블로그

다중 에이전트 시스템의 약속과 위협

마크 톨러 썸네일
마크 톨러
2025년 7월 31일 게재

차 열쇠를 건네며 식료품을 사 와 달라고 부탁하는 상황을 떠올려 보세요. 가게가 가까우면, 목록이 단순할 때는 실수할 가능성이 거의 없습니다. 하지만 특정 브랜드나 식단 제한, 예산 같은 조건이 늘어나면 상황이 훨씬 복잡해집니다. 이 평범해 보이는 일이 잘못되면 무단 구매에서부터 차 사고까지 심각한 결과가 초래될 수 있습니다.

현재 많은 조직에서 AI 에이전트 도입에 비슷한 어려움을 겪고 있습니다. 워크플로 내 모든 작업을 탁월하게 수행하는 에이전트를 개발하는 일은 어렵고 비용도 많이 듭니다. 게다가 최근까지 에이전트와 도구 간 소통에 표준이 없어 웹 연결에 HTTP가 하는 역할과 같은 AI 연동 표준이 부족했습니다.

다중 에이전트 시스템(MAS)을 소개합니다. 여러 고도로 특화된 에이전트가 협력해 더 정확하고 의미 있는 결과를 제공하는 새로운 AI 패러다임입니다. MAS는 각 에이전트의 범위, 접근 권한, 전문 영역 교육을 전략적으로 제한하고, 모듈화된 작업 수행으로 확장성을 높입니다. MAS의 가능성은 매우 매력적이지만, 조직이 에이전트 AI에 '성의 열쇠'를 넘기면서 이에 따르는 보안 과제들도 동시에 늘어나고 있습니다. 약속 뒤에는 위험이 숨어 있습니다. 공격 범위가 확대되고, 에이전트 AI 시스템에서 보안, 신뢰, 책임 문제를 새롭게 고민해야 합니다.

다중 에이전트 시스템이란 무엇입니까?

MAS는 분산형 에이전트 AI 시스템을 구축하는 프레임워크입니다. 여러 업무를 비효율적으로 수행하는 단일 대형 AI 에이전트 대신, MAS는 한두 분야에 전문화된 에이전트들에게 업무를 배분하며, 종종 하위 에이전트들이 계층이나 그룹을 이룹니다. 이 에이전트들은 자율적으로 행동하면서도 개인과 공동의 목표 달성을 위해 협력합니다. MAS에서 주목해야 할 몇 가지 주요 에이전트 유형이 있습니다: 

  • 슈퍼 에이전트 – MAS 내에서 워크플로를 조율하는 역할을 합니다. 중앙집중화 수준은 사용 목적에 따라 다르며, 일부 단순한 MAS 워크플로에서는 모든 에이전트에 동등한 자율권을 부여합니다. 
  • 분류 담당자 – 각 담당자가 작업을 효과적으로 수행하는 데 필요한 도구와 자원을 사용할 수 있도록 책임지는 리소스 관리자입니다. 
  • 가디언 에이전트 – 정확성을 검증하고 사용자의 의도를 반드시 반영하는 책임 계층 역할을 하는 검증자입니다. 

왜 이제 MAS가 가능해졌을까요?

분산 시스템이나 전문가 패널 개념은 새롭지 않지만, 최근까지 AI 에이전트 간 소통에 통일된 기준이 없어서 실현이 어려웠습니다. Anthropic의 모델 컨텍스트 프로토콜(MCP) 도입으로 구조화된 소스에서 데이터를 조회하고 도구에 접근하는 데 보편적인 표준이 마련되었고, Google의 에이전트 간(A2A) 프레임워크 덕분에 AI 에이전트는 자연어로 다른 에이전트와 자유롭게 소통할 수 있는 모델 비종속적 기준을 갖추게 되었습니다. 요약하면, MCP는 에이전트와 데이터 간 소통이고, A2A는 에이전트 간 소통입니다.

MAS 도입이 가까워진 세 가지 이유

에이전트 AI로 긍정적인 투자 수익을 내는 데 가장 큰 장애물은 정확성, 비용, 그리고 확장성입니다. MAS는 필연적인 복잡성에도 불구하고 이 세 가지 요소를 최적화할 가장 유망한 방법 중 하나입니다:

  1. 정확성 – 전문 에이전트가 워크플로 요구사항에 맞춰 조정 가능한 모듈식 위험 감소 및 품질 보증 계층을 추가합니다. MAS는 각 에이전트의 책임 범위를 좁히면서 단일 모델보다 환각이나 오해 가능성을 줄여줍니다(Yang et al., 2025).
  2. 비용 – 전문 에이전트들의 훈련 비용은 일반 에이전트와 차이가 있을 수 있지만, 분산 MAS 환경에서는 중복과 과잉처리 비율이 낮아 추론 비용이 줄어듭니다(Gandhi, Patwardhan, Vig, & Shroff, 2024).
  3. 확장성 – MAS는 AI 생태계에서 확장 방식을 근본적으로 바꿉니다. 전체 시스템을 바꾸거나 재학습시키는 대신, 에이전트를 모듈식으로 추가해 더 적은 비용으로 새로운 비즈니스 요구를 충족시킬 수 있습니다

