에이전트를 통제하는 기술에 값이 매겨지기 시작한 것이 최근 몇 달의 흐름이었습니다. Vercel은 에이전트 신원을 관리하는 Passport를 유료 엔터프라이즈로 팔고, Databricks는 오픈소스로 공개한 Omnigent의 운영을 유료 managed 버전으로 가져갑니다. 도구는 무료로 풀어도 통제에는 값을 받는다는 계산이 두 달 사이 두 번 반복됐습니다.
그런데 4월 2일 Microsoft가 그 통제 커널 자체를 MIT 라이선스로 공개했습니다. Agent Governance Toolkit, 줄여서 AGT입니다. 앞의 계산대로라면 돈이 되기 시작한 것을 값도 받지 않고 내놓은 셈인데, 이 결정은 손해가 아니라 전략에 가깝습니다.
TL;DR
-
AGT는 에이전트의 모든 액션을 실행 전에 가로채 정책으로 강제하는 오픈소스 커널입니다. 프롬프트로 부탁하던 안전을 코드로 강제하는 방식이고, 어떤 프레임워크 위에도 몇 줄 설정으로 얹힙니다.
-
통제에 값을 받는 회사들 사이에서 Microsoft만 통제를 무료로 풀었습니다. 반대로 간 것 같지만 계산은 같습니다. 회사마다 자기 수익이 나는 레이어의 바로 옆을 오픈소스로 풀고 있을 뿐입니다. Microsoft의 수익은 Azure에서 납니다.
-
표준을 내주고 운영에서 거두는 방식은 Kubernetes에서 이미 검증됐습니다. Microsoft도 AGT의 재단 이관을 공언했는데, 공언과 실행 사이의 간격이 이 사건의 관전 지점입니다.
[1] 부탁하지 않고 코드로 막는다
지금까지 에이전트 안전의 대부분은 프롬프트에 "위험한 건 하지 마"라고 적는 방식이었습니다. AGT는 그 부탁을 코드로 바꿉니다. 에이전트가 tool을 호출하거나 메시지를 보내거나 다른 에이전트에 일을 넘기는 모든 순간, 모델의 의도가 실행되기 전에 결정론적 코드가 가로채 정책을 검사합니다. Microsoft의 표현을 빌리면, 커널이 거부한 액션은 일어날 가능성이 낮은 것이 아니라 구조적으로 불가능해집니다.
엔지니어 입장에서 진입 비용은 두 줄입니다.
from agentmesh.governance import govern
safe_tool = govern(my_tool, policy="policy.yaml")
정책은 YAML로 적습니다. DROP과 DELETE는 차단, 이메일 발송은 보안팀 승인 필요, 이런 식입니다. 커널은 상태가 없고 결정론적이라 같은 정책과 입력이면 항상 같은 결정이 나오고, 정책 평가는 p99 기준 0.1ms 아래로 끝납니다. 정책 로드에 실패하면 모든 액션을 차단하는 fail-closed 설계라는 점도 눈여겨볼 만합니다. 열어두고 실패하는 쪽이 아니라 닫아두고 실패하는 쪽을 골랐다는 뜻입니다. LangChain의 콜백, CrewAI의 데코레이터, Google ADK의 플러그인, Microsoft Agent Framework의 미들웨어에 각각 끼워지도록 만들어져 기존 코드를 다시 쓸 필요가 없고, Python부터 TypeScript, Rust, Go, .NET까지 다섯 언어를 지원합니다.
시점도 우연이 아닙니다. 2025년 12월 OWASP가 에이전트 전용 리스크 분류 Top 10을 처음 공식화했고, 미국 Colorado AI Act가 올해 6월, EU AI Act의 고위험 의무가 8월에 발효됩니다. Microsoft는 AGT가 이 리스크 10개 전부에 대응하는 첫 툴킷이라고 내세우는데, 세부적으로 보면 7개는 완전 커버, 3개는 부분 커버이고 남은 간극은 작업 항목으로 문서화돼 있습니다.
[2] Vercel도 Databricks도 통제에서 돈을 받는다
이 공개가 눈에 띄는 이유는 시장이 정반대 방향으로 움직이고 있었기 때문입니다.
