본문 바로가기
개인정보보호

KYA(Know Your Agent)란 무엇인가 — AI 에이전트 신원확인 완전 가이드| TechFi

개인정보보호·AI 테크파이 2026. 5. 17. 12:00

KYA(Know Your Agent)는 AI 에이전트의 신원·권한·행위를 확인하는 새로운 보안 프레임워크입니다. ISMS-P·AI기본법·Visa TAP·ERC-8004 기준으로 한국 기업 대응 전략을 정리합니다.

작성: 백남정 | TechFi Inc. 대표이사 | ISMS-P 선임심사원 | 공학박사 발행일: 2026-05-17 | techfi.kr

 

요약 (Executive Summary)

AI 에이전트가 인간의 개입 없이 자율적으로 계약·결제·거래를 실행하는 시대가 열렸다. 그런데 이 에이전트가 "누구인지", "무엇을 할 권한이 있는지"를 확인하는 기준이 없다. 이것이 바로 KYA(Know Your Agent, 에이전트 신원확인) 문제다.

Visa, 이더리움(ERC-8004), Sumsub, Trulioo 등 글로벌 기업들이 KYA 표준 선점 경쟁에 나섰고, EU AI Act·미국 NIST·싱가포르 정부가 KYA 관련 규제를 본격화하고 있다. 한국도 2026년 1월 시행된 AI기본법에서 고영향 AI 시스템의 행동 로그 기록을 의무화했다.

이 글에서는 KYA의 개념, 4단계 작동 원리, 글로벌 표준 경쟁 현황, 그리고 한국 기업이 지금 당장 준비해야 할 것들을 정리한다.

kya

1. KYA가 왜 지금 이슈인가

AI 에이전트의 자율 거래가 현실이 됐다

2025~2026년을 기점으로 AI 에이전트는 단순한 챗봇을 넘어 실제 금융 행위의 주체가 되고 있다.

  • Visa에 따르면 미국 소매 사이트 대상 AI 기반 트래픽이 4,700% 급증했다 (2025.10)
  • a16z는 2026년까지 AI 에이전트 수가 인간 금융 참여자보다 100배 많아질 것으로 전망했다
  • 이미 DeFi 프로토콜, DEX, 외부 가맹점에서 에이전트가 자율 결제를 시도하고 있다

문제는 이 에이전트들에게 공통된 신원 확인 기준이 없다는 것이다.

인증되지 않은 AI 에이전트가 만드는 3가지 위험

위험 유형내용
무단 거래 에이전트가 위임받은 범위를 벗어나 계약·결제를 실행
신원 사기 정상 에이전트로 위장한 악성 에이전트의 침투
책임 공백 사고 발생 시 누구에게 책임이 있는지 가릴 수 없음

에이전트는 "지속적으로 작동하고, 효율적으로 재시도하며, 목표 달성을 위해 최적화"한다. 신원과 위임 범위가 없으면 이 행동 패턴은 봇 공격이나 계정 탈취 시도와 구별이 불가능하다.

 

FATF 비유가 핵심이다

타이거리서치는 현재 AI 에이전트 시장을 **"1989년 FATF 설립 이전, 신원 확인 기준이 없어 마약과 불법 자금이 판치던 익명 계좌 시대"**에 비유했다.

2019년 FATF 트래블룰이 가상자산 거래소들의 생사를 갈라놓았듯, KYA 인프라 도입 여부가 AI 결제·상거래 시장 진입의 핵심 자격이 될 것이다.

필자는 블록체인 자금세탁방지(AML) 관련 저서를 집필하고 ISMS-P 심사를 30회 이상 수행한 경험에서, 이 비유가 매우 정확하다고 판단한다. KYC 인프라가 구축되는 데 수십 년이 걸렸지만, KYA는 그 경험을 빠르게 이식할 수 있다는 점에서 준비 기간이 훨씬 짧다.

2. KYC vs KYA — 무엇이 다른가

많은 기업이 "기존 KYC로 충분하지 않나?"라는 질문을 한다. 명확히 정리한다.

구분KYC (Know Your Customer)KYA (Know Your Agent)
검증 대상 인간 고객 AI 에이전트 (소프트웨어)
검증 시점 최초 가입 시 1회 거래마다 동적 검증
핵심 질문 이 사람이 누구인가? 이 에이전트가 누구인가? 무슨 권한이 있는가?
책임 귀속 개인 에이전트 + 운영자(인간)
행동 범위 고객 스스로 결정 위임 범위(Scope)로 사전 제한
이상 탐지 거래 패턴 분석 위임 범위 이탈 + 행동 패턴 분석

KYA가 필요한 구간과 불필요한 구간

모든 곳에 KYA가 필요한 것은 아니다.

