AI 에이전트를 위한 거버넌스 접근

AI 에이전트는 이제 실제 인프라를 운영합니다. 배포하고, 디버깅하고, 명령을 실행합니다. 이제 질문은 에이전트에게 접근 권한을 줄지 여부가 아니라, 그 접근을 어떻게 통제할 것인가입니다.

Alpacon의 답은 사람에게 적용하는 것과 같은 모델입니다. AI가 당신의 통제 아래 인프라를 운영하게 하세요. 대부분의 접근 도구는 누가 들어오는지를 통제합니다. Alpacon은 무엇이 실행되는지를 통제합니다. 사람이든, CI 파이프라인이든, AI 에이전트든 시간이 제한되고 승인을 거치며 기록되는 동일한 작업 세션을 거칩니다.

에이전트에게 키만으로는 부족한 이유

AI 에이전트에게 SSH 키나 장기 토큰을 건네면 상시적이고 제한 없는 접근 권한을 주는 셈입니다. 정적 자격 증명과 같은 위험인데, 이제는 비결정적인 행위자의 손에 들어갑니다. 에이전트가 잘못된 지시를 받거나 탈취되면 피해 범위를 막을 방법이 없습니다.

Alpacon은 사람에게 하는 것과 같은 방식으로 에이전트의 상시 접근을 없앱니다. 에이전트는 거버넌스가 적용되는 ID로 연결되고, 모든 작업은 범위가 지정되고, 중요한 순간에 승인을 거치며, 기록됩니다.

에이전트는 거버넌스가 적용되는 ID입니다

AI 에이전트는 자체 뒷문을 갖지 않습니다. 에이전트는 Alpacon ID로 작동합니다. 대신 작업하는 사람이거나, 자동화를 위한 Application입니다. 따라서 사람 사용자와 동일한 ID, 역할 기반 접근, 감사 추적을 그대로 따릅니다.

에이전트는 **MCP(Model Context Protocol)**로 연결합니다:

  • 호스팅: MCP 클라이언트를 https://mcp.alpacon.io로 연결하고 브라우저에서 OAuth로 로그인합니다.
  • 로컬: Alpacon MCP 서버를 직접 실행합니다(uvx alpacon-mcp).

어느 쪽이든 AI에게 SSH 키나 VPN 자격 증명을 건네지 않습니다. Claude, Cursor, VS Code 등 MCP 호환 도구와 함께 작동합니다.

범위 통제: 작업 세션

에이전트가 명령을 실행하거나, 파일을 전송하거나, 터미널을 열기 전에 사람과 마찬가지로 작업 세션을 엽니다. 세션은 다음을 선언합니다:

  • 의도: 작업을 하는 이유 (예: “prod-web-1의 nginx 502 수정”)
  • 범위: 허용되는 작업(웹 터미널, 파일 전송, 명령 실행, 포트 포워딩, 권한 상승 중에서)
  • 서버: 접근할 수 있는 특정 머신
  • 만료: 접근이 자동으로 끝나는 시점

범위는 넘을 수 없는 상한입니다. 세션 범위를 벗어난 작업은 거부됩니다. 권한 상승도, 평소 권한이 있는 ID라도 마찬가지입니다. 잘못된 지시를 받거나 탈취된 에이전트라도 세션이 열린 범위를 넘을 수 없습니다. 기댈 수 있는 상시 권한이 없기 때문입니다.

전체 모델은 작업 세션을 참고하세요.

민감한 작업에 대한 실시간 통제

일상적인 작업은 세션 범위 안에서 실행됩니다. 민감한 작업은 진행되는 동안 통제됩니다:

  • **권한 상승(sudo)**과 기타 고위험 작업은 보류되어 사람 승인자에게 전달됩니다. 에이전트는 승인 또는 거부 결정이 날 때까지 기다린 뒤에야 작업이 실행됩니다.
  • 에이전트는 사람을 사칭할 수 없습니다. 사람의 다중 인증이 필요한 단계는 에이전트가 충족할 수 없으므로, 조용히 진행되는 대신 실제 사람에게 에스컬레이션됩니다. sudo with MFA를 참고하세요.
  • 모든 명령과 전송은 실행되는 동안 기록됩니다.

승인 요청은 워크스페이스와 알림을 통해 적절한 담당자에게 전달되므로, 중요한 작업에는 사람이 계속 관여합니다. 승인을 참고하세요.

Alpacon은 이 런타임 통제를 더 확장하여, 권한 작업뿐 아니라 더 많은 에이전트 작업을 자동으로 검토 대기시키고, 모든 작업을 진행되는 순간에 판단하는 방향으로 나아가고 있습니다.

사람과 에이전트를 위한 하나의 타임라인

사람, 파이프라인, 에이전트가 모두 동일한 작업 세션 모델을 거치기 때문에, 그 활동은 하나의 기록된 타임라인에 남습니다. 세션이 끝나면 Alpacon이 무슨 일이 있었는지 AI 위험 분석을 더합니다.

그래서 “지난 24시간 동안 prod-web-1에서 무슨 일이 있었나?”라고 물으면, 사람 명령, 에이전트 작업, CI 실행이 섞인 하나의 타임라인으로 답할 수 있습니다. 여기저기 흩어진 부분 로그를 꿰맞출 필요가 없습니다. 감사를 참고하세요.

다음 단계

최종 수정: