Beacon 소개: AI 에이전트를 위한 엔드포인트 텔레메트리

@jqdsouza
영어2개월 전 · 2026년 5월 14일
548K
123
26
2
47

TL;DR

Beacon은 AI 에이전트의 의도와 엔드포인트 작업 사이의 간극을 메우기 위해 설계된 오픈소스 텔레메트리 계층으로, 보안 팀에게 로컬 에이전트 활동에 대한 통합된 기록을 제공합니다.

AI 보안의 첫 번째 세대는 모델 게이트웨이를 중심으로 했습니다. 다음 세대는 에이전트가 실제 작업을 수행하는 엔드포인트로 이동할 것입니다.

게이트웨이는 AI 시스템이 주로 질문에 답변하던 시절에는 합리적이었습니다. 보안 팀은 사용자와 모델 사이에 제어 지점을 두고, 프롬프트와 출력을 검사하고, DLP를 적용하고, 모델 액세스를 중재하며, 교환 내역을 기록할 수 있었습니다.

에이전트는 이러한 아키텍처의 진화를 강제합니다. 보안 문제는 더 이상 모델이 말하거나 보는 것에 국한되지 않습니다. 에이전트가 할 수 있는 일, 즉 사용자의 도구를 사용하고, 권한을 상속받으며, 민감한 환경 내에서 상태를 변경하는 것이 문제입니다.

가장 명확한 예는 개발자 머신입니다. Claude Code, Codex, Cursor 와 같은 코딩 에이전트는 소스 코드, 터미널, 패키지 관리자, 클라우드 CLI, 로컬 자격 증명, 프로덕션 인접 시스템과 함께 실행됩니다. 단일 자연어 요청이 파일 읽기, 셸 명령, 종속성 변경, 자격 증명 기반 작업, 코드 수정으로 이어질 수 있습니다.

이와 동일한 패턴이 이제 개발자를 넘어 지식 근로자로 확장되고 있습니다. 데스크톱 연결 에이전트는 SaaS 앱, 로컬 도구, 내부 시스템 전반에서 작동하기 시작했습니다. Claude Cowork 및 OpenClaw 와 같은 에이전트 워크스페이스는 엔터프라이즈 AI 의 다음 단계를 가리킵니다. 사용자의 노트북이 엔터프라이즈 애플리케이션 전반에 걸친 위임된 작업의 런타임이 되는 것입니다.

오늘날의 냉혹한 현실은 보안 팀이 에이전트가 명령을 실행하고, 파일을 수정하고, 종속성을 설치하거나, 데이터를 유출한 후에야 폭발 반경을 볼 수 있다는 것입니다. 실패 모드는 이미 심각합니다. 원격 코드 실행 (Claude Code 프로젝트 구성), 비공개 코드 노출 (Copilot Chat 프롬프트 인젝션), 그리고 자격 증명 도난 (로컬 코딩 에이전트를 공격 경로로 전환하는 악성 npm 패키지)이 그 예입니다.

이것이 바로 Beacon 이 해결하고자 하는 엔드포인트 가시성 격차입니다.

Beacon 은 @asymptotelabs 의 AI 에이전트용 오픈소스 엔드포인트 텔레메트리 레이어입니다. 이는 로컬 에이전트 활동을 관찰 가능하고, 이해 가능하며, 궁극적으로 엔터프라이즈 전반에서 관리 가능하게 만들기 위한 첫 걸음입니다.

보안 팀을 위한 의미

보안 팀에게 이는 중요한 이유는 기존 스택이 위임된 작업을 설명하도록 설계되지 않았기 때문입니다. 게이트웨이, EDR, 에이전트 네이티브 텔레메트리는 모두 여전히 중요하지만, 각각은 에이전트가 수행하는 작업의 일부만 볼 수 있습니다. 에이전트를 안전하게 관리하려면 팀은 에이전트가 엔드포인트에서 의도에서 행동으로 어떻게 이동하는지 확인해야 합니다.

세 가지 격차가 두드러집니다:

  1. 엔드포인트 로그는 효과를 보여주지만 워크플로우는 보여주지 않습니다. 명령, 파일 변경, 프로세스 활동을 캡처할 수 있지만, 이러한 이벤트를 에이전트 요청, 도구 결정, 승인 경로 또는 최종 diff 에 연결하는 경우는 거의 없습니다.
  2. 에이전트 텔레메트리에는 공통 레이어가 필요합니다. Claude Code, Cursor, Codex, Claude Cowork 와 같은 AI 코딩 에이전트는 모두 서로 다른 텔레메트리 신호를 노출합니다. 보안 팀은 이들 전체에 걸친 통합된 엔드포인트 수준 레코드가 필요합니다.
  3. 가시성은 통제보다 먼저 옵니다. 팀은 어떤 에이전트가 실행 중인지, 어떤 권한이 있는지, 어떤 작업을 수행하고 있는지 알기 전까지는 구성을 적용하고, 민감한 작업을 게이트하고, MCP 액세스를 관리하거나, 비밀을 보호할 수 없습니다.