 
[KYA 불필요 구간]
Google, OpenAI, Coinbase 등 중앙화 플랫폼 내부에서만 활동하는 에이전트
→ 기존 사용자 KYC + 플랫폼 책임 보증으로 충분

[KYA 필수 구간]
개인이 배포한 자율 에이전트가 플랫폼 경계를 넘는 순간
→ DEX 결제, 외부 가맹점 거래, A2A(Agent-to-Agent) 환경

3. KYA 4단계 작동 프로세스

KYA는 단순한 신원 확인이 아니라 에이전트의 생애주기 전반을 관리하는 신뢰 구축 프로세스다.

 
[등록] ──→ [발급] ──→ [검증] ──→ [갱신]
  │           │          │          │
에이전트    디지털    거래 시점   거래 결과
신원·권한   여권 부여  상대방 신원 반영·평판
  등록                  확인      업데이트

←── 여권 발급 단계 (KYA 인프라 영역) ──→←── 입국 심사 단계 (거래 시점) ──→

Step 1: 등록 (Registration) — "에이전트 주민등록"

에이전트를 배포하기 전, 다음 정보를 KYA 인프라에 등록한다.

  • 신원 정보: 에이전트명, 소유자, 목적, 배포 플랫폼
  • 위임 범위(Delegation Scope): 허용 행위 목록, 최대 거래 금액, 접근 가능 시스템
  • 운영자 신원 연결: KYC 완료된 인간 책임자 1인 이상 지정
  • 유효 기간: 에이전트 활동 허용 기간

핵심 원칙: 에이전트의 모든 행위는 검증된 인간 운영자와 연결되어야 한다. 자동화를 금지하는 게 아니라, 자동화의 책임을 명확한 인간 주체에 귀속시키는 것이다.

Step 2: 발급 (Issuance) — "에이전트 디지털 여권"

등록 검증을 통과한 에이전트에게 **디지털 여권(Digital Passport)**을 발급한다.

디지털 여권에는 다음이 포함된다:

  • 고유 AgentID
  • 발급 기관 및 발급일
  • 위임 범위 해시값 (변조 탐지용)
  • 운영자 서명
  • 유효기간

이 여권은 JWT(JSON Web Token) 또는 NFT 형태로 발급되며, 거래 시마다 제시한다.

Step 3: 검증 (Verification) — "에이전트 입국 심사"

거래 상대방은 에이전트가 제시하는 디지털 여권을 실시간으로 검증한다.

검증 항목:

  1. 여권 유효기간 확인
  2. 위임 범위 초과 여부 (요청 행위가 허용 범위 내인가)
  3. 블랙리스트 조회 (과거 이상 행위 이력)
  4. 실시간 이상 행위 패턴 탐지

고위험 거래 시: 운영자(인간)의 생체 인증 또는 OTP 재확인을 요구한다. 이것이 Sumsub이 채택한 "인간-바운드 에이전트 모델"의 핵심이다.

Step 4: 갱신 (Update) — "에이전트 이력 관리"

거래 완료 후 결과를 여권에 반영한다.

  • 정상 거래: 평판 점수 +1
  • 이상 거래: 평판 점수 감산, 태그 추가
  • 위임 범위 이탈: 즉시 자동 정지 + 운영자 알림
  • 누적 위반: 여권 취소(Revoke)

이 4단계가 반복될수록 에이전트의 신뢰도가 쌓이고, 거래 승인율이 높아지는 신뢰 축적 구조가 완성된다.

테크파이가 작성한 kya 인포그라픽YA(Know Your Agent)는 AI 에이전트의 신원·권한·행위를 확인하는 새로운 보안 프레임워크입니다. ISMS-P·AI기본법·Visa TAP·ERC-8004 기준으로 한국 기업 대응 전략을 정리합니다.

4. 글로벌 KYA 표준 경쟁 현황

시장은 단일 승자 독식이 아닌 산업별 분할 구도로 전개되고 있다.

