콘텐츠로 건너뛰기
파운더 가격 — 얼리 고객에게 고정시작하기 →

Agent as a Service: 가격 모델, 테넌트 격리, AaaS 의사결정 프레임워크

Agent as a Service(AaaS)는 AI 에이전트가 벤더의 관리형 인프라에서 실행되어 오케스트레이션, 도구 실행, 메모리, 자격증명 관리를 처리하는 상업적 제공 모델입니다. 고객이 자체 런타임을 배포할 필요 없이 토큰당, 액션당, 또는 에이전트 시간당으로 청구됩니다. AaaS는 2026년 기업 구매 카테고리로 자리잡았습니다: OpenAI Operator가 2025년 1월에 출시되고, Google Agent Space가 GA에 도달하고, AWS Bedrock Agents가 엔터프라이즈 규모로 확장되면서 검색량이 2025년 6월 월 90건에서 2026년 Q1에는 월 260-390건으로 증가했으며 CPC는 $32.88입니다.

**Agent as a Service(AaaS)**는 AI 에이전트가 벤더의 관리형 인프라에서 실행되어 오케스트레이션, 도구 실행, 메모리, 자격증명 관리를 처리하며, 고객이 자체 에이전트 런타임을 배포 및 운영할 필요 없이 소비 기반(입력 토큰당, 실행된 액션당, 또는 에이전트 시간당)으로 청구되는 상업적 제공 모델입니다.

Agent as a Service의 의미: 세 가지 플랫폼 약속

모든 AaaS 플랫폼은 세 가지 주장을 합니다. 어떤 주장이 잘 이행되고 어떤 것이 마케팅인지 이해하면 인프라 예산을 확정하기 전에 구매자가 벤더를 평가하는 데 도움이 됩니다.

약속 1: 관리형 인프라(운영할 런타임 없음)

AaaS는 전체 에이전트 런타임 스택을 벤더에게 위임합니다: 오케스트레이션 엔진, 도구 실행 환경, 메모리 백엔드, 관찰 가능성 파이프라인, 수평 확장, 가동 시간 SLA. 고객은 에이전트를 정의하고(시스템 프롬프트, 도구, 메모리 구성) 호출합니다. 벤더가 실행합니다.

이것은 모든 관리형 서비스와 같은 트레이드오프입니다: RDS 대 자체 관리 Postgres, Lambda 대 자체 관리 컨테이너. 구성 가능성을 포기하고 잠재적으로 프리미엄을 지불하는 대신 운영 부담을 지지 않아도 됩니다. 관리형 인프라 약속은 AWS Bedrock Agents, Google Agent Space 및 대부분의 성숙한 AaaS 플랫폼에서 잘 이행됩니다.

플랫폼이 노출하지 않는 런타임 구성이 필요할 때 약속이 무너집니다: 사용자 정의 도구 실행 환경, 비표준 메모리 백엔드, 플랫폼의 고정 오케스트레이션 모델과 다른 에이전트 루프 로직.

인프라 계층 세부 정보는 AI 에이전트 배포 인프라 및 호스팅 옵션을 참조하세요.

약속 2: 소비 기반 가격(토큰, 액션, 시간당 지불)

2026년 AaaS 가격 책정은 세 가지 구조로 수렴했습니다:

모델 비용 외에 토큰당 오케스트레이션 수수료. 플랫폼은 기반 LLM과 별도로 오케스트레이션 계층을 청구합니다. AWS Bedrock Agents: 오케스트레이션 계층이 처리하는 입력 토큰당 $0.000025, 표준 LLM 모델 요금에 추가됩니다. Bedrock의 Claude 3.5 Sonnet($3.00/M 입력 토큰)의 경우 오케스트레이션 수수료는 $0.025/M 입력 토큰을 추가합니다. 하지만 Amazon Titan Text($0.30/M)와 같은 저렴한 모델의 경우 오케스트레이션 수수료는 8.33%의 추가 비용을 나타냅니다.

도구 통합을 위한 액션당 수수료. AWS Bedrock Knowledge Base 쿼리: $0.0004/쿼리. 세션당 50회 KB 조회를 하는 에이전트는 KB 수수료로 $0.02/세션을 지불합니다. 하루 100,000건 KB 쿼리: 액션 수수료만으로 $40/일.

