StartupXO
언어 설정

Language

인프라·개발도구

에이전트에게 SSH 키를 통째로 쥐여주고 있다, 자격증명 브로커의 공백

게시일: 2026-07-03

자격증명브로커에이전트보안최소권한시크릿관리개발도구

해결할 문제

코딩 에이전트가 git push나 API 호출을 하려면 사람 자격증명을 통째로 넘겨받는데, 프롬프트 인젝션이나 로그 유출 한 번이면 그 키가 그대로 새 나간다.

왜 지금인가

코딩 에이전트가 개발 팀의 일상 도구로 깔린 지금, 사람 계정에는 표준이 된 최소권한·단기 토큰·감사 로그가 에이전트에게는 통째로 비어 있다.

추천 인재

시크릿 관리와 IAM을 다뤄본 인프라 엔지니어, 에이전트의 도구 호출 구조를 아는 개발자, 보안 감사 요건으로 파고들 B2B 영업을 잘 아는 사람.

어떤 문제인가

해커뉴스 Show HN에 올라온 Ghbrk라는 도구가 정확한 지점을 건드렸다. AI 에이전트가 SSH 키와 API 토큰을 직접 만지지 않고도 git과 gh를 실행하게 해주는 브로커다. 도구 하나가 아니라 관행의 공백이 문제다. 지금 코딩 에이전트를 쓰는 팀 대부분은 홈 디렉토리의 SSH 키, 환경변수에 든 토큰, 전 권한 PAT가 그대로 보이는 셸을 에이전트에 쥐여준다. 에이전트가 악성 웹페이지의 프롬프트 인젝션에 속으면, 디버그하다 로그에 토큰을 찍으면, 그 키는 그대로 샌다. 사람 직원에게는 최소권한과 수명 짧은 토큰과 감사 로그가 표준인데, 에이전트라는 새 ‘직원’에게는 입사 첫날 마스터키 꾸러미를 통째로 넘긴다. 유출돼도 어느 호출에서 샜는지 되짚을 기록조차 없다.

왜 지금인가

코딩 에이전트가 데모를 벗어나 매일 커밋하고 배포하는 단계로 넘어왔다. 에이전트 하나가 사람 한 명 몫의 자격증명을 요구하기 시작했는데, 보안팀의 장비는 아직 사람 계정 기준에 머물러 있다. 시크릿 매니저는 키를 보관해줄 뿐, “이 키를 쥔 프로세스가 무슨 명령을 치는가”는 보지 않는다. 그 틈에 Ghbrk 같은 단일 도구가 등장해 주목받는다는 것 자체가 신호다. 개인 개발자의 임시방편이 표준 인프라 계층으로 올라가기 직전의 공백, 컨테이너 시대의 초기 오케스트레이션 도구들이 지나온 바로 그 자리다. 지금 들어가면 관행이 굳기 전에 기본값을 차지할 수 있다.

어떻게 만들 수 있나

에이전트에게 키 대신 브로커의 소켓만 노출한다. 에이전트가 “이 리포에 push”를 요청하면 브로커가 정책을 평가하고, 리포 범위, 브랜치, 명령 화이트리스트, 빈도 제한, 통과한 요청만 볼트에서 단기 자격증명을 꺼내 대신 실행한 뒤 결과만 돌려준다. 키는 에이전트의 컨텍스트에 한 글자도 들어가지 않는다. force push나 프로덕션 시크릿 접근 같은 민감 작업은 슬랙 승인으로 에스컬레이션하고, 모든 호출은 감사 로그로 남긴다.

flowchart LR
  A[AI 에이전트] -->|명령 요청| B[자격증명 브로커]
  B -->|정책 평가| P[정책 엔진·감사 로그]
  B -->|단기 키 대여| V[자격증명 볼트]
  B -->|대신 실행| G[git·gh·API]

진입은 좁게 잡는다. 특정 코딩 에이전트용 드롭인 래퍼로 시작해 설치 한 줄로 끝나게 만들고, 다음에 에이전트 프레임워크 통합, 마지막에 기업 IAM·기존 볼트(HashiCorp Vault, 클라우드 KMS) 연동으로 올라간다. 과금은 시트당 구독에 감사·컴플라이언스 기능을 상위 플랜으로 얹는다.

성공 조건

첫째, 마찰 제로. 설치가 한 줄을 넘거나 에이전트가 눈에 띄게 느려지면 개발자는 그냥 키를 도로 쥐여준다. 둘째, 기본 정책의 균형. 안전하되 실사용을 막지 않는 기본값을 잡아야 한다. 막히는 도구는 꺼진다. 셋째, 표준 자리 선점. 에이전트 프레임워크와 CI 생태계에 통합으로 박혀 “에이전트 자격증명은 이걸로”가 관행이 되는 쪽이 판을 가져간다.

함께 만들어 보세요

함께할 인재 보기