ID 기반 보안의 붕괴, AI Agent 시대를 위한 Capability-based Security 전환 전략

Context

인간 중심의 Zero Trust 모델은 안정적인 신원(Identity)과 예측 가능한 액세스 패턴을 전제함. 자율적 AI Agent는 짧은 생명주기와 복잡한 하위 Agent 위임 구조를 가짐. 기존 ID 기반 인증 체계로는 기하급수적으로 증가하는 Agent의 요청을 검증하고 제어하기 불가능한 구조.

Technical Solution

• '누구인가(Identity)'에서 '무엇을 할 수 있는가(Capability)'로 보안 패러다임 전환
• 권한, 예산, 만료 시간이 포함되어 로컬 검증이 가능한 Capability Token 도입
• 하위 Agent 생성 시 권한을 수학적으로 축소하여 전달하는 Token Attenuation 메커니즘 적용
• 중앙 집중형 정책 엔진의 병목을 해결하기 위해 Gateway 단에서 토큰 기반 런타임 강제 적용
• L402 결제 표준을 통합하여 외부 Agent의 API 접근 권한을 경제적 경계 내에서 자동 제어
• 기존 ID Provider는 인간 사용자에게 유지하고 Agent 트래픽만 전용 게이트웨이로 분리하는 하이브리드 설계

Impact

• 단일 프롬프트당 최대 1,500회의 API 호출 및 수십 개의 하위 Agent 생성 시나리오 대응 가능

Key Takeaway

기계 간 상호작용이 주도하는 환경에서는 정적인 신원 확인보다 동적으로 제어 가능한 권한 토큰(Capability Token)의 소유 여부가 더 신뢰할 수 있는 보안 지표임.