차세대 개인 쇼핑 도우미는 AI가 될 수 있다. 하지만 에이전트의 정체성이 안전하게 보장되지 않는다면, 디지털 상거래는 사기와 속임수의 수렁에 빠질지도 모른다.
에이전트형 AI가 가까운 미래에 본격화되면, 모든 사용자는 디지털 환경에서 상거래 임무를 수행하는 에이전트 군단을 지휘하는 ‘지휘관’이 된다.
현재는 정보를 수집하거나 특정 주제의 최신 데이터를 모니터링하는 등, 주로 연구 보조 역할로 에이전트를 활용하고 있다. 하지만 머지않아 에이전트는 사용자 대신 돈을 움직이는 더 중요한 임무를 수행하게 된다. 달걀 한 판부터 항공권까지, 구매 대행의 범위가 넓어진다.
그러나 자금 이동은 결정적인 기준선을 넘는 행위다. 이는 사기 및 자금세탁 방지를 위해 마련된 ‘고객알기(Know Your Customer, KYC)’와 ‘기업알기(Know Your Business, KYB)’ 요건이 발동되는 지점이다. 에이전트도 마찬가지로 ‘에이전트 알기(Know Your Agent, KYA)’가 필요해진다.
에이전트는 사람이나 기업을 대변하게 되므로, 그런 대리인에게는 출처와 권한 범위를 명확히 보여주는 고유한 정체성을 부여해야 한다. 에이전트를 만든 주체가 개인인지 기업인지 확인하는 것도 중요하지만, 그 에이전트가 제3자를 대신해 행동하고 있는지, 그리고 그 제3자가 악의적 행위자인지도 판단해야 한다.
에이전트 간의 연결 방식은 다양하며, 모든 연결 구조는 검증을 필요로 한다. 새로운 기술이 늘 그러하듯, 가능성과 위험은 공존한다.
디지털 상거래에서 KYA의 필요성
에이전트 기반 기술의 핵심은 사용자의 행동 방식을 파악하고 이를 에이전트에 구현하는 것이다. 예를 들어, 한 개인이 장보기용 에이전트를 만들면서 예산, 생필품 구매 주기, 스캔할 레시피와 재료, 음식 배달 시점 등을 지정할 수 있다.
여행 계획도 마찬가지다. 목적지, 숙소, 예산 정보를 제공하면 에이전트가 교통, 엔터테인먼트, 숙박 등 모든 항목을 조건에 맞춰 찾아낸다.
하지만 어떤 거래든 API를 통해 이뤄지므로 사용자는 에이전트의 코드를 직접 들여다볼 수 없다. 그렇다면 해당 에이전트가 정말 정당한 대행자인지, 혹은 악성 행위자에게 장악된 것은 아닌지 어떻게 알 수 있을까?
KYA는 이런 사기를 방지하기 위한 인증 절차를 포함한다. 예를 들어, 에이전트가 사용자를 대신해 온라인 마트에 접속해 물품을 구매하려 할 때, 해당 에이전트는 정당성을 증명해야 한다. 이때 제시되는 것이 바로 디지털 여권과 같은 고유 식별자다. 이 식별자는 에이전트의 권한 범위, 개발자와 사용자의 검증 여부, 마지막 검증 이후 코드 변경 여부 등을 포함한 정보를 담는다.
KYA는 해당 에이전트의 배후에 악의적 행위자가 있는지, 그 주체가 에이전트를 만들 자격이 있는지, 그리고 특정 구매를 실행할 권한이 있는지를 판별하는 데 도움을 준다.
에이전트 디렉토리의 등장
에이전트 생성은 양방향으로 이루어질 것이다. 사람이나 기업이 자신을 위해 에이전트를 만드는 것처럼, 판매자도 인간 고객을 위한 상거래용 대리 에이전트를 만들 수 있다.
이런 방식은 판매자에게 유리하다. 고객 충성도를 높이고 비즈니스에 도움이 되기 때문이다. 그러나 판매자와 사용자가 모두 관여하게 되면서, 에이전트 검증 과정은 더욱 복잡해진다.
사용자는 자신이 상호작용하는 에이전트가 실제로 해당 매장을 대변하는지 확인할 수 있어야 한다. 또한 사용자는 계정을 생성하고 검증을 거쳐야 하며, 그렇게 부여된 자격 증명은 에이전트와 함께 이동하면서 구매 시점에 적용된다.
그렇다면 사용자는 어떻게 신뢰할 수 있는 에이전트를 구별할 수 있을까? 항공사나 대형 매장을 포함한 유명 기업과 해당 기업의 에이전트를 모아 둔 저장소(디렉토리)가 생겨날 것이다. 이를 통해 검증된 기술을 사용하는지를 판단할 수 있다. 물론, 이 저장소는 기술적 과제를 해결해야 한다. 디렉토리에 등록된 에이전트가 계속 검증된 상태로 유지되고, 사기나 기업 사칭에 악용되지 않도록 보장해야 한다.
신뢰할 수 있는 디렉토리를 만들기 위한 첫걸음은, 에이전트 검증 및 보안 가이드라인을 수립할 표준화 기관을 설립하는 것이다. 전 세계 기관이 이 표준에 참여해 검증된 에이전트를 등록하고, 사용자에게 최적의 정보를 제공하는 통합 디렉토리 체계를 구축할 수 있다.
에이전틱의 시대
현재 에이전트 기술은 해당 기술을 도입한 일부 기업에만 적용되고 있다. 대부분 기업은 아직 그런 기술을 갖추고 있지 않다.
상거래가 성립하려면, 양쪽 모두 기술을 보유해야 한다. 기업은 에이전트의 지시를 이해할 수 있는 서버 또는 최소한 ‘이행형 에이전트(fulfillment agent)’를 갖춰야 한다.
그러나 곧 이런 기술 격차는 해소될 것이다. 기업은 고객 기반이 확대되는 가치를 인식하고 기술을 빠르게 채택하게 될 것이다.
그 순간 사기가 뒤따를 것이다. 사람과 기업의 정체성이 도용되고 악용되는 일이 계속되는 것처럼, 에이전트 역시 똑같은 피해를 입게 될 것이다.
에이전트의 정체성을 안전하게 설계하고 보호하지 않으면, 사람이나 기업이 겪는 사기와 똑같은 상황에 처하게 된다. 하지만 더 심각한 문제는, 이 경우 다루는 대상이 단지 코드 몇 조각에 불과하다는 점이다.
이미 에이전트 군단의 행진이 시작됐다. 그 출현을 안전하고 지능적인 기술로 맞이하는 것은 지금 우리의 책임이다.
dl-ciokorea@foundryco.com
