에이전트 운영 설계 노트 (4/9) — 팀이 직접 가져야 하는 4가지: 메모리·권한·로그·평가

-

Managed Agents는 분명 강력하다. 장시간 실행, 기본 도구 연결, 호스팅 런타임, 일부 tracing과 관측 표면까지 플랫폼이 흡수하기 시작했다. 하지만 이 변화가 곧 "운영 책임도 같이 외주화된다"는 뜻은 아니다. 오히려 반대다. 플랫폼이 공통 실행층을 더 잘 맡게 될수록, 팀이 끝까지 직접 소유해야 할 경계도 더 선명해진다.

핵심 요약

  • Managed Agents는 실행 인프라를 크게 줄여 주지만, 팀의 운영 통제권까지 대신 소유해 주지는 않는다.
  • 특히 메모리, 권한, 로그, 평가는 플랫폼 기능처럼 보여도 실제로는 조직 운영 자산에 가깝다.
  • 이 네 축을 공급자 기본값에만 맡기면, 편의성은 얻어도 이식성·감사성·정책 일관성·회귀 통제가 약해진다.
  • 앞으로 중요한 질문은 "에이전트를 어디서 돌릴까"보다 "무엇의 최종 소유권을 우리 경계 안에 둘까"에 가깝다.

1. Managed Agents가 강해질수록 왜 소유권 문제가 더 커지는가

지금 Managed Agents가 주는 가치는 분명하다.

  • 긴 작업을 클라우드에서 계속 돌릴 수 있다
  • 기본 작업 루프와 상태 유지 일부를 플랫폼이 맡아 준다
  • 검색, 파일, 코드, 브라우저 같은 공통 도구 연결이 빨라진다
  • 실행 진행 상황과 일부 로그를 기본 표면으로 보여 준다

이 네 가지는 팀의 초기 구축 비용을 크게 줄인다. 문제는 그다음이다.

에이전트가 더 오래, 더 자주, 더 실제 업무 가까이에서 일하기 시작하면, 이제 질문이 "잘 돌아가느냐"에서 "누가 무엇을 통제하느냐"로 바뀐다. OpenAI의 workspace agents, Anthropic의 Managed Agents, Google의 Gemini managed agents 발표가 공통으로 보여 주는 것도 실행층의 제품화다. 이 시점부터는 기능 목록보다 소유권 경계가 더 중요해진다.

예를 들어 이런 질문은 플랫폼 편의성과 별개로 남는다.

  • 기억을 누가 보관하고 언제 지우는가
  • 어떤 행동을 누가 승인하고 회수하는가
  • 사고가 났을 때 무엇을 근거로 재구성할 수 있는가
  • 품질 저하를 누가 어떤 기준으로 잡아내는가

이 네 질문이 바로 메모리, 권한, 로그, 평가의 소유권 문제다.

2. 운영 레이어를 기능이 아니라 소유권으로 다시 보면

Managed Agents 시대의 운영 레이어는 대략 아래처럼 나눠 볼 수 있다.

레이어 플랫폼이 잘해 주는 것 팀이 직접 소유해야 하는 것
실행 호스팅 런타임, 장시간 실행, 기본 work loop 어떤 일을 어디까지 맡길지에 대한 업무 경계
도구 공통 도구 연결, 기본 액션 표면 어떤 도구를 누구에게 언제 열지에 대한 정책
상태 세션 유지, 일부 작업 상태 저장 장기 메모리의 구조, 보존, 삭제, 이식성
관측 진행 상태, trace UI, 기본 실행 기록 감사 가능한 로그 기준, 보관 주기, 사고 재구성 절차
품질 기본 테스트 예시, 플랫폼 벤치마크 일부 우리 업무의 합격 기준, 회귀셋, 평가 루브릭

핵심은 단순하다.

플랫폼은 공통 실행층을 소유할 수 있지만, 팀의 운영 판단 기준까지 소유할 수는 없다.

이제부터 중요한 것은 좋은 Managed Agent를 고르는 일만이 아니라, 그 위에 어떤 소유권 레이어를 얹을지 정하는 일이다.

3. 첫 번째 축: 메모리 소유권

메모리는 가장 먼저 편의 기능처럼 보이지만, 실제로는 가장 깊은 락인이 생기기 쉬운 층이다.

많은 팀이 메모리를 "에이전트가 더 똑똑해지는 기능" 정도로 본다. 하지만 운영 관점에서 먼저 봐야 할 것은 아래다.