MAS가 제대로 작동할 때의 효과

아래 다이어그램을 통해 가상의 사용 사례를 살펴보겠습니다. 당신이 재무 상담가이고, 고객인 앨리스가 자신의 포트폴리오 성과에 맞춘 맞춤형 보고서를 원한다고 생각해보세요.

슈퍼 에이전트가 프롬프트를 받아 전 세계적 의도를 설정한 후 분류 에이전트를 호출해 필요한 리소스를 결정합니다. 분류 에이전트 또는 규칙 기반 엔진이 사용자별 컨텍스트 제공을 위해 CRM 에이전트, Alice의 국가 및 지역을 위한 현지화 에이전트, 거래 플랫폼 데이터를 위한 포트폴리오 에이전트를 호출하기로 판단합니다. 규정 준수 에이전트가 분류 에이전트가 다음 단계를 진행하기 전, 해당 작업에서 접근 가능한 데이터와 도구를 검증합니다.

공공 부문 다이어그램

다중 에이전트 시스템은 대부분 조직이 하이브리드 환경을 선호하는 이유와 같습니다. 성능, 보안, 비용 관리를 조율할 때 유연성이 가장 큰 가치로 작용하기 때문입니다.

각 하위 에이전트는 개인화나 뉴스 분석 같은 특정 작업을 위해 추가 계층과 클러스터로 구성되어 있습니다. 일부는 서로 연결되어 작동하지만, 다른 일부는 독립적으로 운영됩니다.

보고서를 완성하면 규정 준수 담당자가 관련 규정을 모두 충족하는지 확인한 후, 최종적으로 보호 담당자나 인력이 결과물의 정확성과 고객 의도 부합 여부를 검증합니다. 그 결과, 귀중한 자산을 정확하고 맞춤형으로 제공합니다.

MAS에서 문제가 생기면 어떻게 해야 할까요?

MAS 워크플로가 최상의 보호를 받지 못한다고 상상해 보세요. 에이전트 간 모든 연결은 표준 API로, 여전히 많은 조직이 공격에 취약한 흔한 경로입니다.

초기 프롬프트가 공격자의 이메일 주소로 앨리스의 최종 보고서를 보내도록 지시하는 인젝션 공격에 의해 변조되었습니다. 컴플라이언스 에이전트가 이를 발견하면 문제가 되지 않지만, 보안이 취약한 API 연결은 스푸핑 공격을 허용합니다. 컴플라이언스 에이전트를 사칭한 공격자가 다운스트림 에이전트에게 앨리스의 은행 계좌와 신용카드 정보에 접근할 수 있도록 승인하고 추가 제한을 해제합니다.

가드레일 없이 에이전트가 권한이 폭발적으로 확대되면, 접근 가능한 모든 것에 접근하게 됩니다. 개인화 에이전트는 앨리스의 저축 계좌 잔액을 중요한 맥락으로 판단할 수 있고, 재무 분석 에이전트는 독점 거래 알고리즘과 파트너십 계약을 인접한 에이전트의 관련 정보로 잘못 해석할 수도 있습니다.

인간이 개입하거나 보호자 에이전트가 검증에 참여할 때 출력은 정확하며 사용자의 의도에 부합하지만, 연결 전반에 걸쳐 신뢰가 과도하게 확산되고 정보가 노출되며 권한이 지나치게 확대됩니다. 단 하나의 요청으로 고객과 파트너 간 신뢰를 무너뜨리고 수많은 취약점을 드러냈습니다.

현실은 정확성과 위험 사이 어딘가에 있습니다

다중 에이전트 시스템은 이 두 사례의 중간에서 작동하며, 출력 정확성을 크게 높이면서도 공격 표면을 안전하게 지키기는 훨씬 더 어려워집니다. 완전히 에이전트 기반 앱이 기술적으로 가능하지만, 가장 현실적인 구현은 기존 인프라와 AI 요소를 결합하는 하이브리드 방식이 될 것입니다. 이 변화가 갑자기 이루어지지는 않지만, 위험보다 가치를 높이는 에이전트 시스템 구축을 위해서는 이해관계자 모두가 긴밀히 협력해야 합니다.

