Unity Catalog를 사용하여 AI 에이전트 대규모 관리

1년 전만 해도 귀사의 AI 에이전트는 몇 개에 불과했습니다. 지금은 수천 개에 달합니다.

모든 개발자는 자신과 함께 코드를 작성, 검토, 배포하는 코딩 에이전트를 보유하고 있습니다. 분석 팀은 예측 에이전트를 구축했습니다. 영업 운영팀은 리드 점수 책정을 배포했습니다. 지원 조직은 티켓 라우팅을 자동화했습니다. 마케팅팀은 개인화를 출시했습니다. 재무팀은 조정 워크플로를 구축했습니다. 모든 팀이 기회를 포착하고 신속하게 움직였습니다.

이제 누군가 묻습니다. "어떤 에이전트가 고객 PII에 액세스하고 있습니까?"

이 질문에 답하려면 수십 개의 시스템에서 로그를 가져와 수동으로 상관시키고 아무것도 놓치지 않았기를 바라야 합니다. 각 에이전트는 다르게 로깅하고, 인증하고, 데이터에 액세스합니다. 확인할 수 있는 단일 위치가 없습니다.

또는 반대 경로를 택했을 수도 있습니다. 모든 것을 잠갔습니다. 광범위한 검토 없이는 어떤 에이전트도 배포되지 않았습니다. 보안은 엄격하게 유지되었습니다. 하지만 이제 더 빨리 움직인 경쟁사보다 6개월 뒤처졌습니다. 개발자와 사용자는 좌절하고 있습니다. 일부는 실제로 AI 도구를 사용할 수 있는 회사로 이직했습니다.

어느 쪽도 이상적이지 않습니다. 통제되지 않은 에이전트는 측정할 수 없는 위험을 초래합니다. 잠긴 환경은 다른 종류의 위험을 초래합니다. 즉, 인재가 떠나는 동안 뒤처지는 것입니다.

기존의 거버넌스는 인간이 결정을 내리고 애플리케이션이 예측 가능하게 실행한다고 가정했습니다. 에이전트는 그렇게 작동하지 않습니다. 자율적이며 매번 다른 선택을 하고 코드를 읽어서는 예측할 수 없는 방식으로 도구를 연결합니다. 에이전트가 무엇을 할 수 있는지 검토하여 에이전트를 통제할 수는 없습니다. 에이전트가 액세스할 수 있는 것을 제어하고 실제로 수행하는 것을 모니터링하여 에이전트를 통제합니다.

에이전트 거버넌스의 네 가지 기둥

Unity Catalog는 2021년부터 단일 권한 모델, 통합 계보, 모든 자산에 걸친 일관된 감사 추적을 통해 엔터프라이즈 데이터를 관리해 왔습니다. 이제 우리는 모든 AI 시스템이 사용하는 모든 자산(LLM, MCP 서버, 스킬, 에이전트)을 포함하도록 동일한 거버넌스 인프라를 확장하고 있습니다. 이미 고객 데이터에 액세스할 수 있는 사람을 알고 있는 카탈로그가 이제 어떤 에이전트가 어떤 도구를 호출할 수 있는지, 그리고 어떤 조건에서 호출할 수 있는지도 관리합니다.

Unity AI Gateway는 에이전트 세계의 시행 패브릭입니다. 모든 모델 호출, 모든 도구 호출, 모든 에이전트 상호 작용은 게이트웨이를 통해 흐릅니다. 각 호출은 실행 전에 Unity Catalog에 정의된 정책에 대해 평가되고, 실행 후에는 로깅됩니다. 기존 거버넌스 도구는 정적 애플리케이션을 위해 구축되었습니다. 이러한 도구는 이러한 정보에 대한 가시성이 없습니다. Unity AI Gateway는 가시성을 제공합니다.

기둥 1: 위임된 액세스

에이전트는 자신이 대신할 수 있는 대상과 액세스할 수 있는 대상이라는 두 가지 측면에서 명확하게 정의된 권한 경계 내에서 작동해야 합니다. 대부분의 플랫폼은 애플리케이션 권한을 처리하는 방식과 동일하게 이를 처리합니다. 즉, 정적 자격 증명과 광범위한 액세스 권한을 가진 서비스 계정을 사용합니다. 이렇게 하면 책임 추적성이 떨어지고 잠재적 피해 범위를 제한할 수 없습니다.

