중국 AI 에이전트 가이드라인, 지능 인터넷의 시작
중국의 AI 에이전트 시행 의견은 챗봇 규제를 넘어 등록, 신원, 상호운용, 권한, 추적을 갖춘 지능 인터넷 구상으로 이동합니다.
- 무슨 일: 중국 CAC, NDRC, MIIT가 2026년 5월 8일
AI 에이전트 시행 의견을 발표했습니다.- 공식 보도는 에이전트를 자율 인지, 기억, 의사결정, 상호작용, 실행 능력을 가진 지능 시스템으로 정의했습니다.
- 핵심 변화: 규제 대상이 생성 콘텐츠에서 행동하는 디지털 행위자로 확장됩니다.
- 등록, 디지털 신원, capability declaration, AIP, IPv6, compliant payments가 같은 문맥에 등장합니다.
- 개발자 의미: 중국 시장의 에이전트 제품은 모델 성능보다 권한, 로그, 위험 등급, 산업별 검증을 먼저 설계해야 합니다.
- 주의점: 시행 의견은 방향을 제시한 문서이며, 실제 비용은 후속 표준과 부문별 감독 세칙에서 결정됩니다.
중국이 AI 에이전트를 별도의 정책 대상으로 올려놓았습니다. 2026년 5월 8일, 중국 국가인터넷정보판공실(CAC), 국가발전개혁위원회(NDRC), 공업정보화부(MIIT)는 AI 에이전트의 표준화된 적용과 혁신 발전을 위한 시행 의견을 발표했습니다. 중국 국무원 영문 포털에 실린 Xinhua 보도는 이 문서를 "AI plus" 행동 계획을 실행하고, AI 에이전트를 핵심 AI 제품과 서비스 형태로 질서 있게 키우기 위한 가이드라인으로 설명합니다.
표면적으로는 중국의 또 다른 AI 규제 문서처럼 보일 수 있습니다. 그러나 이번 문서가 흥미로운 이유는 규제의 중심이 "AI가 무엇을 말하는가"에서 "AI가 무엇을 할 수 있는가"로 이동했기 때문입니다. 생성형 AI 규제는 주로 콘텐츠, 데이터, 알고리즘 신고, 표시 의무, 유해 정보 방지에 집중했습니다. 에이전트 규제는 다릅니다. 에이전트는 도구를 호출하고, 결정을 보조하고, 사용자의 위임을 받아 여러 시스템을 오가며, 경우에 따라 물리 세계의 장치나 공공 서비스까지 건드립니다.
중국 공식 보도는 에이전트를 "자율 인지, 기억, 의사결정, 상호작용, 실행" 능력을 가진 지능 시스템으로 정의합니다. 이 다섯 단어가 이번 뉴스의 핵심입니다. 챗봇은 대체로 입력에 답합니다. 에이전트는 상태를 기억하고, 다음 행동을 고르고, 다른 시스템과 상호작용하고, 실행 결과를 만듭니다. 그래서 같은 AI라고 해도 규제 질문이 달라집니다. 누가 권한을 주었는가. 어떤 행동은 사람만 결정해야 하는가. 어떤 행동은 위임할 수 있는가. 에이전트가 범위를 넘어서면 누가 멈추는가. 실패는 어디에 기록되는가.
중국은 에이전트를 앱이 아니라 인프라로 보기 시작했습니다
국무원 보도는 가이드라인의 기본 원칙을 네 가지로 요약합니다. 안전과 통제 가능성, 질서와 표준화, 혁신 주도 성장, 응용 견인입니다. 이 조합은 중국의 산업 정책 문법과 잘 맞습니다. 위험을 인정하되, 배포를 멈추기보다 표준과 통제 장치를 깔고 산업 적용을 밀어붙이는 방식입니다.