엔드포인트 로그는 에이전트 워크플로우를 캡처하지 않습니다

전통적인 엔드포인트 텔레메트리는 필요하지만, 에이전트 행동을 이해하기에는 충분하지 않습니다.

명령이 실행되었고, 파일이 변경되었고, 프로세스가 생성되었거나, 연결이 열렸다는 것을 보여줄 수 있습니다. 일반적으로 보여줄 수 없는 것은 이벤트 뒤에 있는 워크플로우, 즉 에이전트가 무엇을 하도록 요청받았는지, 무엇을 하기로 결정했는지, 그리고 그 행동이 작업에 적합했는지 여부입니다.

동일한 에이전트 행동도 주변 작업에 따라 안전하거나 위험할 수 있습니다. 예를 들어:

  • kubectl 명령은 인프라 사고 중에는 적절할 수 있지만, 단위 테스트를 업데이트하도록 요청받은 코딩 에이전트에게는 부적절할 수 있습니다.
  • .env 읽기는 로컬 디버깅 중에는 예상되지만, 문서 편집 중에는 의심스러울 수 있습니다.
  • Terraform 변경은 인프라 리포지토리에서는 정상적일 수 있지만, 종속성 업데이트의 부작용으로 도입되면 위험할 수 있습니다.

각 경우에서 원시 이벤트만으로는 충분하지 않습니다. 보안 의미는 주변 워크플로우, 즉 프롬프트, 계획, 액세스된 컨텍스트, 호출된 도구, 건드린 파일, 사용된 자격 증명, 부여된 승인에 따라 달라집니다.

좁은 테스트 변경을 요청받은 코딩 에이전트를 고려해 보세요. 사용자 요청은 다음과 같을 수 있습니다: “청구 재시도 로직에 대한 단위 테스트를 업데이트해 줘.”

전통적인 텔레메트리는 다음과 같이 보일 수 있습니다:

  • 파일 변경됨: tests/billing_retry_test.py
  • 파일 읽음: .env (프로덕션 비밀 포함)
  • 파일 변경됨: terraform/production/main.tf
  • 명령 실행됨: kubectl rollout restart deployment billing-service

이러한 이벤트는 유용하지만 에이전트 워크플로우와 분리되어 있습니다. 로그는 테스트가 변경되었고, 비밀 파일이 읽혔으며, Terraform 이 수정되었고, 배포 명령이 실행되었음을 보여줍니다. 이러한 작업이 사용자 요청의 일부였는지, 어떤 도구 결정이 이를 생성했는지, 또는 사용자가 민감한 단계를 승인했는지는 보여주지 않습니다.

에이전트 인식 레코드는 동일한 이벤트를 워크플로우에 다시 연결합니다:

  • 사용자 요청: “청구 재시도 로직에 대한 단위 테스트를 업데이트해 줘.”
  • 도구 결정: .env 읽기 (컨텍스트 수집)
  • 도구 결정: tests/billing_retry_test.py 편집
  • 도구 결정: terraform/production/main.tf 편집 (요청과 무관)
  • 승인: 사용자가 terraform 변경 승인
  • 명령: kubectl rollout restart deployment billing-service (승인 후)

이러한 추적 없이 보안 팀은 사후에 저수준 아티팩트로부터 의도를 재구성해야 합니다. 에이전트 활동의 효과는 볼 수 있지만, 에이전트의 행동이 요청받은 작업에 적절했는지는 알 수 없습니다.

Beacon: AI 에이전트를 위한 엔드포인트 텔레메트리 레이어

대부분의 보안 및 IT 팀은 어떤 모델이 승인되었는지 또는 어떤 게이트웨이가 배포되었는지 답할 수 있습니다. 에이전트가 로컬에서 실행되면 보안 질문은 엔드포인트에 더 가까워집니다:

  • 에이전트 인벤토리: 어떤 에이전트 도구가 설치되어 있나요? 어떤 사용자와 장치가 이를 실행하고 있나요?
  • 런타임 컨텍스트: 에이전트가 어떤 리포지토리와 워크스페이스에서 작동하고 있나요? 어떤 도구, 자격 증명, 로컬 권한을 상속할 수 있나요?
  • 에이전트 활동: 에이전트가 어떤 파일을 읽거나 수정하고 있나요? 어떤 명령, 승인, diff 를 생성하고 있나요?
  • 텔레메트리 및 감사: 어떤 텔레메트리가 수집되고 있으며 어디로 전송되고 있나요? 보안 팀이 원래 사용자 요청을 수행된 작업에 연결할 수 있나요?