4.1 온체인 자율 거래 영역: 이더리움 ERC-8004

이더리움은 NFT 규격(ERC-721) 위에 에이전트 신원 레이어를 추가하는 ERC-8004를 제안했다. 에이전트마다 고유 AgentID를 온체인에서 발급하며, 3대 레지스트리를 운영한다.

레지스트리비유답하는 질문작동 방식
Identity 신분증 발급소 이 에이전트가 누구인가? ERC-721 기반 고유 AgentID 발급
Reputation 후기 게시판 이 에이전트와 거래해도 되는가? 거래 후 점수·태그·증거를 온체인 기록
Validation 검증서 보관소 이 에이전트가 실제로 그 일을 했는가? 제3자 검증자가 결과 확인, zkML·TEE 플러그인

ERC-20이 토큰 시장을, ERC-721이 NFT 시장을 창출했듯, ERC-8004는 에이전트 경제의 표준을 노리고 있다.

4.2 결제 동반 거래 영역: Visa TAP

Visa는 **TAP(Trusted Agent Protocol)**을 통해 에이전트 거래를 자사 결제망으로 끌어들이는 전략을 구사하고 있다.

Visa Intelligent Commerce 4대 구성:

구성역할
Trusted Agent Protocol (TAP) 에이전트 신원·권한 인증
Agent APIs Visa 카드 사용 시 작동하는 자체 기술
Tokenization AI 전용 토큰 발급
Intelligent Commerce Connect 경쟁 프로토콜(AP2·ACP·x402 등) 수용

특히 TAP는 정당성·위임자·결제수단 3대 서명을 동시에 충족해야만 거래를 승인한다. 이미 100개 이상의 파트너사가 생태계 내에서 구축 중이다.

4.3 규제·금융 산업 영역: Trulioo DAP

글로벌 컴플라이언스 기업 Trulioo는 SSL 인증기관 모델을 차용해 **DAP(Digital Agent Passport)**를 발급한다.

  • 개발사(KYB) + 사용자(KYC)를 모두 검증한 뒤
  • 거래마다 갱신되는 디지털 여권 발급
  • DPA(Digital Passport Authority)가 DAP를 발급하는 계층 구조

4.4 사기 위험 거래 영역: Sumsub

Sumsub은 이상 거래를 실시간으로 탐지하고, 고위험 거래 시 실제 사람의 생체 인증을 재요구하는 방식으로 시장을 공략하고 있다.

핵심 철학: "자동화를 위험 신호로 간주하는 대신, 관리 가능한 위험 요소로 평가한다."

4.5 기타 주요 플레이어

  • Akamai Web Bot Auth: A2A 프로토콜, AP2 프로토콜, MCP와 연동한 KYA 인증
  • AgentFacts: 영양 성분표처럼 에이전트 메타데이터를 표준화하는 오픈 KYA 스펙 (arxiv 2506.13794)
  • Skyfire KYAPay: 에이전트 결제 특화 오픈 프로토콜

5. 각국 규제 동향

한국: AI기본법 (2026.1.22 시행)

2026년 1월 22일 시행된 인공지능기본법은 고영향 AI 사업자에게 다음을 의무화한다.

  • 투명성 확보 의무: AI 시스템임을 고지
  • 안전성 확보 의무: 행동 로그 기록 및 보존
  • AI 영향 평가: 고위험 AI 배포 전 영향평가 수행

계도 기간을 고려하면 실제 제재는 2027년 이후 시작될 전망이나, 지금부터 KYA 체계를 구축하는 것이 선제 대응이다.

EU: AI Act

고위험 AI 시스템의 행동 로그에 운영자 신원 포함을 의무화했다. 에이전트가 실행한 모든 중요 결정에 책임자 신원이 기록되어야 한다.

미국: NIST

에이전트 신원 관리(Agent Identity Management)를 표준화 우선 영역에 포함했다. SP 800 시리즈에 에이전트 신원 관련 가이드라인이 추가될 예정이다.

싱가포르

세계 최초로 국가 차원의 에이전틱 AI 거버넌스 프레임워크를 발표하며, 에이전트의 한계와 권한 정책 설정을 권고했다.

영국: FCA

2026년 1월, FCA 집행이사 Sheldon Mills는 SM&CR(Senior Managers and Certification Regime) 책임이 AI 기반 의사결정에도 그대로 적용된다고 확인했다. AI 에이전트가 결정을 내려도 그 책임은 금융기관과 임원이 진다.