문서가 제시한 네 가지 조치 영역도 같은 방향입니다. 첫째, 개발 기반을 강화하고 기술 인프라와 표준·프로토콜을 구축합니다. 둘째, 안전과 보안을 보장합니다. 셋째, 과학 연구, 산업 발전, 소비 촉진, 공공복지, 사회 거버넌스를 아우르는 대표 응용 시나리오를 밀어붙입니다. 넷째, 혁신 생태계와 산업 협력, 응용 확산을 촉진합니다.
여기까지는 평범한 정책 문장처럼 읽힐 수 있습니다. 하지만 전문 번역과 분석을 보면 더 구체적인 방향이 드러납니다. 문서는 에이전트 등록 플랫폼, 디지털 신원, 발견과 검색, capability declaration, compliance certification, agent interoperability protocol, IPv6 기반 통신, compliant payments, conflict resolution을 함께 언급합니다. 이것은 단순히 "AI 앱을 잘 관리하자"는 수준이 아닙니다. 에이전트가 서로를 찾고, 자신이 무엇을 할 수 있는지 선언하고, 권한을 받고, 결제하고, 충돌을 해결하고, 추적 가능한 방식으로 행동하는 네트워크를 상상하고 있습니다.
그래서 이 문서를 "지능 인터넷" 구상으로 읽을 수 있습니다. 현재 인터넷은 사람, 서버, 앱, API, 결제, 인증, 도메인, 브라우저가 얽힌 네트워크입니다. 에이전트가 주요 사용자가 되면 같은 질문이 다시 열립니다. 에이전트는 어떤 신원을 갖는가. 어떤 API를 호출해도 되는가. 다른 에이전트에게 서비스를 요청할 때 비용은 어떻게 지불하는가. 책임은 개발자, 배포자, 사용자, 플랫폼 중 누구에게 돌아가는가. 중국 가이드라인은 이 질문을 국가 차원의 표준화 과제로 올려놓았습니다.
AIP와 IPv6가 같은 문단에 등장한 이유
개발자 관점에서 가장 눈에 띄는 부분은 상호운용입니다. 번역된 문서는 agent interoperability protocol, 즉 AIP와 같은 interconnection technology의 국가·산업 표준화를 촉진하고, 에이전트와 소프트웨어 도구, 애플리케이션 서비스, 하드웨어 주변장치 사이의 인터페이스 표준을 만들겠다고 설명합니다.
이것은 최근 서구권의 MCP, A2A, 에이전트 상호운용 표준 논의와 같은 문제를 다른 정책 언어로 다루는 것입니다. 에이전트가 실제로 일을 하려면 도구를 써야 합니다. 도구를 쓰려면 인터페이스, 인증, 권한, 입력·출력 스키마, 실패 처리, 감사 로그가 필요합니다. 이 레이어가 모두 벤더별로 갈라지면 에이전트 생태계는 빠르게 파편화됩니다.
중국 문서가 IPv6를 언급한 것도 의미가 있습니다. IPv6 자체가 새 기술은 아닙니다. 그러나 에이전트 간 end-to-end communication, identity, discovery, capability declaration을 논할 때 IPv6가 들어간다는 것은, 에이전트를 단순 SaaS 기능이 아니라 네트워크 행위자로 보는 발상에 가깝습니다. 지금의 에이전트 제품은 대체로 특정 앱, 특정 IDE, 특정 클라우드 안에서 움직입니다. 중국 가이드라인은 그 다음 단계를 묻습니다. 에이전트가 여러 플랫폼을 가로질러 행동한다면, 그 주소, 신원, 권한, 기록은 어떤 공통 구조를 가져야 하는가.
이 질문은 중국만의 문제가 아닙니다. AWS AgentCore는 identity, gateway, observability, payments를 묶고 있습니다. Microsoft Agent 365는 조직 내부 에이전트를 등록하고 통제하려 합니다. Fiserv agentOS는 은행 에이전트를 코어 뱅킹 시스템 위에서 관리하려 합니다. OpenAI Codex와 Claude Code는 장시간 실행, 승인, 원격 통제, 로그, 샌드박스를 제품화하고 있습니다. 모든 흐름이 같은 곳을 가리킵니다. 에이전트의 경쟁력은 모델 답변 하나가 아니라, 행동을 둘러싼 인프라에서 갈립니다.