Databricks는 다른 접근 방식을 취합니다. ID는 질문하는 사용자와 에이전트가 검색하는 특정 테이블 행까지 전체적으로 흐릅니다. 에이전트는 공유 서비스 계정이 아닌 실시간으로 on-behalf-of 토큰 전달을 통해 호출하는 사용자의 데이터 권한을 상속합니다. Unity Catalog에서 테이블에 액세스할 수 없다면, 사용자를 대신하여 작동하는 에이전트도 액세스할 수 없습니다. 모든 작업은 실제 요청을 트리거한 사용자와 해당 사용자를 대신하여 작동한 에이전트라는 두 ID 모두에 대해 로깅되어, 어떤 테이블에 액세스했는지, 어떤 작업을 실행했는지, 언제 실행했는지를 캡처합니다. 문제가 발생하면 작업이 어디서 시작되었고 누가 승인했는지 정확히 알 수 있습니다.

이 모델을 MCP 서버로 확장합니다. 팀은 외부 MCP 서버(GitHub, Jira, Slack 등)를 Unity Catalog에 등록하고 다른 모든 보안 가능한 항목과 동일하게 관리합니다. 즉, 권한, 자격 증명 관리, 단일 위치에서의 전체 감사 로깅을 제공합니다.

액세스 시점뿐만 아니라 런타임에도 동일한 원칙이 적용된다는 것을 인식했습니다. 에이전트가 GitHub를 호출할 수 있다는 사실만으로는 파일을 삭제해야 하는지 또는 풀 리퀘스트를 병합해야 하는지 알 수 없습니다. 따라서 저희는 UC 함수인 서비스 정책을 구축했습니다. 이 정책은 UC에서 관리되며 Unity Catalog에 등록된 MCP에 연결되어 성공하는 도구 호출을 제어합니다. 모든 도구 호출은 실행 전에 평가됩니다. 정책은 도구 이름, 인수 또는 호출자의 ID를 기반으로 허용, 거부 또는 사용자 동의를 요청하는 응답을 반환합니다. 정책 평가 결과가 '거부'이면 호출이 차단됩니다.

모델 계층에서는 가드레일이 실시간으로 추론을 통해 흐르는 것을 검사합니다. PII 및 탈옥 시도를 위해 입력을 스캔하고, 사용자에게 도달하기 전에 환각 및 민감한 콘텐츠에 대해 출력을 확인합니다. 모든 요청에 대해 인라인으로 실행되며 실패 시 닫힙니다.

실제로는 이 세 가지 계층이 함께 작동합니다. 권한은 누가 무엇을 호출할 수 있는지 제어합니다. 서비스 정책은 특정 도구 호출이 주어진 요청의 맥락에서 진행되어야 하는지 여부를 제어합니다. 가드레일은 어떤 콘텐츠가 들어오고 나가는지 제어합니다.

기둥 2: 데이터 중심 AI 거버넌스

대부분의 AI 거버넌스 도구가 놓치는 원칙이 있습니다. 에이전트의 동작은 액세스하는 데이터에 의해 거의 전적으로 결정됩니다. 에이전트가 읽을 수 있는 것, 데이터의 최신성, 민감한 필드가 마스킹되었는지 여부는 AI 거버넌스 질문이 아닙니다. 데이터 거버넌스 질문입니다. 이를 별도로 처리하면 두 개의 불완전한 시스템이 됩니다. 함께 처리하면 거버넌스가 자체 강화됩니다.

첫째, 완전한 감사 추적이 필요하며, 규제는 이를 선택 사항이 아닌 필수로 만들고 있습니다. 새로운 AI 규제는 조직이 AI 시스템이 수행한 작업, 받은 내용, 생성한 내용을 입증하도록 요구합니다. AI Gateway는 모든 모델 호출의 전체 페이로드를 추론 테이블에 기록합니다. 즉, 전송된 정확한 프롬프트, 반환된 정확한 응답, 토큰 수 및 지연 시간입니다. Unity Catalog는 어떤 주체가 무엇을 호출했는지, 어떤 에이전트에서, 언제 호출했는지 등 모든 액세스 작업을 감사 로그에 캡처합니다. 둘 다 레이크하우스에 테이블로 저장되며, 사용자의 조건에 따라 보존됩니다. 대부분의 로깅 아키텍처는 샘플링, 필터링 및 짧은 보존 기간 설정을 요구하여 완전성과 비용 간의 절충을 강요합니다. Unity AI Gateway는 레이크하우스에서 관찰 가능성 데이터를 캡처하므로 이러한 절충을 할 필요가 없습니다.