6. ISMS-P 심사원 관점에서 본 KYA

필자는 ISMS-P 선임심사원으로서 30회 이상의 심사를 수행했다. KYA를 ISMS-P 102개 통제항목과 연결하면 다음과 같다.

KYA와 직결되는 ISMS-P 통제항목

ISMS-P 통제항목KYA 연계 내용
2.5.1 사용자 계정 관리 AI 에이전트를 "비인간 계정"으로 분류·관리
2.5.2 사용자 식별 AgentID로 에이전트 고유 식별
2.5.3 사용자 인증 디지털 여권(JWT/NFT) 기반 에이전트 인증
2.5.4 접근권한 관리 위임 범위(Delegation Scope)로 권한 제한
2.5.6 접근권한 검토 정기 에이전트 권한 감사
2.3.1 외부자 보안 플랫폼 경계 이탈 에이전트 통제
2.9.1 로그 관리 에이전트 행위 로그 변경 불가(INSERT only) 보존
2.9.4 로그 점검 이상 에이전트 행위 이상 탐지
3.2.1 개인정보 수집 제한 에이전트가 처리하는 개인정보 범위 검증
3.4.1 개인정보 제3자 제공 A2A 환경에서 에이전트 간 정보 이전 통제

현장에서 이미 발견되는 문제들

ISMS-P 심사 현장에서 AI 에이전트 관련 보안 취약점은 이미 현실화되고 있다.

  • 에이전트 계정이 일반 사용자 계정과 혼용: 접근 권한 구분 없이 에이전트가 임직원과 동일한 시스템 권한 보유
  • 위임 범위 미정의: "AI가 알아서 처리한다"는 방침 아래 에이전트 행위 한도 없음
  • 감사 로그 부재: 에이전트 행위가 로그에 기록되지 않아 사고 원인 파악 불가
  • 운영자 미지정: AI 에이전트 도입 책임자가 없어 사고 시 책임 공백

이 문제들은 KYA 프레임워크 도입으로 체계적으로 해결할 수 있다.

7. 개인정보보호 관점: PIA와 KYA의 교차점

개인정보영향평가(PIA) 전문가로서 한 가지 중요한 관점을 추가한다.

AI 에이전트가 개인정보를 처리할 때 발생하는 특수한 문제들이 있다.

에이전트의 개인정보 처리 리스크

  1. 위임 범위를 벗어난 개인정보 수집: 에이전트가 "편의상" 필요 이상의 개인정보를 수집
  2. A2A 환경에서의 비의도적 개인정보 이전: 에이전트 간 거래 과정에서 개인정보가 제3자 에이전트에 노출
  3. 재식별 위험: 에이전트가 처리한 가명 데이터의 재식별 가능성
  4. 프롬프트 인젝션: 악성 에이전트가 생성형 AI를 조작해 개인정보 탈취

KYA + PIA 통합 접근법

AI 에이전트를 배포하는 기업은 다음을 함께 수행해야 한다.

  • KYA 등록 시: 에이전트가 처리하는 개인정보 항목을 위임 범위에 명시
  • PIA 수행 시: 에이전트 행위를 정보 처리 주체로 포함
  • ISMS-P 심사 시: 에이전트 접근권한 현황을 별도 점검 항목으로 추가

8. 한국 기업의 KYA 준비 로드맵

단기 (지금~3개월): 현황 파악

  •  현재 운영 중인 AI 에이전트 목록 작성 (RPA, 챗봇, 자동화 스크립트 포함)
  •  각 에이전트의 접근 권한 및 처리 데이터 현황 파악
  •  AI기본법 고영향 AI 해당 여부 검토
  •  ISMS-P 2.5 접근통제 항목 대비 에이전트 관리 현황 점검

중기 (3~6개월): 체계 구축

  •  에이전트 신원 레지스트리 구축 (내부 DB 또는 전문 솔루션)
  •  위임 범위(Delegation Scope) 정책 수립
  •  에이전트 행위 감사 로그 체계 구축
  •  고위험 에이전트 행위 알림 프로세스 정립

장기 (6~12개월): 고도화

  •  KYA 컴플라이언스 보고서 자동화
  •  외부 KYA 인프라(Visa TAP, ERC-8004 등)와 연동 검토
  •  AI기본법 행동 로그 의무 대응 체계 완성
  •  ISO 42001 AI 관리체계 심사 연계

9. SecuFi KYA 모듈 소개

TechFi는 ISMS-P 컴플라이언스 SaaS인 **SecuFi(secufi.kr)**에 KYA 모듈을 개발 중이다.

