AI 코딩 에이전트를 팀에 도입하겠다고 결정하는 순간, 두 가지 계기판이 동시에 움직이기 시작한다. 하나는 비용 미터기, 다른 하나는 보안 경보다. 문제는 대부분의 팀이 에이전트를 먼저 붙이고 나서야 이 두 계기판이 존재했다는 걸 깨닫는다는 점이다. 순서가 잘못됐다.
비용 계기판: 'API 요청당 비용'은 잘못된 지표다
개발자 Leo Yan이 만든 오픈소스 도구 TokenPatch는 이 순서 문제에서 출발했다. 기존 LLM 비용 측정 도구들은 대부분 API 요청 단위로 비용을 집계한다. 하지만 AI 코딩 에이전트 워크플로우에서 실제로 의미 있는 단위는 요청이 아니라 '실제 적용된 패치(applied patch)' 다. 패치가 실제로 코드에 반영됐는가, 허용된 파일 범위 안에서만 변경이 이뤄졌는가, 테스트를 통과했는가—이 세 가지가 충족된 변경 하나가 얼마를 썼는지가 진짜 지표다.
TokenPatch의 접근법은 단순하지만 날카롭다. 강력한 프론티어 모델(Claude, GPT-4o 등)은 계획과 판단을 맡고, 파일 범위가 명확하게 한정된 구현 작업은 DeepSeek 호환 API 같은 저비용 executor로 라우팅한다. 실제 예시로, 동일한 작업에 프론티어 모델만 쓰면 $0.42, TokenPatch를 거치면 $0.08—81% 절감이다. 이건 이론값이 아니라 실제 측정값이다. 에이전트 도입 ROI를 팀 내에서 정당화해야 하는 테크 리드 입장에서, 이런 task-level 경제학 지표는 슬라이드 한 장짜리 근거가 된다.
물론 아직 초기 프로젝트다. BYOK(Bring Your Own Key) 방식이고 현재 DeepSeek 호환 executor만 지원한다. 하지만 핵심 아이디어—플래닝 모델과 실행 모델을 분리하고, 실제 적용된 변경 단위로 비용을 측정한다—는 팀의 에이전트 비용 구조를 설계하는 데 지금 당장 쓸 수 있는 사고 틀이다. 비싼 모델을 모든 단계에 쓰는 건 팀 예산으로 택시를 전세 내는 것과 같다.
보안 계기판: 에이전트는 텍스트를 반환하지 않고 '행동'한다
비용보다 더 먼저 잠가야 할 계기판은 보안이다. 2026년 보안 서밋 포럼에서 비엣텔 사이버보안 정보보안센터의 마이 쑤언 꾸엉 소장이 짚은 핵심은 명확하다. AI 에이전트가 기존 LLM과 근본적으로 다른 이유는 시스템에 직접 행동할 수 있기 때문이다. 셸 명령 실행, 파일 읽기/쓰기, 이메일 자동 발송, API 호출—이 능력은 에이전트를 강력하게 만드는 동시에 공격 표면을 수직으로 확장시킨다.
위협 시나리오는 이미 실제 사고로 기록되어 있다. 이메일이나 문서에 악의적 명령을 숨겨 에이전트가 의도치 않은 동작을 수행하게 만드는 간접 프롬프트 주입은 가장 빈번한 공격 경로다. 암호화폐 에이전트 Grok-Bankrbot이 메시지에 숨겨진 모스 부호 명령을 따라 15만 달러를 무단 송금한 사례는 '설마'가 아니라 '이미'의 문제임을 보여준다. 삼성 직원이 ChatGPT를 통해 소스 코드를 유출한 사례처럼, 에이전트가 처리하는 내부 데이터가 제3자 클라우드로 전송될 때의 정보 유출 리스크도 빼놓을 수 없다.
또 하나 간과하기 쉬운 위협은 섀도우 AI다. IT 부서를 거치지 않고 팀원이 직접 AI 에이전트 도구를 설치하는 현상은 접근 제어를 무력화한다. 커뮤니티에서 내려받은 확장 플러그인이 악성 소프트웨어 배포 경로가 되는 공급망 공격과 맞물리면, 보안 거버넌스 없는 AI-First 도입은 문을 열어두고 자물쇠를 자랑하는 꼴이다.
지금 당장 팀에 적용할 체크리스트
위협 분류에 기반한 실용적인 방어선은 세 겹이다. 첫째, AI 게이트웨이를 단일 제어 지점으로 세운다. 모든 AI 트래픽이 이 지점을 통과하게 해야 퍼블릭 클라우드로의 데이터 전송을 통제할 수 있다. 둘째, 에이전트에게 최소 권한만 부여한다. 과도한 권한을 가진 에이전트는 오작동 하나로 중요 데이터를 삭제하거나 잘못된 API를 호출할 수 있다. 셋째, 비정상적 자율 행동을 추적하는 엔드포인트 모니터링을 구성한다. 에이전트가 예상 범위를 벗어난 행동을 시작하는 순간을 감지하는 시스템이 없으면, 사고는 항상 사후에 발견된다.
무료 도구로 시작하는 팀이라면, 앞서 소개된 AI Agent Safety Checklist(입력 검증, 툴 및 API 보안, 프롬프트 주입 방어, 데이터 프라이버시, 접근 제어, 모니터링, 에러 핸들링, 공급망 보안—8개 카테고리 18개 항목)는 팀 내 보안 점검 기준선을 빠르게 세우는 출발점으로 쓸 만하다.
두 계기판을 동시에 보는 이유
비용 측정과 보안 체크는 별개 과제처럼 보이지만 실제로는 같은 질문의 두 면이다. 에이전트에게 어디까지 권한을 줄 것인가. 파일 범위를 명시적으로 제한하는 TokenPatch의 접근법은 비용을 줄이는 동시에 보안 공격 표면도 좁힌다. 에이전트가 건드릴 수 있는 범위를 설계 단계에서 잠그는 것—이것이 비용과 보안 두 계기판을 동시에 제어하는 유일한 방법이다.
"AI 보안 거버넌스는 일회성 배포가 아니라 지속적인 모니터링 프로세스"라는 말은 비용 관리에도 그대로 적용된다. 에이전트는 한 번 켜면 끝나는 기능이 아니라 지속적으로 토큰을 소비하고 시스템에 접근하는 상시 운영 자산이다. 두 계기판을 먼저 잠그지 않고 에이전트를 프로덕션에 올리는 건, 브레이크 없는 차에 엑셀을 밟는 것과 같다.