에이전트가 흔해지면서 그것을 만들게 해주는 프레임워크는 빠르게 범용재가 됐습니다. 대신 그 에이전트가 무엇을 할 수 있고 누구의 권한으로 움직이는지 관리하는 영역에 값이 매겨지기 시작했습니다. Vercel은 프레임워크 eve를 무료로 풀면서 에이전트 신원을 통제하는 Passport와 Connect를 유료 엔터프라이즈로 묶었고, Databricks는 Omnigent을 오픈소스로 공개하면서 실제 운영과 정책 통제는 Databricks 위의 managed 버전과 Unity AI Gateway로 가져갔습니다. 통제가 수익이 되는 방향으로 시장이 정렬되고 있었습니다.
그 가운데서 Microsoft는 통제 커널을 MIT로 풀고, 발표문에 이렇게 적었습니다. 에이전트 거버넌스는 어느 한 벤더가 통제하기엔 너무 중요하며, 지금은 Microsoft 이름으로 공개하지만 재단으로 옮겨 커뮤니티가 관리하게 하는 것이 목표라고요. OWASP 커뮤니티, 재단 리더들과 협의 중이라는 문장도 공식 발표에 있습니다.
[3] 오픈소스로 풀고 Azure에서 회수한다
반대로 간 것처럼 보이지만, 세 회사의 선택을 나란히 놓으면 같은 계산이 보입니다.
Vercel의 수익은 통제와 배포에서 납니다. 그래서 그 아래의 프레임워크를 무료로 풀어 사람을 모았습니다. Databricks의 수익은 플랫폼 위 운영에서 납니다. 그래서 조정 레이어를 오픈소스로 공개했습니다. 그러면 Microsoft의 수익은 어디서 날까요. Azure입니다. AGT 자체는 어느 인프라에서든 돌지만, 완전한 배포는 AKS와 Azure Foundry Agent Service, Azure Container Apps 같은 Azure 서비스와 맞물리도록 설계돼 있고 그 인프라에는 비용이 붙습니다.
무엇을 오픈소스로 푸는지 보면 어디서 버는지 보입니다. 통제를 팔아야 하는 회사에게 통제는 상품이고, 인프라를 파는 회사에게 통제는 입구입니다. 통제가 돈이 되느냐는 질문에 회사마다 다른 답이 나오는 이유가 여기 있습니다.
공개 시점을 다시 보면 이 선택의 무게가 더 잘 보입니다. 규제 발효가 6월과 8월로 코앞인데, 4월 이전까지 OWASP 리스크 전반을 다루는 오픈소스 선택지는 없었습니다. 규제 대응이 급해진 기업이 찾아 나설 때 처음 만나는 무료 답이 Microsoft의 것이 되도록 만들어 둔 셈입니다.
[4] 표준은 재단으로, 수익은 운영으로
통제 기술을 무료로 풀고 재단에 넘긴 뒤 인프라에서 회수하는 방식에는 전례가 있습니다. Google은 Kubernetes를 만들어 2015년 CNCF에 기증했습니다. 컨테이너 오케스트레이션은 그렇게 범용재가 됐고, 표준이 된 Kubernetes를 가장 잘 돌려주는 관리형 서비스 GKE는 Google Cloud의 수익원이 됐습니다. 표준은 재단이 가졌고, 돈은 운영에서 거뒀습니다.
AGT의 재단 이관 공언은 이 전례와 정확히 겹칩니다. 다만 지금 시점에 사실인 것은 공언까지입니다. 재단으로 갔다가 아니라, 가겠다고 했다입니다. 오픈소스 세계에서 이 간격은 작지 않습니다. 이관이 실행되면 AGT는 벤더 중립 표준의 자리를 얻고 Microsoft는 그 표준 위에서 Azure로 회수하는 구도가 완성됩니다. 이관이 미뤄지면 MIT 라이선스라 해도 로드맵과 방향은 Microsoft 손에 남습니다. 어느 쪽이 되는지가 이 프로젝트의 다음 장입니다.
[5] 무료 커널을 들이기 전에 그어야 할 선
에이전트를 프로덕션에 올리는 조직이라면 이 공개는 계산을 바꿉니다.