둘째, 해당 감사 데이터는 분석 능력만큼만 유용합니다. 분석에는 로깅 도구가 아닌 데이터 플랫폼이 필요합니다. 에이전트 추적은 Unity Catalog의 테이블이며, 다른 모든 작업에 사용하는 것과 동일한 SQL로 쿼리할 수 있습니다. 새로운 쿼리 언어나 별도의 도구가 필요 없습니다. 에이전트가 예상치 못한 작업을 수행하면 조사할 데이터가 이미 있습니다. 지난주 특정 서비스에 액세스한 에이전트, 각 팀이 추론에 지출하는 비용, 에이전트가 자격 증명이나 PII를 건드렸는지 여부 등입니다. 감사 데이터가 비즈니스 데이터와 함께 있으므로 더 나아가 에이전트 동작을 비즈니스 결과와 조인하여 에이전트가 무엇을 했는지뿐만 아니라 효과가 있었는지도 이해할 수 있습니다. Databricks의 보안 레이크하우스 기반 에이전트 SIEM인 Lakewatch는 이를 더욱 발전시켜 동일한 감사 추적을 능동적인 보안 인텔리전스로 전환합니다. 즉, 레이크하우스를 기반으로 구축된 AI 기반 위협 탐지 및 대응입니다. 공격자는 에이전트를 사용합니다. 방어자도 그래야 합니다.

먼저, 에이전트가 처음부터 신뢰할 수 있는 데이터를 사용했는지 알아야 합니다. 완전한 감사 추적은 에이전트가 무엇에 액세스했는지 알려주지만, 해당 데이터의 품질이 어떠했는지는 알려주지 않습니다. 데이터 품질 모니터링은 카탈로그 전체의 최신성과 완전성을 지속적으로 추적합니다. 이를 에이전트 추적과 결합하면 "에이전트가 잘못된 답변을 했다"에서 "에이전트가 오래된 것으로 플래그가 지정된 테이블을 쿼리했다"로 이동하여 에이전트 동작을 기본 데이터 품질과 연결할 수 있습니다. 데이터 분류는 추가적인 계층을 제공합니다. 에이전트 AI 시스템은 PII, HIPAA 및 GDPR 규제 데이터와 같은 민감한 열을 지속적으로 스캔하고 태그를 지정하며, 이러한 태그는 액세스 제어에 직접 공급됩니다. 마스크된 열은 어떤 에이전트나 프레임워크가 요청하든 마스크된 상태로 유지됩니다. 이미 가지고 있는 데이터 거버넌스가 자동으로 AI 거버넌스가 됩니다.

Pillar 3: Cost intelligence

모든 모델 호출에는 비용이 발생합니다. 대부분의 기업은 누가 모델을 실행하고 있는지, 무엇을 위해 실행하고 있는지, 또는 인보이스가 도착하고 재무팀이 아무도 예상하지 못한 숫자를 설명해야 할 때까지 아무것도 작동하는지 알지 못합니다.

근본 원인은 잘못된 프로세스가 아닙니다. 누락된 인프라 때문입니다. 모든 AI 트래픽을 한곳에서 볼 수 있는 계측 계층이 없고, 팀이나 사용 사례에 귀속시킬 수 있는 태그 시스템이 없고, 동일한 리소스를 제어하는 액세스 제어 옆에 지출 제어가 없습니다.

이것을 Unity Catalog와 Unity AI Gateway에 내장했습니다. 사용량 추적은 Databricks 호스팅 및 외부 제공업체 전반의 토큰 수, 지연 시간, 요청자 ID 및 모델 대상을 포함한 모든 요청을 단일 테이블에 기록합니다. 이를 통해 팀, 프로젝트 또는 비용 센터별로 요청에 태그를 지정할 수 있습니다. 에이전트 추적 및 비즈니스 데이터 옆의 테이블로 저장되므로 비용을 결과와 연결할 수 있습니다. 200달러의 비용으로 50,000달러의 적격 파이프라인을 생성하는 에이전트는 저렴한 것입니다. 200달러의 비용으로 오래된 데이터를 반복적으로 쿼리하는 에이전트는 낭비입니다. 비용을 결과와 연결하지 않으면 차이를 알 수 없습니다.