  • 메모리가 어디에 저장되는가
  • 어떤 스키마와 분류 기준으로 누적되는가
  • 오래된 기억은 언제 축약·삭제되는가
  • 사람이 잘못된 기억을 수정할 수 있는가
  • 공급자를 바꾸면 그 기억을 옮길 수 있는가

이 질문에 답하지 못하면 메모리는 기능이 아니라 의존성이 된다.

특히 장기 메모리에는 다음 두 종류가 섞이기 쉽다.

종류 예시 소유권 포인트
일회성 작업 상태 현재 작업 메모, 임시 계획, 중간 산출물 버려도 되는가, 언제 만료되는가
장기 운영 자산 반복 규칙, 실패 교훈, 문서 분류 기준, 승인 패턴 우리 저장소나 데이터 계층으로 이식 가능한가

플랫폼 메모리 기능을 쓰는 것 자체가 문제는 아니다. 문제는 장기 운영 자산까지 공급자 내부 구조에만 남겨 두는 것이다. 그러면 시간이 지날수록 팀이 개선한 것은 우리 운영 체계가 아니라 남의 플랫폼 안에 쌓인 기억 자본이 된다.

그래서 메모리 소유권의 핵심은 직접 구현 여부가 아니라, 적어도 아래는 우리 쪽에서 설명 가능해야 한다는 점이다.

  1. 어떤 기억이 장기로 승격되는가
  2. 그 기억의 필수 필드와 출처는 무엇인가
  3. 수정·삭제·보존 규칙은 무엇인가
  4. export 또는 migration 경로가 있는가

4. 두 번째 축: 권한 소유권

Managed Agents가 강력해질수록 권한 정책은 더 중요해진다. 이유는 간단하다. 더 오래 일하고 더 많은 도구를 만질수록, 한 번의 잘못된 행동이 만드는 피해 반경도 같이 커지기 때문이다.

권한 소유권은 "도구가 있느냐 없느냐"의 문제가 아니다. 실제 쟁점은 다음과 같다.

  • 읽기와 쓰기를 같은 기본 정책으로 둘 것인가
  • 외부 발송과 외부 게시를 같은 위험도로 볼 것인가
  • 브라우저, 셸, 파일 수정, 메시지 전송의 위험 구간을 어떻게 나눌 것인가
  • 어떤 행동은 반드시 사람 승인 뒤에만 허용할 것인가

이 질문에 대한 답은 플랫폼 공통값으로 통일되기 어렵다. 조직마다 승인 문화, 규제 수준, 장애 허용 범위가 다르기 때문이다.

예를 들면 같은 "에이전트가 파일을 수정한다"는 행동도 아래처럼 위험도가 다를 수 있다.

행동 겉보기 실제 위험
초안 파일 수정 로컬 편집 비교적 낮음
배포 스크립트 수정 코드 편집 운영 영향 큼
외부 게시 텍스트 전송 되돌리기 어려움
자격 증명 파일 접근 단순 읽기 보안 사고 가능성 큼

그래서 권한 소유권은 결국 blast radius를 누가 정의하는가의 문제다. 플랫폼이 샌드박스나 approval 기능을 제공해도, 그 기능을 어떤 단위로 나누고 어디서 강제로 멈출지는 팀이 직접 정해야 한다.

좋은 권한 설계는 보통 아래 성질을 가진다.

  • 위험이 다른 행동을 같은 버킷에 넣지 않는다
  • 읽기, 쓰기, 전송, 발행을 구분한다
  • 되돌리기 어려운 행동일수록 사람 승인과 로그를 강화한다
  • 공급자 기본값과 별개로 우리 규칙을 문서화한다

5. 세 번째 축: 로그 소유권

많은 팀이 로그를 관측성 UI로 이해한다. 하지만 Managed Agents 시대에 더 중요한 것은 "보여 주는가"보다 재구성 가능한가다.

실제 운영에서 로그 소유권은 아래 질문으로 드러난다.

  • 어떤 입력과 어떤 도구 결과를 근거로 행동했는가
  • 어떤 승인 경로를 거쳤는가
  • 어떤 파일 또는 어떤 외부 시스템에 변화가 생겼는가
  • 실패가 모델 문제였는지, 도구 문제였는지, 정책 문제였는지 구분 가능한가

플랫폼 tracing은 유용하다. 하지만 팀 입장에서 필요한 것은 종종 그보다 더 좁고 더 단단한 기록이다. 예를 들어 아래 같은 것들이다.

