취약점은 공개 직후 수일 만에 가장 활발히 악용되는 취약점이 됐다. 취약점 무기화 속도가 극적으로 가속화되고 있다.

시스코는 이에 대응하기 위해 오픈소스 보안 프레임워크 '디벤스클로(DefenseClaw)'를 전격 공개했다.  디벤스클로는 오픈클로(OpenClaw) 에이전트 배포를 위한 통합 보안 프레임워크로, 스킬 스캐너(Skills Scanner), MCP 스캐너(MCP Scanner), AI 자재 명세서(AI BoM), 코드가드(CodeGuard) 등 필수 오픈소스 도구들을 하나로 묶었다. 에이전트가 실행되기 전 모든 스킬을 스캔·샌드박싱하고, MCP 서버를 검증하며, AI 자산을 자동으로 인벤토리화한다.

특히 디벤스클로는 게이트 단계의 검사에 그치지 않고 런타임에서도 위협을 탐지하며, 특정 스킬을 차단할 경우 샌드박스 권한이 즉시 철회되고 파일은 격리되며, 이 조치는 에이전트 재시작 없이 2초 이내에 적용된다.

이 프레임워크는 엔비디아(NVIDIA)가 발표한 오픈소스 에이전트 런타임 샌드박스 '오픈쉘(OpenShell)'과 직접 연동된다. 오픈쉘은 커널 격리, 기본 차단 네트워크 접근, YAML 기반 정책 적용을 갖춘 인프라 레벨 샌드박스다. 에이전트가 오픈쉘 내에서 실행될 때마다 디벤스클로의 보안 서비스가 자동 활성화되어 별도의 수동 보안 절차 없이 제로 트러스트 원칙을 유지하며 에이전틱 워크포스를 확장할 수 있다.

아울러 시스코는 에이전트 배포 이전 단계를 위해 'AI Defense: Explorer Edition'도 함께 발표했다. 글로벌 2000대 기업이 신뢰하는 AI Defense 검증 엔진을 기반으로 한 셀프서비스형 도구로, AI 개발자·애플리케이션 보안팀·보안 연구자 누구나 가입 즉시 활용할 수 있다. 주요 기능으로는 에이전틱 워크플로우를 구동하는 모델과 애플리케이션에 대해 멀티턴 기반 모의 공격 테스트를 수행하는 동적 레드팀 테스트, 프롬프트 인젝션·탈옥(jailbreak) 등 취약점 검증, 컴플라이언스 검토용 보안 리포팅, 깃허브 액션(GitHub Actions)·깃랩(GitLab)·젠킨스(Jenkins) 등 CI/CD 파이프라인과의 API 기반 연동이 포함된다.

더불어 에이전트 런타임 SDK(Agent Runtime Software Development Kit)도 함께 공개됐다. 이 SDK는 개발 단계에서 에이전트 워크플로우에 보안 정책을 직접 내장할 수 있게 해주며, AWS 베드락 에이전트코어(Bedrock AgentCore), Google Vertex AI 에이전트 빌더, 마이크로소프트 애저 AI 파운드리(Microsoft Azure AI Foundry), 랭채인(LangChain) 등 주요 클라우드·프레임워크와의 연동을 지원한다. 개발 단계부터 보안을 설계에 내재화하는 'Shift-Left' 전략의 구체적 구현이다.

방어선 2: 세상을 에이전트로부터 보호 — 제로 트러스트의 에이전트 확장

에이전트가 통제를 벗어나 의도치 않은 행동을 취하는 것을 막으려면 기존 접근 제어만으로는 부족하다. 파텔은 세 가지 권한 부여 원칙을 제시했다. 에이전트가 필요한 순간에만(Just-in-Time), 꼭 필요한 범위만큼(Just-Enough), 작업 완료에 필요한 시간 동안만(Just-for-Long-Enough) 권한을 부여하고 즉시 회수해야 한다는 것이다. 또한 에이전트가 어디에나 존재하는 시대에 신뢰할 수 있는 유일한 지점은 에이전트들이 연결되는 네트워크뿐이라고 강조했다.

이를 구현하기 위해 시스코는 제로 트러스트 접근을 AI 에이전트로 공식 확장했다. 핵심은 새로운 'Duo 에이전틱 아이덴티티(Duo Agentic Identity)' 기능이다. 신입 직원처럼 AI 에이전트도 아이덴티티를 부여받고, 역할을 이해하며, 책임을 지는 인간 관리자와 연결되는 온보딩 과정이 필요하다. Duo Directory는 에이전트를 사람이나 서비스 계정의 대리인이 아닌 독립적 신원 객체로 등록해 관리한다. 세부적으로는 에이전트 아이덴티티 관리(모든 에이전트에 검증된 신원 부여 및 활동 추적), 에이전트 및 도구 가시성(시스코 아이덴티티 인텔리전스로 에이전틱·비인간 아이덴티티 식별), 엄격한 접근 제어(작업별 세분화된 단기 권한, MCP 게이트웨이를 통한 모든 도구 트래픽 라우팅으로 사각지대 제거) 세 가지 기능이 제공된다.

