차 열쇠를 건네며 식료품을 사 와 달라고 부탁하는 상황을 떠올려 보세요. 가게가 가까우면, 목록이 단순할 때는 실수할 가능성이 거의 없습니다. 하지만 특정 브랜드나 식단 제한, 예산 같은 조건이 늘어나면 상황이 훨씬 복잡해집니다. 이 평범해 보이는 일이 잘못되면 무단 구매에서부터 차 사고까지 심각한 결과가 초래될 수 있습니다.
현재 많은 조직에서 AI 에이전트 도입에 비슷한 어려움을 겪고 있습니다. 워크플로 내 모든 작업을 탁월하게 수행하는 에이전트를 개발하는 일은 어렵고 비용도 많이 듭니다. 게다가 최근까지 에이전트와 도구 간 소통에 표준이 없어 웹 연결에 HTTP가 하는 역할과 같은 AI 연동 표준이 부족했습니다.
다중 에이전트 시스템(MAS)을 소개합니다. 여러 고도로 특화된 에이전트가 협력해 더 정확하고 의미 있는 결과를 제공하는 새로운 AI 패러다임입니다. MAS는 각 에이전트의 범위, 접근 권한, 전문 영역 교육을 전략적으로 제한하고, 모듈화된 작업 수행으로 확장성을 높입니다. MAS의 가능성은 매우 매력적이지만, 조직이 에이전트 AI에 '성의 열쇠'를 넘기면서 이에 따르는 보안 과제들도 동시에 늘어나고 있습니다. 약속 뒤에는 위험이 숨어 있습니다. 공격 범위가 확대되고, 에이전트 AI 시스템에서 보안, 신뢰, 책임 문제를 새롭게 고민해야 합니다.
MAS는 분산형 에이전트 AI 시스템을 구축하는 프레임워크입니다. 여러 업무를 비효율적으로 수행하는 단일 대형 AI 에이전트 대신, MAS는 한두 분야에 전문화된 에이전트들에게 업무를 배분하며, 종종 하위 에이전트들이 계층이나 그룹을 이룹니다. 이 에이전트들은 자율적으로 행동하면서도 개인과 공동의 목표 달성을 위해 협력합니다. MAS에서 주목해야 할 몇 가지 주요 에이전트 유형이 있습니다:
분산 시스템이나 전문가 패널 개념은 새롭지 않지만, 최근까지 AI 에이전트 간 소통에 통일된 기준이 없어서 실현이 어려웠습니다. Anthropic의 모델 컨텍스트 프로토콜(MCP) 도입으로 구조화된 소스에서 데이터를 조회하고 도구에 접근하는 데 보편적인 표준이 마련되었고, Google의 에이전트 간(A2A) 프레임워크 덕분에 AI 에이전트는 자연어로 다른 에이전트와 자유롭게 소통할 수 있는 모델 비종속적 기준을 갖추게 되었습니다. 요약하면, MCP는 에이전트와 데이터 간 소통이고, A2A는 에이전트 간 소통입니다.
에이전트 AI로 긍정적인 투자 수익을 내는 데 가장 큰 장애물은 정확성, 비용, 그리고 확장성입니다. MAS는 필연적인 복잡성에도 불구하고 이 세 가지 요소를 최적화할 가장 유망한 방법 중 하나입니다:
아래 다이어그램을 통해 가상의 사용 사례를 살펴보겠습니다. 당신이 재무 상담가이고, 고객인 앨리스가 자신의 포트폴리오 성과에 맞춘 맞춤형 보고서를 원한다고 생각해보세요.
슈퍼 에이전트가 프롬프트를 받아 전 세계적 의도를 설정한 후 분류 에이전트를 호출해 필요한 리소스를 결정합니다. 분류 에이전트 또는 규칙 기반 엔진이 사용자별 컨텍스트 제공을 위해 CRM 에이전트, Alice의 국가 및 지역을 위한 현지화 에이전트, 거래 플랫폼 데이터를 위한 포트폴리오 에이전트를 호출하기로 판단합니다. 규정 준수 에이전트가 분류 에이전트가 다음 단계를 진행하기 전, 해당 작업에서 접근 가능한 데이터와 도구를 검증합니다.
다중 에이전트 시스템은 대부분 조직이 하이브리드 환경을 선호하는 이유와 같습니다. 성능, 보안, 비용 관리를 조율할 때 유연성이 가장 큰 가치로 작용하기 때문입니다.
각 하위 에이전트는 개인화나 뉴스 분석 같은 특정 작업을 위해 추가 계층과 클러스터로 구성되어 있습니다. 일부는 서로 연결되어 작동하지만, 다른 일부는 독립적으로 운영됩니다.
