AI 에이전트는 권한을 쥐어줄수록 똑똑해진다. 컴퓨터를 대신 조작하고, 이메일을 보내고, 코드를 실행할 수 있는 권한이 많을수록 할 수 있는 일이 늘어나기 때문이다. 그런데 그 권한을 100% 넘겨주면 어떤 일이 벌어질까? 2026년 1월, GitHub에서 가장 빠르게 성장하던 오픈소스 AI 에이전트 OpenClaw가 그 답을 보여줬다. 셸 명령 실행, 브라우저 제어, 이메일과 캘린더 관리까지 컴퓨터 앞에서 사람이 하는 거의 모든 일을 AI가 대신 해냈다. 사람들은 열광했고, 생산성은 폭발적으로 올라갔다. 하지만 그만큼의 권한이 곧 그만큼의 리스크라는 사실도 함께 드러났다. AI 에이전트가 어떻게 여기까지 왔는지, 그리고 기업이 이 강력한 도구를 도입하려면 무엇을 준비해야 하는지 살펴보자.

검색에서 에이전트까지, 3년간의 흐름

2022년 11월 30일, ChatGPT가 공개되었다. 두 달 만에 1억 명이 몰려들었고, 인류는 처음으로 “기계와 자연어로 대화하는 경험”을 했다. 하지만 곧바로 환각 문제가 터졌다. 미국의 변호사 스티븐 슈워츠가 ChatGPT가 만들어낸 가짜 판례를 법정에 제출한 사건이 대표적이다. LLM이 그럴듯한 거짓말을 한다는 사실이 드러나자, 업계는 RAG(Retrieval Augmented Generation)로 달려갔다. 외부 문서를 검색해서 LLM에게 먹여주면 환각이 줄어든다는 논리였다. 2023년부터 2024년 초까지, 거의 모든 기업 AI 프로젝트는 “RAG를 어떻게 잘 구현할 것인가”에 집중했다. 이 시기의 LLM은 본질적으로 “똑똑한 검색 엔진”이었다.

2024년, 판이 바뀌었다. LLM의 환각 문제가 상당 부분 개선되면서, 업계의 관심은 검색 대체에서 행동 실행으로 이동했다. 2024년 11월 Anthropic이 MCP(Model Context Protocol)를 오픈소스로 공개한 것이 결정적 전환점이었다. MCP는 AI 모델이 외부 도구와 데이터에 표준화된 방식으로 연결되는 프로토콜로, 흔히 “AI의 USB-C”로 비유된다. 이전에는 각 AI 모델마다 각 도구에 대한 개별 커넥터를 만들어야 했지만, MCP 하나로 모든 연결이 가능해진 것이다.

2025년은 Agentic AI 원년이었다. MCP가 공개되자 LLM의 역할이 근본적으로 바뀌었다. 더 이상 질문에 답하는 것이 아니라, LLM이 MCP를 통해 외부 도구에 연결되고, Anthropic이 Claude Code에서 선보인 Skills를 통해 특정 작업에 대한 전문 지식과 워크플로우를 동적으로 불러오는 구조가 자리 잡았다. 즉 LLM → MCP, SKILL 패턴이 확립되면서, AI가 스스로 판단하고 행동하는 Agentic AI가 본격적으로 가동되기 시작한 것이다. 2025년 3월 OpenAI가 MCP를 공식 채택하고, 4월에 Google이 합류하고, 이후 AWS, Microsoft까지 가세하면서 MCP는 사실상의 산업 표준이 되었다. 이메일을 보내고, 코드를 작성하며, 파일을 관리하고, 캘린더를 조정하는 — 말 그대로 “일을 하는 AI”가 현실이 된 해였다.

그렇다면 2026년은 무엇이 다른가? Agentic AI의 기술적 가능성은 이미 2025년에 증명되었다. 2026년의 핵심 과제는 기술이 아니라 신뢰와 통제다. 여기서 새로운 패턴이 부상한다. Auth → LLM → Tools. 에이전트에게 먼저 권한을 위임(Auth)하고, LLM이 판단하며, 위임받은 권한 범위 내에서만 도구를 실행하는 구조다. 2025년이 “AI가 무엇을 할 수 있는가”의 해였다면, 2026년은 “AI에게 무엇을 허락할 것인가”의 해로 전환되고 있다.