에이전트 시간당 구독 티어. 일부 플랫폼은 각 활성 에이전트가 포함된 시간에 카운트되는 티어를 제공합니다. 이 모델은 안정적인 에이전트 플릿에는 비용 예측 가능성을 제공하지만 불규칙한 워크로드에는 비효율적일 수 있습니다.

소비 가격은 벤더의 인센티브를 고객 사용량에 맞추지만 장기 실행 에이전트에는 비용 예측 불가능성을 생성합니다. 폭주한 에이전트 루프는 오케스트레이션 계층과 모델 계층 모두에서 동시에 청구를 생성합니다.

비용 절감 전략은 에이전트 플릿을 위한 LLM 비용 최적화 및 토큰 예산 전략을 참조하세요.

약속 3: 자격증명 격리(에이전트 컨텍스트에 자격증명 없음)

자격증명 격리는 관리형 플랫폼을 "환경 변수에 API 키가 있는 클라우드 VM에서 실행되는 에이전트 코드"와 구별하는 AaaS 보안 프리미티브입니다. 자격증명은 서버 측에서 실행 시간에 주입되며 에이전트의 컨텍스트 창, 로그 파일, 또는 에이전트 코드가 구성하는 도구 호출 매개변수에 절대 나타나지 않습니다.

CVE-2024-5184(Palo Alto Unit 42, 2024년 6월, CVSS 9.1 CRITICAL)는 도구 응답을 통한 프롬프트 주입이 에이전트로 하여금 자체 컨텍스트 창을 외부로 유출시킬 수 있음을 입증했습니다. API 키가 컨텍스트 창에 있다면 이 벡터를 통해 외부로 유출될 수 있습니다.

모든 AaaS 벤더에게 할 진단 질문: "공격자가 프롬프트 주입을 통해 에이전트의 전체 컨텍스트 창을 추출하면 어떤 자격증명이 위험에 처합니까?" 정답은: 없음, 자격증명은 에이전트의 컨텍스트 창에 없습니다.

  • AWS Bedrock Agents: 호출당 IAM 역할 수임; 에이전트는 임시 IAM 역할 토큰 하에서 실행되며 원시 API 키를 보유하지 않음
  • OpenLegion: Zone 2에서 $CRED{} 핸들 해석; 에이전트 코드는 이름으로 자격증명을 참조; Zone 2는 실행 시간에 실제 값을 해석하고 에이전트에 반환하지 않음

Vault 프록시 패턴과 $CRED{} 핸들 아키텍처는 AI 에이전트의 자격증명 관리 및 테넌트별 API 키 범위 지정을 참조하세요.

2026년 AaaS 벤더 환경

AWS Bedrock Agents: IAM 격리를 갖춘 엔터프라이즈 AaaS

AWS Bedrock Agents는 시장 도달 범위 기준으로 지배적인 엔터프라이즈 AaaS 플랫폼입니다. 에이전트는 Bedrock 콘솔 또는 API를 통해 액션 그룹과 지식 베이스로 정의됩니다.

가격 책정(2026년):

  • 오케스트레이션 계층: $0.000025/입력 토큰
  • 모델 비용: 표준 Bedrock 요금(Claude 3.5 Sonnet: 입력 $3.00/M, 출력 $15.00/M)
  • Knowledge Base 쿼리: $0.0004/쿼리
  • Code Interpreter: $0.000025/입력 토큰

자격증명 격리: 호출당 IAM 역할 수임. 각 Bedrock Agent에는 IAM 실행 역할이 할당됩니다. 에이전트 자체는 원시 자격증명을 보유하지 않습니다.

제한 사항: AWS 서비스에 강하게 결합됨. 사용자 정의 에이전트 루프 로직 미지원. 컨텍스트가 많은 에이전트에서는 토큰당 오케스트레이션 수수료가 빠르게 누적됩니다.

OpenAI Operator: 브라우저 작업을 위한 소비자 AaaS

2025년 1월에 출시된 OpenAI Operator는 최초의 주류 소비자 지향 AaaS 제품입니다. 사용자를 대신해 샌드박스 브라우저 세션에서 웹 작업을 실행합니다.