SecuFi KYA 모듈의 핵심 기능:

  • 에이전트 디지털 여권 발급: RS256 서명 기반 JWT 형식
  • 4단계 KYA 프로세스 자동화: 등록 → 발급 → 검증 → 갱신
  • ISMS-P 통제항목 자동 매핑: KYA 이행 현황이 ISMS-P 준수율에 반영
  • AI기본법 행동 로그 보고서 자동 생성: PDF 형식, 규제기관 제출 대응
  • 실시간 이상 에이전트 탐지: 위임 범위 이탈 즉시 알림

기존 SecuFi ISMS-P 고객사(동국대학교, 숭실대학교, LH공사, 비상교육 등)는 추가 비용 없이 KYA 모듈을 먼저 이용할 수 있다.

도입 문의: contact@techfi.kr

10. 결론: KYA는 선택이 아닌 자격 요건이 된다

타이거리서치의 예측처럼, 다가오는 시대에 KYA 인프라 도입 여부는 기업들의 AI 결제·상거래 시장 진입을 결정짓는 핵심 티켓이 될 것이다.

금융 산업이 KYC 인프라를 구축하는 데 수십 년이 걸렸다. 하지만 KYA는 그 경험과 기술을 빠르게 이식할 수 있다. 준비의 창은 생각보다 좁다.

지금 움직이는 기업이 다음 시대의 신뢰 인프라를 선점한다.

 

kya 서비스가 궁금하신 분들은 아래 링크를 방문하세요

https://secufi.kr/kya

테크파이 kya 랜딩페이지

 

 

 

참고 자료

  1. 타이거리서치, "2026 Know Your Agent: 에이전트 신원 인프라" (2026.05)
  2. 매일경제, "AI가 알아서 결제하는 시대…비자·이더리움 KYA 선점 경쟁" (2026.05.08)
  3. a16z, "2026년 크립토 빅 아이디어" (2025.12)
  4. Sumsub, "Know Your Agent Framework" (2026.01)
  5. Akamai, "Bot Management for the Agentic Era" (2025.11)
  6. AgentFacts: Universal KYA Standard, arxiv:2506.13794 (2025.05)
  7. IBS Intelligence, "As AI agents transact, financial services must rethink compliance" (2026.04)
  8. 인공지능기본법 및 시행령 (2026.01.22 시행)
  9. ISMS-P 인증기준 102개 통제항목 (KISA, 2024)
  10. 백남정, 블록체인 자금세탁방지 (TechFi, 2023)

저자 소개

백남정은 TechFi Inc.(주식회사 테크파이) 대표이사이자 숭실대학교 공학박사로, ISMS-P 선임심사원(30회), ISO 27001 선임심사원, ISO 42001 AI심사원, 개인정보영향평가(PIA) 전문가로 활동하고 있다. 개인정보위원회 기술포럼 기술위원, 디지털기술융합협회 협회장을 맡고 있으며, 핀테크 개인정보보호·블록체인 AML·AI 프라이버시 리스크 등 9권의 저서를 공저했다. SecuFi(ISMS-P 컴플라이언스 SaaS)와 PassFi(CPPG 시험 준비 플랫폼)를 운영 중이다.

TechFi Inc. | techfi.kr | contact@techfi.kr

저작자표시 비영리 변경금지 (새창열림)

'개인정보보호' 카테고리의 다른 글

내 프롬프트 속 개인정보는 안전할까? 개인정보위 『생성형 AI 서비스 이용자 가이드라인』 핵심 분석  (0) 2026.05.19
🏆 ISMS-P 선임 심사원 백남정 박사가 강력 추천하는 단기합격 비밀: PassFi의 AI 맞춤형 ISMS 500제 (가입 시 ISMS 50문제 무료 제공),  (0) 2026.05.19
[충격보도] '클로드 미토스'의 등장... 인류 최후의 직업 '해커'는 멸종하는가?  (1) 2026.05.14
제4기 개인정보 기술포럼 위원 PET 안전활용 분과위원 위촉  (0) 2026.05.09
2026년 정보보호 공시 의무 대상 693개사 발표! 우리 기업 포함 여부와 대응 전략  (0) 2026.05.09

'개인정보보호' Related Articles

티스토리툴바