OpenClaw가 보여준 것 — 100% 권한 위임의 유혹

OpenClaw의 이야기를 좀 더 들여다보자. 오스트리아 개발자 Peter Steinberger가 2025년 11월 공개한 이 오픈소스 AI 에이전트는 사용자의 컴퓨터에서 셸 명령을 실행하고, 브라우저를 제어하며, 이메일과 캘린더를 관리하고, 메시징 앱을 통해 자율적으로 작업을 수행한다. 쉽게 말해, 컴퓨터의 모든 권한을 AI에게 100% 위임하는 구조다. 폭발적으로 성장한 이유는 단순했다. 진짜로 유용했기 때문이다.

문제는 앞서 언급한 보안이었다. 수백 개의 취약점이 발견되었고, 특히 치명적이었던 것은 악성 링크 클릭 한 번으로 원격 코드 실행이 가능한 취약점이었다. 보안 연구원 Jamieson O’Reilly는 실제로 외부에 노출된 인스턴스에 접근해 API 키, 봇 토큰, 전체 채팅 기록을 열람하고 시스템 관리자 권한으로 명령을 실행할 수 있었다. CrowdStrike는 잘못 구성된 OpenClaw를 “적으로부터 명령을 받을 수 있는 AI 백도어 에이전트”라고 평가했다.

OpenClaw 사태가 던지는 메시지는 단순하다. AI 에이전트의 유용성은 접근 권한에 비례하고, 보안을 위해 권한을 제한하면 기능이 무력화된다. 위험해야 유용하고, 안전하면 쓸모없어지는 역설이다. 이것이 바로 엔터프라이즈가 에이전트 도입을 망설이는 핵심 이유다.

왜 기존 방식으로는 에이전트를 통제할 수 없는가

여기서 근본적인 질문이 나온다. 기존 프로그램처럼 규칙을 만들어서 통제하면 되지 않나? 답은 “구조적으로 불가능하다”이다.

전통적인 소프트웨어는 알고리즘 기반으로 동작한다. if-then-else 규칙에 따라 예측 가능한 경로로 흐른다. 같은 입력에는 반드시 같은 출력이 나온다. 그래서 거버넌스나 권한 위임을 규칙으로 코딩하기가 용이하다. 대표는 A 문서에 접근 가능, 사원은 B 문서만 접근 가능 — 이런 조건 분기를 만드는 것은 전통적 프로그래밍의 기본이다.

하지만 LLM은 확률적 통계 기반으로 동작한다. 동일한 질문을 해도 매번 다른 답이 나올 수 있다. 이것을 통제하기 위해 사용하는 방법이 자연어로 된 컨텍스트, 즉 시스템 프롬프트를 주입하는 것이다. 여기서 문제가 발생한다. 자연어는 본질적으로 모호하다. 내가 머릿속에서 떠올리는 “가방”이라는 단어는 내 출근용 서류가방이지만, 아이에게 “가방 가져와”라고 하면 아이는 자기 책가방을 가져올 가능성이 높다. 바로 이 “가능성”이 확률이다. 거버넌스를 아무리 정교하게 자연어로 작성하더라도, LLM이 그것을 다르게 해석할 확률은 0이 될 수 없다.

더 심각한 문제가 있다. 프롬프트 인젝션이다. OWASP 2025 LLM 위협 목록에서 1위를 차지한 이 공격 기법은, 교묘한 지시문을 통해 LLM의 기존 규칙을 우회시킨다. OpenAI도 “프롬프트 인젝션은 완전히 해결되기 어렵다”고 공식적으로 인정한 바 있다. 빅테크가 만든 ChatGPT, Claude, Gemini조차 컴플라이언스로 막혀있는 것들을 우회할 수 있다. 아이에게 사탕으로 꼬셔서 말을 바꾸게 하듯, LLM도 충분히 교묘한 프롬프트로 설득당할 수 있다. 단지 좀 수고가 들어갈 뿐이다. Transformer 아키텍처가 근본적으로 바뀌지 않는 한, 이 우회 가능성이 0%가 되는 날은 오지 않는다.

권한 위임이라는 미해결 과제

에이전트를 기업에 도입할 때 부딪히는 첫 번째 벽은 권한 위임의 문제다. 앞서 설명한 확률적 시스템의 한계가 권한 위임에서 가장 첨예하게 드러난다. 에이전트의 “역할”이 대화 맥락에 따라 순간순간 변하기 때문이다. 읽기 전용 요청이 코드 생성으로 진화하면 갑자기 쓰기 권한이 필요해지는 식이다. 더구나 현실의 권한 관계는 인간 조직만큼이나 복잡하다. 어떤 데이터는 열람은 되지만 수정은 안 되고, 어떤 작업은 팀장 승인이 있어야만 진행되며, 특정 상황에서는 임시로 상위 권한이 부여되기도 한다. 이런 다층적이고 유동적인 권한 체계를 확률적으로 동작하는 에이전트에게 정확히 이해시키는 것은, 기술적 난제라기보다 본질적인 구조의 문제다.