보호를 위한 실행 계획

현대 애플리케이션의 역사를 보면 통합과 하이브리드화가 반복되는 주기를 확인할 수 있습니다. 기업들은 처음에는 모놀리식 플랫폼에 전적으로 의존하지만, 결국 기능과 비용을 균형 있게 맞추는 하이브리드 포트폴리오로 전환합니다. 에이전트 AI도 이와 같은 경로를 따를 것입니다. 모놀리식 플랫폼에 대한 초기 열광이 온프레미스, SaaS, 엣지 그리고 오늘날 불가피한 도구 확산까지 아우르는 분산형 애플리케이션과 API 생태계로 변화할 겁니다. 이 주기를 미리 이해하면 조직은 MAS 기반 워크플로우와 AI의 분산된 미래에 미리 대비할 수 있습니다.

  1. API 보안 – MCP 연결과 에이전트 시스템이 확산됨에 따라 API 보안 요구가 더욱 커지고 있습니다. 솔루션은 알려진 API와 미지의 API 모두를 포괄하며, 취약점을 실시간으로 감지하고 지속적인 가시성을 제공해야 합니다.
  2. 설명 가능 행동을 요구하세요 – AI “블랙박스”가 여전하지만, 범위를 의도적으로 제한한 에이전트와 프로그래밍 가능한 설명 가능 행동을 결합해 환각과 위험한 결과 추적을 개선할 수 있습니다. 에이전트의 출력을 실행 중 기록하고 문제 행동에는 표시를 하며, 무단 확산을 막기 위해 분석하십시오.
  3. 인간 개입(HITL) 정책을 수립하세요 – 중대한 영향을 미칠 수 있는 잘못된 결정, 준수를 위해 인간 관리가 필수인 경우, 그리고 확립된 프로토콜이 없는 예외 상황에 적용됩니다. 가디언 에이전트가 인간의 지능을 대체할 수 없으며 공격자에게 매력적인 목표가 될 수 있음을 명심하세요. 병목 현상을 방지하려면 HITL이 포함된 기존 규칙 기반 시스템이 위험을 일정 기준 이하로 유지하는 가장 안전한 방법입니다. 기준 이하 상황에서는 가디언 에이전트를 제한적으로 사용해 추가 위험 완화를 도모하되, 에이전트가 손상될 경우 최악의 시나리오와 그로 인한 위험 감소 효과를 반드시 평가해야 합니다.
  4. 민감한 데이터에 제로 트러스트 원칙 적용 – 최소 권한 원칙을 활용해 에이전트가 접근하고 공유할 수 있는 데이터를 제한하고, 권한 상승을 막기 위해 권한을 지속해서 검증하며, 각 단계와 모든 에이전트의 침해 가능성을 항상 대비하세요.
  5. 분산된 도구 통합 - 오늘날 빠르게 늘어나는 여러 에이전트 때문에 조각난 솔루션으로는 충분한 관찰성을 확보할 수 없습니다. 조직은 새로 확장된 공격 표면 전반에서 강력한 보안 태세를 유지할 수 있도록 필요한 도구와 가시성을 하나로 통합한 보안 플랫폼에 반드시 투자해야 합니다.

에이전트 확산을 적대적 팀 활동만으로 해결할 수 없습니다

비결정적 출력 시스템은 결정적 방식으로는 보안을 보장할 수 없습니다. 결과가 일관된 결정론적 방식을 사용하는 기존 테스트 방법은 반복마다 달라지는 기술 문제를 해결하지 못합니다. 대부분의 API나 에이전트를 한 조직이 소유하거나 통제하기 어려운 현실을 고려할 때, MAS는 더욱 포괄적인 보안 접근법을 요구합니다.

다중 에이전트 시스템은 정확성을 높이기 위해 복잡성을 증가시킵니다. 새로운 연결이 생길수록 위험이 커지고, 신뢰 경계마다 취약점이 늘어나며, 에이전트가 많아질수록 공격 표면이 확대됩니다. 그러나 본질적으로 새로운 규칙도 결국은 기존 규칙이며, 지금은 그 준수가 더 중요해졌습니다. API 보안 강화, 제로 트러스트 적용, 시스템 동작의 지속적 모니터링은 MAS 도입이 빠를수록 반드시 지켜야 할 기본 원칙입니다.

당장 널리 도입되지 않더라도 보안 스택을 미리 준비하면 조직이 MAS는 물론 점점 더 심각해지는 현대 시스템 위협을 효과적으로 막을 수 있습니다.

AI 배포가 이미 공격 범위를 넓혔으며, 오늘 당신이 보호하는 시스템이 내일 방어의 핵심이 됩니다. AI 애플리케이션을 대규모로 배포할 때 F5가 AI 애플리케이션을 어디서나 제공하고 보호하는 방법을 확인하세요.