에이전트 네이티브 텔레메트리는 도움이 되지만 단편적입니다. Claude Code 와 Codex 는 OpenTelemetry 를 내보낼 수 있습니다. Cursor 는 세션, 프롬프트, 도구 사용, 명령 실행, 승인, MCP 유사 활동, 파일 편집에 대한 훅을 노출합니다. Claude Cowork 는 관리자가 구성한 OTLP 엔드포인트를 통해 텔레메트리를 내보낼 수 있습니다.

보안 팀이 필요한 것은 이들을 아우르는 워크플로우 레코드입니다. 에이전트가 무엇을 하도록 요청받았는지, 어떤 컨텍스트를 가지고 있었는지, 어떤 도구를 호출했는지, 어떤 승인이 필요했는지, 엔드포인트에서 무엇이 변경되었는지 등입니다.

Beacon 은 지원되는 곳에서는 OpenTelemetry 를 구성하고, 가능한 곳에서는 로컬 신호를 수집하며, 단편적인 에이전트 활동을 공통 엔드포인트 이벤트 형식으로 매핑하여 이 격차를 메웁니다.

Justin D'Souza - inline image

그림 1 에 표시된 것처럼 Beacon 은 네 가지 레이어를 연결합니다:

  1. 에이전트 런타임: Claude Code, Codex, Cursor, Claude Cowork, OpenClaw 및 로컬 모델이 프롬프트, 계획, 도구 호출, 승인, diff 및 런타임 상태를 생성합니다.
  2. 엔드포인트 활동: 이러한 에이전트는 머신(파일, 터미널, 패키지 관리자, MCP 서버, 클라우드 CLI, 리포지토리, 자격 증명, 로컬 구성)과 상호 작용합니다.
  3. Beacon 정규화: Beacon 은 단편적인 OpenTelemetry, 훅 기반 및 엔드포인트 신호를 공통 JSON 이벤트 스트림으로 변환하여 보안 팀이 에이전트 요청에서 로컬 작업까지의 체인을 추적할 수 있도록 합니다.
  4. 보안 대상: Beacon 은 현재 Wazuh 호환 JSONL 을 작성합니다. 동일한 정규화된 이벤트 스트림은 기업이 이미 사용하고 있는 SIEM, 데이터 레이크, 관찰 가능성 플랫폼, 탐지 파이프라인 및 엔드포인트 워크플로우로 확장될 수 있습니다.

Beacon 을 사용하면 프롬프트, 도구 호출, 명령, 파일 편집, 승인, MCP 상호 작용 및 런타임 변경이 하나의 엔드포인트 수준 레코드의 일부가 됩니다. 즉, 에이전트와 도구 전반에 걸쳐 사용자 요청에서 로컬 작업까지의 더 명확한 체인이 됩니다.

가시성 우선, 통제는 그 다음

에이전트는 엔터프라이즈 내에서 새로운 실행 레이어가 되고 있습니다.

파일을 읽고, 도구를 호출하고, 자격 증명을 사용하고, 시스템을 수정하며, 작업을 위임한 사람들의 권한으로 행동합니다. 이러한 활동은 모델 게이트웨이만으로는 이해하거나 관리할 수 없습니다.

엔드포인트는 에이전트 컨텍스트, 권한 및 행동이 함께 모이는 곳입니다. 프롬프트가 명령이 되고, 도구가 권한을 상속받고, 자격 증명이 사용되며, 변경이 이루어지는 곳입니다.

이것이 엔드포인트 텔레메트리를 에이전트 보안의 기초로 만듭니다.

Beacon 은 기업이 이미 채택하고 있는 도구 전반에서 로컬 에이전트 활동을 관찰 가능하게 만듭니다. 보안 팀에게 에이전트가 무엇을 하도록 요청받았는지, 무엇을 건드렸는지, 무엇을 변경했는지, 민감한 작업이 승인되었는지에 대한 공통 레코드를 제공합니다.

이 레이어는 신뢰할 수 있어야 합니다. Beacon 은 개발자 워크플로우, 소스 코드, 자격 증명 및 프로덕션 인접 시스템에 가깝게 실행되기 때문에 오픈소스이며 MIT 라이선스입니다. 개발자는 수집되는 내용을 검사할 수 있어야 합니다. 보안 팀은 텔레메트리를 확인할 수 있어야 합니다. IT 팀은 자신이 배포하는 것이 무엇인지 정확히 이해해야 합니다.

에이전트 활동은 관리 가능해지기 전에 관찰 가능해야 합니다.

Beacon 은 이를 현실로 만들기 위한 첫 걸음입니다.

Save to YouMind

Use YouMind to read viral articles deeply

Save the source, ask focused questions, summarize the argument, and turn a viral article into reusable notes in one AI workspace.

Explore YouMind

분석할 패턴 더 보기

최근 바이럴 아티클

더 많은 바이럴 아티클 보기