  • 변경 전후 diff
  • 승인 여부와 승인 시점
  • 정책 위반 또는 차단 이벤트
  • 어떤 평가셋에서 회귀가 발생했는지에 대한 연결 정보

이런 로그가 없으면 장애 분석이 설명이 아니라 추정이 된다.

로그 소유권의 핵심은 "모든 것을 다 저장하자"가 아니다. 오히려 반대다. 무엇이 증거로 남아야 하는지를 먼저 정하는 일이다.

로그 층 남겨야 하는 질문 소유권 의미
실행 로그 어떤 단계가 언제 돌았는가 운영 타임라인 재구성
정책 로그 무엇이 허용·차단됐는가 경계 집행 증거
변경 로그 무엇이 실제로 바뀌었는가 결과 책임 추적
평가 로그 어떤 기준에서 실패했는가 품질 회귀 추적

특히 외부 발행, 코드 수정, 권한 상승 같은 행동은 나중에 "무슨 일이 있었는가"를 설명할 수 있어야 한다. 이 설명 가능성이 바로 로그 소유권이다.

6. 네 번째 축: 평가 소유권

플랫폼이 기본 벤치마크나 품질 표면을 제공해도, 팀의 실제 업무 품질을 대신 평가해 주지는 못한다. 평가 소유권은 결국 무엇을 통과라고 볼 것인가의 문제이기 때문이다.

예를 들어 플랫폼 점수가 좋아도 아래가 무너지면 실무에서는 실패다.

  • 금지된 파일을 수정했다
  • 승인 없이 외부 발행을 시도했다
  • 형식은 맞지만 중요한 사실이 빠졌다
  • 이전에 되던 작업이 새 모델에서 다시 실패한다

이런 실패는 범용 벤치마크보다 로컬 회귀셋이 더 잘 잡는다.

평가 소유권에는 최소한 네 가지가 포함된다.

  1. 어떤 실패를 치명적 실패로 볼 것인가
  2. 어떤 데이터셋을 대표 사례로 유지할 것인가
  3. 어떤 루브릭으로 의미 품질을 평가할 것인가
  4. 어떤 변경 전에 반드시 회귀 평가를 돌릴 것인가

좋은 평가 소유권은 점수표보다 실패 버킷이 선명하다.

평가 층 팀이 직접 가져야 하는 것
규칙 검사 파일 범위, 형식, 금지 행위, 승인 누락
회귀셋 실제 장애와 리뷰 지적에서 온 사례
루브릭 완결성, 정확성, 실용성, 위험성 기준
운영 임계값 어느 수준이면 배포·발행·확장을 멈출지

즉, 평가를 남에게 맡기면 편해질 수는 있다. 하지만 무엇이 우리에게 실패인지까지 넘기면, 운영 품질 기준도 같이 넘기게 된다.

7. 네 축은 따로가 아니라 함께 움직인다

메모리, 권한, 로그, 평가는 별도 모듈처럼 보이지만 실제로는 서로 엮여 있다.

  • 메모리 소유권이 약하면 무엇을 평가 자산으로 남길지도 흐려진다
  • 권한 소유권이 약하면 로그가 있어도 사고를 막지 못한다
  • 로그 소유권이 약하면 평가 실패 원인을 제대로 분리하지 못한다
  • 평가 소유권이 약하면 메모리와 권한 정책을 어떻게 개선할지 알 수 없다

그래서 이 네 축은 기능 체크리스트가 아니라 하나의 운영 루프로 보는 편이 맞다.

메모리 소유권 -> 무엇을 장기 자산으로 남길지 결정
권한 소유권 -> 무엇을 어디서 막을지 결정
로그 소유권 -> 무슨 일이 있었는지 증거를 남김
평가 소유권 -> 무엇이 실패였는지 판정하고 다음 수정을 이끎

Managed Agents는 이 루프의 실행비를 낮춰 줄 수 있다. 하지만 루프의 기준과 책임 분배 자체를 대신 설계해 주지는 않는다.

8. 도입 전에 물어봐야 할 질문

Managed Agents를 붙이기 전에 아래 질문에 답하면 경계가 훨씬 선명해진다.