자격증명 격리: 작업당 샌드박스 브라우저 세션. 세션은 작업 간에 유지되거나 공유되지 않습니다.

제한 사항: 브라우저만 지원, 웹 브라우징 외 사용자 정의 도구 통합 없음. 사용자 정의 에이전트 정의를 위한 개발자 API 없음.

Google Agent Space: Workspace 중심 기업을 위한 AaaS

Google Agent Space(2025년 출시, 2026년 GA)는 Google Workspace로 표준화된 조직을 위한 Google Cloud의 엔터프라이즈 AaaS 플랫폼입니다.

가격 책정: Google Cloud 소비 청구를 통해, Vertex AI 모델 비용에 Cloud Run 호출 수수료를 더한 형태.

제한 사항: Google Cloud 에코시스템 종속. 멀티 클라우드 통합에 유연성 낮음. 여러 청구 차원에 걸친 가격 불투명성.

AaaS 플랫폼의 기능 수준 비교는 AI 에이전트 플랫폼 기능 및 프레임워크 비교를 참조하세요.

AaaS 가격: 총 비용 이해

오케스트레이션 계층 수수료

모델입력 가격오케스트레이션 수수료모델 비용 대비 오케스트레이션 %
Claude 3.5 Sonnet$3.00/M$0.025/M0.83%
Claude 3 Haiku$0.25/M$0.025/M10%
Amazon Titan Text$0.30/M$0.025/M8.33%

액션당 수수료와 장기 실행 에이전트 세금

  • AWS Bedrock KB(하루 100,000쿼리): $40/일 = $1,200/월
  • t3.medium의 자체 호스팅 OpenSearch(하루 100,000쿼리): 약 $0.16/일 = $5/월

교차점 계산: AaaS 액션 수수료가 자체 호스팅 인프라 비용을 초과하는 시점은 약 하루 12,500쿼리.

AaaS에서의 폭주 루프 비용: 이중 청구

폭주한 에이전트 루프는 AaaS에서 자체 호스팅 배포보다 비용이 더 많이 듭니다. AaaS는 각 반복에서 모델 비용과 오케스트레이션 계층 수수료를 모두 청구하기 때문입니다.

AaaS 보안: 자격증명 격리와 CVE-2024-5184 테스트

AaaS 플랫폼을 위한 CVE-2024-5184 테스트

CVE-2024-5184(Palo Alto Unit 42, 2024년 6월, CVSS 9.1 CRITICAL): 도구 API 응답을 통한 프롬프트 주입.

CVE-2024-5184 테스트: "공격자가 프롬프트 주입을 통해 에이전트의 컨텍스트 창을 추출하면 어떤 자격증명에 접근할 수 있습니까?"

통과 (컨텍스트 창에 자격증명 없음):

  • AWS Bedrock Agents
  • OpenLegion

불합격 (자격증명 접근 가능):

  • 개발자가 시스템 프롬프트에 API 키를 배치한 플랫폼

멀티 테넌트 프롬프트 격리

인프라 수준 격리(가장 강력):

  • AWS Bedrock Agents: 테넌트당 별도 IAM 역할
  • Google Agent Space: Google Cloud 프로젝트 경계를 통한 격리
  • OpenLegion: 프로젝트당 블랙보드 네임스페이스 ACL

시스템 프롬프트 수준 격리(가장 약함): 프롬프트 주입이 테넌트 지시를 덮어쓸 때 실패(OWASP LLM06:2023).

테넌트별 자격증명 범위와 네임스페이스 ACL의 전체 아키텍처는 AI 에이전트 멀티 테넌시 및 교차 테넌트 격리 아키텍처를 참조하세요.