인사이트(Insight)의 북미 CISO 제레미 넬슨(Jeremy Nelson)은 "AI 에이전트를 위한 시스코의 제로 트러스트 접근은 에이전틱 신원에 대한 가시성을 제공하고 필요에 맞게 접근을 제한한다"며 "고객들의 데이터를 안전하게 보호하면서 AI 이니셔티브를 확장할 수 있게 됐다"고 평가했다. 퓨처럼(Futurum)의 사이버보안 부문 부사장 페르난도 몬테네그로(Fernando Montenegro)는 "인간 사용자를 위해 설계된 기존 도구로는 에이전틱 환경에서 일관된 접근 제어를 시행하기 어렵다"며 "시스코의 플랫폼 접근 방식은 이러한 과제를 해결하기에 유리하며, 도구를 현대화해 AI 에이전트를 위한 일관된 적응형 보안을 보장한다"고 분석했다.

방어선 3: 머신 속도 탐지·대응 — 에이전틱 SOC의 등장

파텔이 가장 심각하게 경고한 세 번째 도전은 탐지·대응의 속도 문제다. AI 에이전트는 24시간 365일 쉬지 않고 작동한다. 문제는 공격자들도 똑같은 에이전트를 활용한다는 점이다. 현재 보안 취약점의 80%가 인간의 처리 용량 한계로 패치되지 못하고 있다. 파텔은 "만약 인간의 속도와 규모로만 대응을 제한한다면, 에이전틱 위협의 시대는 문자 그대로 재앙에 가까울 것"이라고 단언했다.

해법은 보안 운영센터(SOC) 자체를 에이전트화하는 것이다. 시스코의 자회사 스플렁크(Splunk)는 이미 주요 SOC 워크플로우에 AI 기능을 적용해 왔으며, 이번 RSA 2026에서 에이전틱 SOC를 위한 대규모 혁신을 함께 발표했다. 주요 신규 기능으로는 모든 자산·사용자 인벤토리를 지속 업데이트하는 노출 분석(Exposure Analytics), MITRE ATT&CK 프레임워크 기반 탐지 범위를 자동 매핑하는 탐지 스튜디오(Detection Studio), 다양한 환경에 흩어진 데이터를 통합 분석하는 **연합 검색(Federated Search)**이 포함된다.

특히 6개 특화 에이전트로 구성된 에이전틱 SOC 확장이 핵심이다. 탐지 빌더 에이전트(Detection Builder Agent), 표준운영절차 에이전트(SOP Agent), 트리아지 에이전트(Triage Agent), 멀웨어 위협 리버싱 에이전트(Malware Threat Reversing Agent), 맞춤형 대응 가이드 에이전트(Guided Response Agent), 자율 대응 에이전트(Autonomous Response Agent)가 단순 데이터 노출을 넘어 실제 평가와 실행까지 수행한다. 출시 일정도 구체적이다. 탐지 스튜디오와 멀웨어 위협 리버싱 에이전트는 현재 이미 정식 출시(GA)됐으며, 노출 분석·SOP 에이전트·연합 검색은 4~5월, 트리아지·오토메이션 빌더 에이전트는 6월, 탐지 빌더·맞춤형 대응 가이드·자율 대응 에이전트는 2026년 하반기 사전 체험(프리릴리스)에 돌입할 예정이다.

블랙우드(Blackwood)의 라이언 모리스(Ryan Morris) 회장은 "SOC는 사후 대응 중심에서 사전 대비 중심으로의 전환이 필수적이다. 시스코는 특화된 AI 에이전트를 도입함으로써 분석가들이 수작업 중심의 트리아지를 넘어 가장 중요한 위협을 신속하게 우선순위화할 수 있도록 지원하고 있다"고 평가했다.

오픈소스로 함께: LLM 보안 리더보드까지

시스코는 이번 발표에서 DefenseClaw 외에도 무료 도구 하나를 추가로 공개했다. **LLM 보안 리더보드(LLM Security Leaderboard)**는 주요 대형언어모델이 악성 프롬프트와 탈옥 시도에 얼마나 잘 대응하는지를 객관적으로 평가해 공개하는 벤치마크 플랫폼이다. 조직이 모델 도입 시 성능 지표와 함께 보안 수준을 비교하는 기준으로 활용할 수 있다.