  1. 어떤 기억까지는 공급자 기능에 맡기고, 어떤 기억부터는 우리 자산으로 빼낼 것인가
  2. 어떤 행동은 사람 승인 없이는 절대 진행되면 안 되는가
  3. 사고가 났을 때 무엇을 근거로 재구성할 것인가
  4. 플랫폼 trace와 별개로 우리 저장소에 남아야 하는 기록은 무엇인가
  5. 범용 벤치마크와 별개로 반드시 통과해야 하는 로컬 회귀셋은 무엇인가
  6. 공급자를 바꾸더라도 유지되어야 하는 운영 규칙은 무엇인가

이 질문에 답하지 않으면, 초기 도입은 빨라도 시간이 지날수록 운영권은 흐려진다.

9. 결론: Managed Agents 시대의 경쟁력은 자동화가 아니라 소유권 설계에서 갈린다

Managed Agents는 분명 2026년의 큰 전환이다. 이제 팀은 이전보다 훨씬 적은 비용으로 장시간 실행, 공통 도구 연결, 기본 관측 표면을 활용할 수 있다. 이 변화 자체는 매우 크다.

하지만 그 위에서 실제 차이를 만드는 것은 여전히 로컬 운영 설계다. 특히 아래 네 가지는 끝까지 팀의 몫으로 남는다.

  • 어떤 기억을 조직 자산으로 직접 소유할 것인가
  • 어떤 권한 경계를 사람 승인과 함께 묶을 것인가
  • 어떤 로그를 증거 수준으로 남길 것인가
  • 어떤 평가 기준으로 회귀와 실패를 판정할 것인가

즉, Managed Agents 시대의 핵심 질문은 "이제 무엇을 안 만들어도 되는가"가 아니다.

더 중요한 질문은 이것이다. 플랫폼이 강해질수록, 우리는 무엇의 소유권을 더 분명히 붙잡아야 하는가.

이 질문에 답하는 팀만이 Managed Agents를 데모가 아니라 운영 도구로 바꿀 수 있다.

함께 읽으면 좋은 글

참고 자료

시리즈 전체 안내: 시리즈 목차

댓글

댓글 쓰기

이 블로그의 인기 게시물

"LLM 핵심 학습 (1/6) — 기본: 토큰화·임베딩·어텐션·위치 인코딩"

-
이미지
(시리즈 시작) 📚 시리즈 목차 2/6 파인튜닝 → 트랜스포머 한 블록의 데이터 흐름을 문자열 → 토큰 → 임베딩 → 어텐션 → 출력 표현 까지 손으로 풀어 본다. 이번 편이 끝나면 "왜 \(\sqrt{d_k}\)로 나누는가", "RoPE는 무엇을 회전시키는가", "한국어가 영어보다 토큰이 많은 까닭은 무엇인가"가 한 줄로 설명될 수 있다. 0. 학습 목표 이 편을 마치면 다음을 직접 할 수 있다. BPE 토크나이저 가 어휘를 어떻게 학습하고 새 문자열을 어떻게 자르는지 종이 위에서 시뮬레이션한다. 임베딩 행렬 의 모양과 초기화, weight tying의 의미를 한 줄로 설명한다. Scaled Dot-Product Attention 의 식을 차원 단위로 추적하고 PyTorch 30줄로 재현한다. Multi-Head Attention 이 한 헤드와 비교해 무엇이 다른지, 헤드 수가 늘면 어디가 비싸지는지 답한다. Sinusoidal·RoPE·ALiBi 세 위치 인코딩의 식과 외삽 성질을 구분한다. 컨텍스트 확장이 왜 \(O(N^2)\)인지, "Lost in the Middle"이 왜 발생하는지 설명한다. 1. 핵심 요약 트랜스포머의 입력은 문자열 이 아니라 정수 ID 시퀀스 다. 토크나이저가 문자열 → ID로 자른다. 임베딩은 정수 ID를 \(d\)차원 벡터로 lookup하는 학습 가능한 테이블이다. Self-Attention은 \(\text{softmax}(QK^\top / \sqrt{d_k}) V\) 한 줄이 핵심이고, 멀티헤드는 같은 연산을 여러 부분 공간에서 병렬화한 것이다. 위치 정보는 임베딩에 직접 더하거나(Sinusoidal), Q·K에 회전을 가하거나(RoPE), 어텐션 스코어에 거리 패널티를 더해서(ALiBi) 주입한다. 컨텍스트 길이 \(N\)에 대해 표준 어텐션은 \(O(N^2)\) 비용을 갖고, 긴 컨텍스트에서는 중간 위...
Read more »

