이번 통합은 세 가지 실용적인 메커니즘을 기반으로 한다.
실버포트의 CSO인 론 레이신(Ron Rasin)은 이 철학을 간결하게 요약한다. "깊이 있는 ID 컨텍스트 없이는, 에이전트의 행동이 정당한지 아니면 지나친 권한 침해인지에 대한 정보에 기반한 실시간 판단을 내릴 방법이 없습니다. 이것이 바로 에이전트 보안이 근본적으로 ID 문제인 이유입니다."
에이전틱 AI(AI 에이전트)의 기업 도입 속도는 대부분의 ID 및 접근 관리(IAM) 시스템이 감당할 수 있는 수준을 넘어서고 있다. 마이크로소프트에 따르면, 포춘 500대 기업의 80% 이상이 로우코드 도구로 만든 활동성 에이전트를 배포 중이며, 직원의 29%는 이미 업무용으로 승인되지 않은 AI 에이전트를 사용하고 있다 . 이 숫자는 거버넌스가 감당할 수 있는 속도보다 빠르게 공격 표면이 확장되고 있음을 보여준다.
핵심 위험은 이미 바뀌었다. 초기 AI 우려는 허구 생성(할루시네이션), 편향, 유해 콘텐츠 같은 '콘텐츠 안전'에 집중되었다. 그러나 에이전틱 AI는 더 어려운 문제, 즉 '접근 통제'를 야기한다. 이 에이전트들은 스스로를 인증하고, 기업 데이터를 검색하며, 비즈니스 워크플로우를 촉발하고, 클라우드와 온프레미스 환경 전반의 시스템과 상호 작용한다 . 광범위한 권한으로 잘못 설정된 에이전트 하나가 데이터 탈취나 권한 상승의 직접적인 경로가 될 수 있다.
실버포트가 "개발자의 딜레마"라고 설명하는 상황이 문제를 더 키운다. 코파일럿 스튜디오에서 에이전트를 만드는 비즈니스 팀들은 빠르게 결과물을 보기 위해 개발 중에 광범위한 관리자 권한을 부여하곤 한다. 그렇게 과도하게 부여된 권한이 운영 환경까지 살아남아, 기존 IAM 도구로는 관리할 수 없는 지속적인 무단 접근 경로를 만든다 .
비밀번호, 다중 인증(MFA), 정적 역할 기반 접근 제어(RBAC) 같은 전통적인 ID 시스템은 예측 가능한 세션 안에서 로그인과 로그아웃을 반복하는 인간 사용자를 위해 설계되었다. API를 호출하고, 기계 ID를 가정하며, 여러 사용자를 대신해 순식간에 행동하는 AI 에이전트의 동적이고 프로그램적인 인증 체계 패턴을 이 시스템으로는 감당할 수 없다 .
실버포트의 코파일럿 스튜디오 통합은 ID를 에이전틱 AI의 통제 수단으로 삼으려는 업계 전반의 흐름 속에서 이루어졌다. 이 회사는 구글 클라우드의 에이전트 게이트웨이(Agent Gateway)와도 유사한 통합을 진행 중이며, 여기서는 에이전트가 API 및 외부 도구와 소통하는 과정에 대한 가시성과 통제력을 강화하는 데 무게를 두고 있다 . 마이크로소프트 자체적으로도 코파일럿 스튜디오를 위한 보안 강화 조치를 도입했다. 예를 들어 고정된 비밀 정보(시크릿)를 없애는 통합 ID 자격 증명(FIC: Federated Identity Credentials)과 IT 관리자가 위험한 맞춤형 에이전트를 차단할 수 있는 기능이 그것이다
. 그러나 실버포트의 접근법은 보안을 외부에서 관리하는 대신, 런타임 의사 결정을 에이전트 자체의 실행 흐름에 심는 방식으로 차별화된다.
이 통합 기술을 평가하는 보안 팀이 마주하는 실질적인 질문은 매우 단순하다. "한 에이전트가 취하는 모든 행동에 대해, 그 행동 이면에 누가 있는지 완전히 파악한 상태에서, 행동이 완료되기 전에 검사하고 통제할 수 있는가?" 실버포트의 판단은 명확하다. 이 질문에 인라인으로, 즉 접근이 허용되기 전에, 피해가 발생한 다음이 아니라 실행 시점에 답하는 것만이 에이전틱 AI가 배포되는 속도에 맞춰 확장 가능한 유일한 모델이라는 것이다.