예산은 Unity AI Gateway에서 정책 계층을 추가합니다. 관리자는 사용자 또는 그룹별로 월별 지출 임계값을 설정하고 소비가 임계값에 근접하거나 초과하면 알림을 받습니다. 이는 지출이 문제가 된 후에가 아니라 문제가 되기 전에 필요한 신호입니다. 강력한 시행은 자연스러운 다음 단계이며, 곧 더 많은 것을 공유할 것입니다.

Pillar 4: Open and interoperable

모든 엔터프라이즈 AI 거버넌스 전략은 결국 동일한 강제 기능에 직면합니다. 새로운 팀이 다른 프레임워크를 선택하거나, 새로운 제공업체가 더 나은 모델을 출시하는 것입니다. 거버넌스가 현재의 도구 선택에 내장되어 있다면, 당신은 러닝머신 위에 있는 것입니다. 각 새로운 프레임워크는 새로운 통합이고, 각 새로운 모델은 새로운 정책입니다.

우리는 이것을 인식했고, 이것이 대부분의 거버넌스 도구와 다른 접근 방식을 취한 이유입니다. 거버넌스는 에이전트 계층에만 존재할 수 없습니다. 또한 에이전트가 액세스하는 데이터 및 서비스에도 존재해야 합니다. 해당 서비스가 Databricks 관리 서비스인지 여부는 중요하지 않습니다. LangGraph 기반 에이전트와 CrewAI 기반 에이전트 모두 동일한 Unity Catalog를 쿼리하고, 동일한 거버넌스 MCP 서버를 호출하며, 동일한 AI Gateway를 통과합니다. 프레임워크는 관련이 없습니다. 거버넌스는 코드가 호출하는 것이 아니라 리소스를 따라 이동합니다.

개방형 표준은 이를 구체화합니다. MCP는 에이전트에게 보편적인 도구 연결 프로토콜을 제공합니다. Unity Catalog에 한 번 등록하면 동일한 권한 및 감사 추적으로 모든 프레임워크에서 호출할 수 있습니다. Unity AI Gateway는 Databricks 호스팅 모델, Azure OpenAI, AWS Bedrock 및 Anthropic을 위한 단일 거버넌스 엔드포인트를 제공하며, 단일 정책, 단일 감사 추적 및 제공업체 전반에 걸친 단일 비용 속성 계층을 제공합니다. MLflow 추적은 LangChain, LlamaIndex, AutoGen, OpenAI SDK, Anthropic SDK 등을 자동으로 계측하며, 프레임워크별 사용자 정의 계측 없이 테이블로 Unity Catalog에 추적을 저장합니다.

최종 결과는 거버넌스가 플랫폼의 속성이 된다는 것입니다. 각 새로운 프레임워크나 모델에 대해 재구축해야 하는 것이 아닙니다. 배포하는 모든 에이전트는 빌드 방식이나 모델이 무엇이든 동일한 거버넌스 데이터, 동일한 비즈니스 로직 및 동일한 권한에 액세스합니다. 규칙을 한 번 정의하면 이후의 모든 에이전트가 자동으로 이를 따릅니다.

Learn more

AI 거버넌스를 올바르게 수행하는 기업은 사고를 피할 뿐만 아니라, 팀이 기반 인프라를 신뢰하기 때문에 그렇지 않은 기업보다 더 빠르게 움직일 것입니다. 신뢰는 모두를 느리게 하는 마찰을 제거합니다.

이것을 향해 구축하고 있다면, AI 에이전트 거버넌스에 대한 무료 과정으로 시작하고, Databricks AI Security Framework (DASF)를 다운로드하고, 추가 리소스는 AI 거버넌스 웹페이지를 방문하세요.

(이 글은 AI의 도움을 받아 번역되었습니다. 원문이 궁금하시다면 여기를 클릭해 주세요)