크롬 기업 정책을 사용해 Amazon Bedrock AgentCore의 AI 에이전트 브라우징 범위 제어

Amazon Bedrock AgentCore의 Browser Tool은 AI 에이전트가 웹사이트를 자율적으로 탐색·조작할 수 있도록 격리된 Chrome 환경을 제공하는 관리형 서비스다. 이번 업데이트의 핵심은 기업 관리자들이 실제 Chrome 브라우저를 통제할 때 사용하는 Chrome Enterprise Policies(JSON 정책 파일)를 AgentCore 세션에도 그대로 적용할 수 있게 된 점이다. URLAllowlist, URLBlocklist, 다운로드 제한, 확장 프로그램 차단, 그리고 커스텀 루트 CA 인증서 주입 등의 정책을 세션 생성 시점에 주입하면, 에이전트는 OS 레벨 정책 엔진에 의해 강제된 가드레일 안에서만 동작한다. 세션 레코딩 기능으로 정책이 실제로 어떻게 적용됐는지 영상으로 검증할 수 있고, 사내 PKI로 서명된 내부 사이트도 커스텀 루트 CA를 통해 자연스럽게 신뢰할 수 있다.

기술적으로 중요한 부분은 이 통제가 프롬프트 수준이 아니라 브라우저 런타임 수준에서 이뤄진다는 점이다. LLM 기반 에이전트는 프롬프트 인젝션이나 환각으로 인해 의도하지 않은 URL로 이탈할 수 있는데, 시스템 프롬프트에 "X 사이트만 방문해" 같은 지시를 넣는 것만으로는 보안 경계가 만들어지지 않는다. 반면 Chrome Enterprise Policy는 모델이 어떤 출력을 내놓든 브라우저 자체가 차단하기 때문에, 모델의 판단을 신뢰 경계로 삼지 않는 진정한 의미의 defense-in-depth가 가능해진다. 특히 RAG·리서치 에이전트가 사내 위키, 고객 포털, 결제 화면 등 민감한 도메인을 다루는 경우 데이터 유출 경로(외부 분석 도구, 광고 픽셀, 임의 다운로드)를 원천 차단할 수 있다는 점이 실무적으로 큰 차이를 만든다.

국내 개발자 관점에서 보면, 그동안 LangChain·Playwright 기반으로 자체 구축하던 "agentic browser" 인프라의 보안 책임이 상당 부분 AWS 관리 영역으로 넘어간다는 의미가 크다. 자체 구축 시에는 컨테이너 격리, 네트워크 ACL, mitmproxy를 활용한 트래픽 감사, 인증서 핸들링 등을 직접 설계해야 했지만, AgentCore + Enterprise Policy 조합은 이미 보안팀에게 익숙한 표준(Chromium 정책 스키마)을 그대로 재사용할 수 있다. 금융·헬스케어처럼 컴플라이언스 증빙이 필요한 도메인에서는 세션 레코딩을 그대로 감사 로그로 제출할 수 있다는 점도 매력적이다.

실제 도입을 검토한다면 몇 가지를 확인해두는 게 좋다. 첫째, 정책 JSON은 Chrome에서 사용하는 키 이름과 동일하므로 `chrome://policy/templates` 문서를 그대로 참고하면 된다. 둘째, URLAllowlist만으로는 부족하며 ExtensionInstallBlocklist, DownloadRestrictions, DefaultPopupsSetting 등 부수적인 항목까지 함께 잠가야 우회 경로가 닫힌다. 셋째, 커스텀 루트 CA를 주입할 때는 사내 CA의 개인키가 아니라 공개 인증서만 전달해야 하며, IAM 정책으로 세션 생성 권한을 최소화해 정책 자체를 우회하는 우회로를 막아야 한다. 마지막으로 Bedrock·AgentCore는 현재 일부 리전에서만 GA 상태이므로 서울 리전 가용성과 데이터 거주 요건을 사전에 확인할 필요가 있다.