두 번째 벽은 거버넌스다. 권한이 개인에게 부여되는 것이라면, 거버넌스는 조직 전체에 적용되는 규칙 체계다. 데이터의 분류, 접근 정책, 처리 절차, 사용할 도구의 제한, 법적 컴플라이언스까지 포함하는 포괄적 개념이다. 디지털 전환을 경험한 엔터프라이즈는 이미 거버넌스를 한 차례 이상 수립한 경험이 있다. 그러나 AI 전환에서의 거버넌스는 디지털 전환과 본질적으로 다르다. 확률적으로 동작하는 시스템에 결정적 규칙을 적용해야 하는 구조적 모순이 존재하기 때문이다. 실제로 대부분의 기업이 AI 에이전트에 대한 공식 거버넌스 정책 없이 운영하고 있는 것이 현실이다.

그래서 어떻게 해야 하는가 — 리스크를 비용으로 계산하는 용기

그렇다면 완벽한 거버넌스가 만들어지고, AI 에이전트가 100% 말을 잘 알아들을 때까지 기다려야 하는가? 그 상황은 절대 오지 않는다. Gartner는 2027년 말까지 에이전틱 AI 프로젝트의 40% 이상이 취소될 것이라 예측했다. 그 이유 중 상당수가 “불명확한 ROI”와 “부적절한 리스크 통제”다. 역설적으로, 완벽한 통제를 추구하다가 아무것도 하지 못하는 기업이 가장 큰 리스크를 안게 된다.

현실적인 접근법은 이렇다. 보안과 거버넌스의 기준을 약간 내리고, 감당할 수 있는 수준의 리스크를 비용으로 산출하는 것이다. 가령 3%의 오류 가능성이 있다면, 그 3%가 발생했을 때의 비용을 계산하고 감당할 수 있는지 판단하는 것이 차라리 나은 대안이다. 실제로 성공한 기업들의 공통점이 이를 증명한다. Capital One은 자동차 구매 리드 전환에 특화된 에이전트로 전환율을 크게 끌어올렸고, JPMorgan Chase는 투자은행 프레젠테이션 생성이라는 한정된 영역에서 에이전트를 배포했다. 범용 에이전트가 아닌, 특화된 작업 영역에서 강력한 거버넌스와 함께 시작한 것이다.

업계에서 제안하는 아키텍처도 같은 방향을 가리킨다. LLM이 의도를 해석하고 분류하되, 실제 실행은 규칙 기반의 결정적 코드가 담당하는 하이브리드 구조다. OWASP가 제안한 “최소 에이전시(least agency)” 원칙도 같은 맥락이다. 데이터 접근뿐 아니라 자율적 판단과 행동 범위 자체를 제한하는 것이다. 완벽하지 않지만, 충분히 실용적인 안전장치다.

지금이 시작할 때다

대부분의 기업이 AI 에이전트를 도입했지만, 성숙 단계에 도달한 기업은 극소수에 불과하다. 대다수의 기업이 “위험하니까 안 쓴다”와 “쓰고 싶은데 어떻게 해야 할지 모르겠다” 사이에서 머뭇거리고 있다.

하지만 이 머뭇거림의 대가는 크다. Gartner는 2026년 말까지 기업 애플리케이션의 상당수가 작업 특화 AI 에이전트를 통합할 것이라 전망했다. 싱가포르는 이미 세계 최초의 에이전틱 AI 거버넌스 프레임워크를 발표했고, NIST는 AI 에이전트 표준 이니셔티브를 가동했으며, EU AI Act는 2026년 8월부터 고위험 시스템에 대한 집행을 시작한다. 거버넌스의 창은 빠르게 닫히고 있다.

결국 승패를 가르는 것은 완벽한 보안이 아니라, 불완전함을 인정하고 움직이는 속도다. 새로 뽑은 직원이 실수할 가능성이 있다고 일을 시키지 않는 회사는 성장할 수 없다. AI 에이전트도 마찬가지다. 실수는 할 수 있지만, 그 실수를 감당할 수 있는 범위 안에서 일을 시키고, 경험이 쌓이면 범위를 넓혀가는 것이다. 지금 바로 Agentic AI를 구축하여 회사의 모든 구성원이 나만의 디지털 비서를 갖추어야 할 시점이다. 완벽한 통제가 아닌, 감당 가능한 리스크를 설계하는 것. 그것이 2026년 엔터프라이즈에게 필요한 현실적 전략이다.