에이전트에 꽂아둔 API 키가 구멍이다: RSAC 2026 보안 경고

RSAC 2026에서 Microsoft, Cisco, CrowdStrike, SentinelOne 4개사가 독립적으로 같은 결론을 냈다. AI 에이전트의 크리덴셜(API 키, 인증 토큰)이 신뢰되지 않은 코드와 같은 공간에 있는 것 자체가 취약점이라는 것이다. 에이전트가 외부 서비스를 직접 호출하는 순간, API 키 하나가 전체 워크플로우의 구멍이 된다.

왜 에이전트의 API 키는 더 위험한가

Cisco의 Jeetu Patel은 VentureBeat 인터뷰에서 에이전트가 '결과를 두려워하지 않는 십대처럼 행동한다'고 표현했다. 높은 지능이 있어도 행동에 대한 제약이 없다는 뜻이다. CrowdStrike의 George Kurtz는 AI 거버넌스를 기업 기술에서 가장 큰 공백으로 지목했다.

기존 보안 관행은 사람 사용자 기준으로 설계됐다. 에이전트는 다르다. MCP나 tool-use 구조에서 에이전트가 외부 서비스를 직접 호출할 때, 크리덴셜이 탈취되면 피해 범위가 단일 앱을 넘어 연결된 전체 워크플로우로 퍼진다.

RSAC 4개사 발언의 공통 결론은 하나다. 에이전트에 기존 접근 제어(access control)가 아니라 행동 제어(action control)를 적용해야 한다는 것이다. 접근 권한을 제한하는 것으로는 부족하고, 에이전트가 실제로 무슨 행동을 하는지를 감사해야 한다는 전환이다.

내 에이전트 코드에서 오늘 확인할 위험 패턴

개인 빌더 기준으로 가장 흔한 위험 패턴은 두 가지다.

• 하드코딩: 코드 파일에 API 키를 직접 입력한 경우. GitHub 공개 레포에 올리는 순간 노출된다.
• 단순 환경변수: .env 파일에만 넣고 격리 없이 에이전트가 직접 읽는 구조. 신뢰되지 않은 코드와 같은 실행 공간에 있으면 탈취 경로가 열린다.

RSAC에서 언급된 해결 방향은 크리덴셜 격리와 행동 감사 두 축이다. 빌더 입장에서 당장 할 수 있는 첫 번째 전환은 간단하다. API 키가 에이전트 코드와 같은 실행 공간에 있는지 확인하는 것이다.