규제 대응이 급한 조직에게 AGT는 현재 거의 유일한 오픈소스 답입니다. EU AI Act와 Colorado 시한 전에 감사 증적과 정책 강제를 갖춰야 한다면, MIT 커널을 얹는 것이 유료 통제 상품을 도입하는 것보다 빠르고 쌉니다. 다만 완전한 배포가 Azure 서비스와 맞물리도록 설계된 만큼, 어디까지 자체 인프라로 돌리고 어디부터 Azure에 기대는지를 도입 전에 그어두는 편이 좋습니다. 무료로 들어와서 인프라에서 계산되는 방식이라는 점을 알고 들어가면 문제가 없고, 모르고 들어가면 나중에 청구서로 알게 됩니다.
통제를 상품으로 팔던 쪽은 셈이 급해졌습니다. 무료 커널이 깔리면 유료 거버넌스 제품의 차별점이 좁아지기 때문입니다. 실제로 한 거버넌스 스타트업은 AGT 공개 직후 "Microsoft는 툴킷을 냈고 우리는 완성된 제품을 판다"는 비교 문서를 올렸습니다. 커널이 무료가 된 이상, 그 위의 대시보드와 운영, 컴플라이언스 패키징으로 가치를 옮기는 것 말고는 길이 없다는 것을 그들도 알고 있습니다.
이 변화를 어떻게 쓸 것인가
기술 리더라면, 에이전트 거버넌스를 살지 조립할지의 선택지가 이번에 생겼습니다. AGT 커널 위에 자체 조립하는 경로와 완성형 유료 제품을 들이는 경로의 비용을 다시 비교할 시점입니다.
규제 산업의 보안과 컴플라이언스를 맡고 있다면, 6월과 8월 발효 전에 감사 증적을 갖추는 가장 빠른 경로로 AGT를 검토 목록에 올릴 만합니다. 단 배포가 어느 인프라와 맞물리는지 먼저 확인하세요.
창업자나 투자자라면, 거버넌스 커널이 범용재가 된 이후의 가치가 어디로 옮겨가는지를 보세요. 커널 위의 운영, 대시보드, 컴플라이언스 패키징이 다음 상품 자리입니다.
알고 보면 좋은 분석 포인트
첫째, 통제의 가격은 회사의 수익 레이어가 정한다는 점입니다. Vercel과 Databricks에게 통제는 상품이고 Microsoft에게 통제는 Azure로 가는 입구입니다. 같은 기술에 정반대 가격이 매겨지는 이유는 각 회사가 돈을 버는 자리가 다르기 때문입니다.
둘째, 오픈소스 공개의 시점이 전략의 일부라는 점입니다. 규제 발효 두 달 전, 오픈소스 선택지가 없던 시장에 첫 무료 답을 놓는 것은 표준을 가져가는 가장 빠른 방법입니다. Kubernetes가 보여준 방식이기도 합니다.
셋째, 재단 이관은 공언과 실행을 나눠 봐야 한다는 점입니다. 지금 사실인 것은 Microsoft가 이관을 목표로 협의 중이라는 것까지입니다. 이관이 실제로 이뤄지는지, 그 전까지 로드맵이 누구 손에 있는지가 이 프로젝트의 중립성을 가르는 기준이 됩니다.
참고 자료
-
Introducing the Agent Governance Toolkit (Microsoft Open Source Blog), 2026-04-02
https://opensource.microsoft.com/blog/2026/04/02/introducing-the-agent-governance-toolkit-open-source-runtime-security-for-ai-agents/ -
microsoft/agent-governance-toolkit (GitHub)
https://github.com/microsoft/agent-governance-toolkit -
Agent Governance Toolkit: Architecture Deep Dive (Microsoft Community Hub), 2026-04-10
https://techcommunity.microsoft.com/blog/linuxandopensourceblog/agent-governance-toolkit-architecture-deep-dive-policy-engines-trust-and-sre-for/4510105 -
Governing MCP tool calls in .NET with the Agent Governance Toolkit (.NET Blog), 2026-04-29
https://devblogs.microsoft.com/dotnet/governing-mcp-tool-calls-in-dotnet-with-the-agent-governance-toolkit/ -
systemprompt.io vs Microsoft Agent Governance Toolkit (systemprompt.io), 2026-05-21
https://systemprompt.io/guides/systemprompt-vs-microsoft-agent-governance -
Microsoft Just Open-Sourced the OS for AI Agents (Flowtivity), 2026-07
https://flowtivity.ai/blog/microsoft-agent-governance-toolkit/