위험 등급에 따라 시장 진입 비용이 달라집니다
이번 가이드라인이 개발팀에 주는 실무적 메시지는 "중국에서는 AI 에이전트를 만들 때 위험 등급을 먼저 생각하라"입니다. 문서는 애플리케이션 시나리오와 잠재적 영향에 따라 계층적이고 분류된 거버넌스를 시행하겠다고 설명합니다. 민감 분야와 핵심 산업에서는 신고, 테스트, 제품 리콜 같은 조치가 나올 수 있습니다. 반대로 일상 오락이나 사무 같은 저위험 분야는 자체 평가, 정보 보고, 플랫폼 거버넌스, 업계 자율 규제를 더 많이 활용할 수 있습니다.
이 차이는 제품 기획을 바꿉니다. 일반 사무 에이전트는 사용자 승인, 개인정보 보호, 로그, 기업 관리자 통제 정도가 핵심일 수 있습니다. 그러나 금융 리스크 통제, 의료 진단 보조, 교통 안전, 정부 승인, 사법 보조, 공공안전 에이전트는 다른 세계입니다. 그곳에서는 성능 데모보다 안전 아키텍처, 테스트 문서, 제3자 평가, 인증, 리콜 절차, 부문별 감독기관 대응이 시장 진입 조건이 됩니다.
| 구분 | 저위험 사무·소비 에이전트 | 고위험 산업·공공 에이전트 |
|---|---|---|
| 주요 예시 | 오피스 업무, 쇼핑 보조, 일정·문서 자동화 | 금융, 의료, 교통, 에너지, 정부, 사법, 공공안전 |
| 통제 방식 | 자체 평가, 정보 보고, 플랫폼 규칙, 사용자 승인 | 신고, 테스트, 인증, 부문별 감독, 리콜 가능성 |
| 개발 요구 | 권한 범위, 개인정보 보호, 로그, 비용 통제 | 행동 추적, 감사 증적, 안전 평가, 실패 복구, 책임 분리 |
이 관점에서 보면 에이전트 시장은 모델 API 시장보다 훨씬 더 지역화될 가능성이 큽니다. 모델은 API만 바꾸면 어느 정도 교체할 수 있습니다. 하지만 에이전트의 권한 모델, 로그 스키마, 위험 분류, 신고 절차, 인증 체계는 국가와 산업별 규칙에 묶입니다. 중국 시장에서 에이전트를 운영하려는 글로벌 기업은 "중국어 성능"만 볼 수 없습니다. 중국식 에이전트 등록, 신원, 데이터, 콘텐츠, 사회 거버넌스 요구사항을 제품 구조에 반영해야 합니다.
인간의 최종 결정권이 제품 요구사항이 됩니다
가이드라인의 또 다른 핵심은 의사결정 권한입니다. 번역본은 사용자가 직접 결정해야 하는 행동, 사용자 승인 뒤 AI에 위임할 수 있는 행동, 에이전트가 자율적으로 수행할 수 있는 행동의 경계를 명확히 하라고 설명합니다. 또한 사용자의 알 권리와 최종 결정권을 보장하고, 에이전트가 승인 범위를 넘지 않도록 해야 한다고 적습니다.
이는 추상적 윤리 문장이 아니라 UI와 백엔드 설계 요구사항입니다. 에이전트가 이메일을 보낼 수 있다면, 모든 이메일을 자동으로 보낼 수 있는지, 특정 수신자나 금액이나 민감도에서는 승인이 필요한지 정해야 합니다. 결제를 할 수 있다면 단일 거래 한도, 누적 예산, 환불 절차, 구매 대상 제한이 필요합니다. 파일을 삭제할 수 있다면 복구 가능성과 확인 절차가 있어야 합니다. 공공서비스나 금융 업무를 처리한다면 사람의 최종 승인과 감사 로그가 더 중요해집니다.