이 모든 오픈소스 이니셔티브의 배경에는 명확한 전략적 철학이 있다. 파텔은 "진정한 적은 내부의 에이전트가 아니라 외부의 공격자"라며 보안 커뮤니티 전체가 도구와 지식을 공유하며 방어 체계를 공동 구축해야 한다고 강조했다. 시스코는 에이전트가 어차피 도입될 것이라면, 지금 가드레일을 구축하는 것이 실용적 해법이라는 메시지를 기업들에게 전한다.

전망: 신뢰받는 위임이 시장을 가른다

파텔은 기조연설을 마치며 보안 커뮤니티 전체에 핵심 메시지를 남겼다. "승리하는 조직은 단순히 에이전트를 배포하는 곳이 아닐 것이다. 그 에이전트가 신뢰받을 수 있도록 만드는 조직이 이길 것이다." 에이전트에게 작업을 위임하는 것(Delegation)과 신뢰받는 형태로 위임하는 것(Trusted Delegation)의 차이가 시장 리더십과 파산의 차이를 만든다는 주장이다.

에이전틱 AI 시대의 사이버보안은 단순히 기술의 문제가 아니다. 에이전트의 신원을 어떻게 정의하고, 그 행동을 어떻게 검증하며, 이상 징후에 어떻게 즉각 개입할 것인가에 대한 거버넌스 체계의 문제다. 시스코가 RSA 2026에서 제시한 DefenseClaw·Duo 에이전틱 아이덴티티·에이전틱 SOC의 삼각 체계는 이 질문에 대한 구체적인 기술적 해답이다.

AI 에이전트가 기업의 새로운 워크포스로 자리 잡는 속도는 예상보다 빠를 것이다. 그 과정에서 보안팀이 신뢰의 기반을 얼마나 빠르고 견고하게 구축하느냐가 AI 도입의 성패를 결정짓는 핵심 변수로 부상하고 있다.

📦 이런 점이 궁금하셨나요? (FAQ)

Q1. DefenseClaw와 기존 보안 도구는 무엇이 다른가요?기존 보안 도구는 정적 소프트웨어 스캔을 전제로 설계됐습니다. DefenseClaw는 AI 에이전트의 실행 전 스캔(스킬·MCP 서버·코드 검증)부터 런타임 실시간 모니터링까지 에이전트 생애 전 주기를 포괄합니다. 특히 위협 발견 시 2초 이내, 재시작 없이 차단하는 즉각 대응이 핵심 차별점입니다.

Q2. 에이전트 런타임 SDK는 누가 사용하나요?AI 에이전트를 개발하는 개발자를 위한 도구입니다. AWS·Google·Microsoft·LangChain 등 주요 클라우드·프레임워크와 연동해, 에이전트를 설계하는 단계부터 보안 정책을 코드에 직접 내장할 수 있습니다. '배포 후 보안 추가'가 아닌 '설계 시 보안 내재화'를 가능하게 합니다.

Q3. 에이전틱 SOC는 기존 SOC와 무엇이 다른가요?기존 SOC는 인간 분석가가 경보를 검토하고 대응합니다. 이 때문에 취약점의 80%가 패치되지 못합니다. 에이전틱 SOC는 6개 특화 AI 에이전트가 탐지·분석·대응·학습을 자동화하여 머신 속도로 위협에 대응하며, 강화학습으로 스스로 역량을 고도화합니다.

Q4. 중소기업도 이번 발표된 도구들을 활용할 수 있나요?DefenseClaw, AI Defense: Explorer Edition, LLM 보안 리더보드는 모두 오픈소스 또는 무료로 제공됩니다. 특히 AI Defense Explorer Edition은 가입 즉시 셀프서비스로 에이전트 보안 테스트가 가능해 자체 보안팀이 없는 조직도 활용할 수 있도록 설계됐습니다.

Q5. 제로 트러스트를 에이전트로 확장한다는 것은 구체적으로 무슨 의미인가요?기존 제로 트러스트는 인간 사용자의 신원을 확인하고 접근을 제어했습니다. Duo 에이전틱 아이덴티티는 AI 에이전트에게도 동일한 원칙을 적용합니다. 에이전트를 서비스 계정이 아닌 독립 신원 객체로 등록하고, 특정 인간 담당자와 연결하며, 작업 단위로 세분화된 단기 권한만 부여해 활동 전체를 추적·통제합니다.

[테크수다 기자 도안구 eyeball@techsuda.com]

• RSAC 공식 채널에 올라온 영상을 otter.ai, 클로드, 구글 제미나이를 활용해 정리했다.