"LLM 핵심 학습 (2/6) — 파인튜닝: LoRA·QLoRA·증류·Adapter"

-
이미지
← 1/6 기본 📚 시리즈 목차 3/6 디코딩과 생성 → 사전학습된 LLM을 내 데이터 에 적응시키는 방법을 비용·메모리·일반화 관점에서 정리한다. Full FT의 한계 → Adapter → LoRA → QLoRA → Distillation 순으로 같은 그림을 점점 확대해 본다. 0. 학습 목표 Full fine-tuning의 메모리 병목을 옵티마이저 상태·그래디언트·가중치·활성화 의 4분할로 설명한다. Adapter(Houlsby 2019)와 LoRA(Hu 2021)의 식 차이를 한 줄로 적는다. LoRA의 \(A, B\) 행렬이 왜 저랭크 이고, rank \(r\) 선택이 무엇을 결정하는지 답한다. QLoRA(Dettmers 2023)의 NF4·double-quant·paged optimizer를 분리해서 설명한다. Catastrophic Forgetting을 분포 시프트 관점에서 정의하고 완화 기법을 두 개 이상 든다. Hinton 2015의 Knowledge Distillation 식을 손으로 유도한다. 1. 핵심 요약 Full FT는 메모리/디스크/시간 모두 비싸다. 7B 모델 full FT는 V100 8장 + A100 1장으로도 큰 부담이다. PEFT(파라미터 효율 파인튜닝) 일가족은 극히 일부 파라미터만 학습 해 같은 효과를 얻는다. LoRA: \(\Delta W = BA\) (rank \(r \ll \min(d_{\text{in}}, d_{\text{out}})\))로 가중치 업데이트를 저랭크 분해. QLoRA: 베이스 모델을 4-bit(NF4)로 양자화한 채 LoRA만 풀-정밀(BF16)으로 학습. Catastrophic Forgetting: 새 분포에 적응하느라 이전 능력이 무너지는 현상. PEFT 자체가 부분 완화책. Distillation: 큰 교사 모델의 soft target 을 학습 신호로 써서 작은 학생 모델 을 만든다. 2. 직관: 왜 사전학습만으로는 부족한가 사전학습은 일반...
Read more »

"ML 기초 학습 (1/9) — 머신러닝과 sklearn: 학습의 좌표계"

-
이미지
(시리즈 시작) 📚 시리즈 목차 2/9 이웃 알고리즘 → 이 시리즈는 신경망과 로컬 LLM으로 가기 전에 손에 익혀 둬야 할 머신러닝 기초 9편이다. 1편은 모든 ML 코드가 공유하는 공통 문법 을 잡는 데 쓴다. sklearn은 그 문법을 가장 일관되게 보여주는 도구다. 이번 편이 끝나면 어떤 모델을 만나도 fit → predict → score → 평가 흐름이 같다는 것이 손에 잡힌다. 0. 학습 목표 이 편을 마치면 다음을 할 수 있어야 한다. 지도학습·비지도학습·강화학습을 한 문장씩 구분해 설명한다. sklearn의 estimator 인터페이스 ( fit , predict , score , transform )를 코드 한 화면 안에서 쓸 수 있다. train/validation/test 분할을 왜 하는지, 어디서 데이터 누수가 생기는지 식과 그림으로 설명한다. 분류·회귀의 핵심 평가 지표(accuracy, precision, recall, F1, MSE, R²)를 정의에서 직접 계산할 수 있다. k-fold 교차검증 을 코드 한 줄로 돌리고, 결과의 평균과 표준편차를 함께 보고할 수 있다. Pipeline 으로 전처리와 모델을 묶어 데이터 누수를 구조적으로 막는 방법을 설명한다. 1. 핵심 요약 머신러닝은 데이터에서 함수 \(f: X \to Y\)를 찾는 작업 이다. 어떤 모델이든 이 본질은 같다. sklearn은 모든 모델을 같은 인터페이스( fit , predict , score )로 통일해, 모델을 바꿀 때 한 줄만 바꾸면 되게 한다. train/val/test 세 분할이 표준이다. 검증으로 하이퍼파라미터를 고르고, 테스트는 마지막에 한 번만 본다. 데이터 누수 (test 정보가 train에 새는 현상)는 ML 입문자가 가장 자주 만드는 실수이며, Pipeline + cross_val_score 조합으로 구조적으로 막을 수 있다. 평가 지표는 문제 유형 (분류/회귀) 과 클래스 불균형...
Read more »