OpenAI Codex 모바일 승인, GitHub Copilot 코드리뷰 과금, AWS AgentCore Payments, Fiserv agentOS 같은 최근 발표와 연결하면 흐름이 선명해집니다. 에이전트가 행동할수록 승인 UX는 부가 기능이 아니라 핵심 보안 계층이 됩니다. 누가 어디서 승인했는지, 어떤 정보를 보고 승인했는지, 승인 이후 어떤 도구가 실행됐는지를 남겨야 합니다. 중국 가이드라인은 이 원칙을 국가 정책 언어로 제시한 사례입니다.
보안은 모델 안전보다 넓습니다
중국의 이번 문서는 에이전트 보안을 모델 안전으로만 보지 않습니다. 데이터 보안, 개인정보 보호, 암호 보호, 공격 탐지, 권한 관리, 행동 통제, 데이터 오염, 프라이버시 유출, 알고리즘 변조, 시스템 취약점, 운영 통제 상실을 함께 언급합니다. 공급망 보안도 별도 항목입니다. 모델 접근, API 호출, 확장 도구 사용, 위험 경보, 정보 공유, 전 생애주기 보안 표준이 모두 포함됩니다.
이 목록은 에이전트 보안이 왜 어려운지 보여줍니다. 챗봇 보안은 주로 prompt injection, 데이터 유출, 유해 콘텐츠를 떠올리게 합니다. 에이전트 보안은 거기에 실행 권한이 붙습니다. 잘못된 tool call, 악성 MCP 서버, 오염된 플러그인, 과도한 OAuth scope, 취약한 브라우저 세션, 프롬프트를 통한 권한 우회, 자동 결제 오남용, 공급망 취약점이 모두 같은 문제의 일부가 됩니다.
중국 관영 매체가 OpenClaw 관련 보안 경고와 에이전트 취약점을 함께 언급한 것도 이 맥락입니다. 특정 제품의 문제라기보다, 에이전트가 브라우저, 파일, API, 결제, 코드 실행을 함께 다루는 순간 보안 표면이 급격히 넓어집니다. 그래서 중국 가이드라인은 "행동을 발견하고, 개입하고, 차단하고, 복구하는" governance toolchain을 강조합니다.
중국식 에이전트 생태계의 전략적 의미
이번 문서는 산업 전략도 분명히 담고 있습니다. 전문 번역에 따르면 중국은 국내 오픈소스 AI 커뮤니티가 에이전트에 더 집중하도록 유도하고, 에이전트가 오픈소스 칩, 운영체제, foundation model과 호환되도록 촉진하려 합니다. 이는 단순 기술 선택이 아니라 지정학적 선택입니다. 에이전트가 미래의 소프트웨어 실행 계층이 된다면, 그 계층을 외국 모델, 외국 클라우드, 외국 프로토콜에 완전히 의존하고 싶지 않다는 뜻입니다.
동시에 문서는 국제 표준 설정에도 적극 참여하겠다고 말합니다. 이것은 중요한 균형입니다. 중국은 국내 통제 가능성을 원하지만, 에이전트는 본질적으로 국경과 플랫폼을 넘습니다. 글로벌 공급망, 금융, 여행, 연구, 소프트웨어 개발에서 에이전트가 서로 통신하려면 최소한의 표준이 필요합니다. 만약 미국과 중국이 서로 다른 agent identity, permission, logging, interoperability 체계를 만든다면, 인터넷이 둘로 나뉘는 것과 비슷한 파편화가 생길 수 있습니다.