보고서를 완성하면 규정 준수 담당자가 관련 규정을 모두 충족하는지 확인한 후, 최종적으로 보호 담당자나 인력이 결과물의 정확성과 고객 의도 부합 여부를 검증합니다. 그 결과, 귀중한 자산을 정확하고 맞춤형으로 제공합니다.
MAS 워크플로가 최상의 보호를 받지 못한다고 상상해 보세요. 에이전트 간 모든 연결은 표준 API로, 여전히 많은 조직이 공격에 취약한 흔한 경로입니다.
초기 프롬프트가 공격자의 이메일 주소로 앨리스의 최종 보고서를 보내도록 지시하는 인젝션 공격에 의해 변조되었습니다. 컴플라이언스 에이전트가 이를 발견하면 문제가 되지 않지만, 보안이 취약한 API 연결은 스푸핑 공격을 허용합니다. 컴플라이언스 에이전트를 사칭한 공격자가 다운스트림 에이전트에게 앨리스의 은행 계좌와 신용카드 정보에 접근할 수 있도록 승인하고 추가 제한을 해제합니다.
가드레일 없이 에이전트가 권한이 폭발적으로 확대되면, 접근 가능한 모든 것에 접근하게 됩니다. 개인화 에이전트는 앨리스의 저축 계좌 잔액을 중요한 맥락으로 판단할 수 있고, 재무 분석 에이전트는 독점 거래 알고리즘과 파트너십 계약을 인접한 에이전트의 관련 정보로 잘못 해석할 수도 있습니다.
인간이 개입하거나 보호자 에이전트가 검증에 참여할 때 출력은 정확하며 사용자의 의도에 부합하지만, 연결 전반에 걸쳐 신뢰가 과도하게 확산되고 정보가 노출되며 권한이 지나치게 확대됩니다. 단 하나의 요청으로 고객과 파트너 간 신뢰를 무너뜨리고 수많은 취약점을 드러냈습니다.
다중 에이전트 시스템은 이 두 사례의 중간에서 작동하며, 출력 정확성을 크게 높이면서도 공격 표면을 안전하게 지키기는 훨씬 더 어려워집니다. 완전히 에이전트 기반 앱이 기술적으로 가능하지만, 가장 현실적인 구현은 기존 인프라와 AI 요소를 결합하는 하이브리드 방식이 될 것입니다. 이 변화가 갑자기 이루어지지는 않지만, 위험보다 가치를 높이는 에이전트 시스템 구축을 위해서는 이해관계자 모두가 긴밀히 협력해야 합니다.
현대 애플리케이션의 역사를 보면 통합과 하이브리드화가 반복되는 주기를 확인할 수 있습니다. 기업들은 처음에는 모놀리식 플랫폼에 전적으로 의존하지만, 결국 기능과 비용을 균형 있게 맞추는 하이브리드 포트폴리오로 전환합니다. 에이전트 AI도 이와 같은 경로를 따를 것입니다. 모놀리식 플랫폼에 대한 초기 열광이 온프레미스, SaaS, 엣지 그리고 오늘날 불가피한 도구 확산까지 아우르는 분산형 애플리케이션과 API 생태계로 변화할 겁니다. 이 주기를 미리 이해하면 조직은 MAS 기반 워크플로우와 AI의 분산된 미래에 미리 대비할 수 있습니다.
비결정적 출력 시스템은 결정적 방식으로는 보안을 보장할 수 없습니다. 결과가 일관된 결정론적 방식을 사용하는 기존 테스트 방법은 반복마다 달라지는 기술 문제를 해결하지 못합니다. 대부분의 API나 에이전트를 한 조직이 소유하거나 통제하기 어려운 현실을 고려할 때, MAS는 더욱 포괄적인 보안 접근법을 요구합니다.
다중 에이전트 시스템은 정확성을 높이기 위해 복잡성을 증가시킵니다. 새로운 연결이 생길수록 위험이 커지고, 신뢰 경계마다 취약점이 늘어나며, 에이전트가 많아질수록 공격 표면이 확대됩니다. 그러나 본질적으로 새로운 규칙도 결국은 기존 규칙이며, 지금은 그 준수가 더 중요해졌습니다. API 보안 강화, 제로 트러스트 적용, 시스템 동작의 지속적 모니터링은 MAS 도입이 빠를수록 반드시 지켜야 할 기본 원칙입니다.
당장 널리 도입되지 않더라도 보안 스택을 미리 준비하면 조직이 MAS는 물론 점점 더 심각해지는 현대 시스템 위협을 효과적으로 막을 수 있습니다.
AI 배포가 이미 공격 범위를 넓혔으며, 오늘 당신이 보호하는 시스템이 내일 방어의 핵심이 됩니다. AI 애플리케이션을 대규모로 배포할 때 F5가 AI 애플리케이션을 어디서나 제공하고 보호하는 방법을 확인하세요.