개발자에게 이 문제는 멀리 있는 외교 뉴스가 아닙니다. 지금 작성하는 agent framework, tool schema, audit log, permission model이 어느 표준과 호환되는지에 따라 향후 시장 접근성이 달라질 수 있습니다. 오늘은 내부 도구 연결 편의를 위해 만든 스키마가, 내일은 산업 표준이나 규제 문서의 요구사항과 맞아야 할 수 있습니다.
아직 모르는 것들
물론 이번 시행 의견만으로 모든 것이 확정된 것은 아닙니다. 첫째, 구속력의 구체적 형태가 중요합니다. 시행 의견은 방향을 제시하지만, 실제 사업자가 무엇을 언제까지 해야 하는지는 후속 표준, 부문별 규칙, 신고 절차, 인증 제도에서 더 분명해질 것입니다.
둘째, AIP와 지능 인터넷이 실제 기술 표준으로 어디까지 구현될지 봐야 합니다. 에이전트 등록 플랫폼, 디지털 신원, capability declaration은 강력한 아이디어이지만, 잘못 설계하면 혁신을 돕기보다 관문 비용을 높일 수 있습니다. 반대로 표준이 너무 느슨하면 신뢰성과 보안 문제를 해결하지 못합니다.
셋째, 저위험과 고위험의 경계가 실제 제품에서 애매할 수 있습니다. 일정 관리 에이전트가 출장 예약과 결제를 처리하면 소비자 도구인가, 금융 행위자인가. 의료 문서를 요약하는 에이전트가 진단 가능성을 언급하면 어디부터 의료 에이전트인가. 업무용 문서 에이전트가 HR 평가나 해고 절차에 쓰이면 저위험 사무 도구로 볼 수 있는가. 이런 경계 문제는 모든 국가의 에이전트 규제에서 반복될 것입니다.
개발팀이 지금 봐야 할 것
중국의 AI 에이전트 가이드라인은 당장 모든 개발팀의 코드를 바꾸지는 않습니다. 하지만 방향은 분명합니다. AI 에이전트가 실제 업무와 공공 시스템으로 들어갈수록, 제품 요구사항은 prompt 품질을 넘어갑니다. 에이전트 신원, 권한 범위, 행동 로그, 위험 등급, 사람 승인, 인증, 평가, 리콜, 공급망 보안이 제품의 일부가 됩니다.
이 뉴스는 중국만의 규제 특수성으로 끝나지 않을 가능성이 큽니다. 유럽은 AI Act와 부문별 규칙으로, 미국은 CAISI 평가와 NIST 프레임워크, 민간 플랫폼 통제로, 대형 클라우드는 AgentCore와 Agent 365 같은 운영 계층으로 같은 문제를 풀고 있습니다. 표현은 다르지만 질문은 같습니다. 에이전트가 행동할 때, 누가 그 행동을 신뢰하고 멈추고 설명할 수 있는가.
중국은 그 질문에 "지능 인터넷"이라는 더 큰 구조로 답하려 합니다. 그 구조가 실제로 개방적이고 상호운용 가능한 생태계가 될지, 아니면 강한 국가 통제와 산업 보호의 장치가 될지는 아직 알 수 없습니다. 하지만 한 가지는 분명합니다. AI 에이전트 규제는 챗봇 규제의 연장이 아닙니다. 에이전트가 디지털 세계의 행위자가 되는 순간, 규제도 콘텐츠에서 행동 인프라로 이동합니다.
개발자와 AI 제품팀이 이 흐름에서 배울 점은 단순합니다. 에이전트 제품을 만들 때 "무엇을 할 수 있는가"만큼 "어떤 권한으로, 어떤 기록을 남기며, 어떤 상황에서 멈추는가"를 먼저 설계해야 합니다. 모델이 강해질수록 이 질문은 더 중요해집니다. 중국의 새 가이드라인은 그 현실을 국가 정책의 언어로 가장 노골적으로 보여준 문서 중 하나입니다.