AaaS의 공유 책임 모델

보안 격차를 만드는 일반적인 고객 실수:

  1. 시스템 프롬프트에 자격증명 배치
  2. 지나치게 광범위한 도구 권한
  3. 에이전트별 도구 범위 없음
  4. 비가역 작업을 위한 HITL 인터럽트 없음

AaaS 대 자체 호스팅: 의사결정 프레임워크

AaaS가 이기는 경우

AaaS가 더 나은 선택인 조건:

  • 낮은 수준에서 중간 수준의 볼륨: 액션 수수료가 자체 호스팅 인프라 비용 미만(교차점 약 12,500쿼리/일)
  • 빠른 프로덕션 도달: AaaS는 수 주간의 인프라 설정을 제거
  • 컴플라이언스 상속: SOC 2 Type II 인증 AaaS 플랫폼

자체 호스팅이 이기는 경우

자체 호스팅 인프라가 적합한 조건:

  • 볼륨이 교차점 초과: 에이전트 액션 50,000건/일 초과
  • 사용자 정의 런타임 요구 사항: 비표준 도구 실행 환경
  • 데이터 거주 요구 사항: 규제 산업
  • 벤더 종속 위험 불허용

총 소유 비용(TCO)

10만 액션/일의 TCO 비교:

AaaS(AWS Bedrock 스타일):

  • KB 쿼리: $1,200/월
  • 오케스트레이션 수수료: 약 $300/월
  • 합계: 약 $1,500/월 + 모델 비용

자체 호스팅:

  • Kubernetes 클러스터: $800/월
  • 벡터 스토어: $200/월
  • 관찰 가능성 스택: $150/월
  • 엔지니어링: $2,400/월
  • 합계: 약 $3,550/월 + 모델 비용

OpenLegion의 견해: AaaS 보안은 자격증명 아키텍처의 문제

Agent as a Service는 2026년 엔터프라이즈 AI에서 가장 빠르게 성장하는 구매 카테고리이자 보안 기준선이 가장 표준화되지 않은 카테고리입니다.

아키텍처적 강제: 자격증명은 에이전트 코드나 컨텍스트 창에 절대 들어가지 않습니다. 이 속성은 개발자 실수로 우회될 수 없습니다.

관례 기반 격리: 개발자들에게 시스템 프롬프트에 자격증명을 넣지 않도록 지시됩니다. 시간적 압박, 코드 리뷰 공백, 개발자 온보딩 실패 하에서 무너집니다.

세 가지 구체적인 수치:

  • CVE-2024-5184(CVSS 9.1 CRITICAL, 2024년 6월)
  • $32.88 CPC(2026년 Q1-Q2 "agent as a service")
  • 전년 대비 4배 성장(2025년 6월~2026년 초 검색량)
보안 제어OpenLegionAWS Bedrock AgentsGoogle Agent SpaceOpenAI OperatorLangGraph(자체 호스팅)
$CRED{} 핸들 해석을 통한 자격증명 VaultZone 2, 아키텍처적IAM 역할 수임서비스 계정 범위세션 격리개발자 책임
에이전트당 일일 지출 한도(인프라 계층)Zone 2, $0-$50/일미제공미제공미제공개발자 책임
테넌트 프로젝트당 블랙보드 ACL아키텍처적IAM 기반프로젝트 기반해당 없음개발자 책임
에이전트당 도구 권한 범위런타임 강제액션 그룹 IAMIAM 기반해당 없음개발자 책임
테넌트당 WORM 감사 로그(SOC 2 CC6.1)기본 제공CloudTrailCloud Audit Logs해당 없음개발자 책임
git에서의 에이전트 정의INSTRUCTIONS.md콘솔/API콘솔/API해당 없음개발자 책임

OpenLegion에서 구축 시작 -- Zone 2에서의 $CRED{} Vault 프록시 해석을 통한 아키텍처적 자격증명 격리, Zone 2에서 강제되는 에이전트당 일일 지출 한도, 교차 테넌트 상태 접근을 아키텍처적으로 불가능하게 만드는 블랙보드 ACL을 갖춘 에이전트를 배포하세요.

자주 묻는 질문

Agent as a Service(AaaS)란 무엇입니까?

Agent as a Service(AaaS)는 AI 에이전트가 벤더의 관리형 인프라에서 실행되어 오케스트레이션, 도구 실행, 메모리, 자격증명 관리를 처리하며 고객에게 소비 기반으로 청구되는 상업적 제공 모델입니다. AaaS 카테고리는 OpenAI Operator 출시(2025년 1월), Google Agent Space GA, AWS Bedrock Agents의 엔터프라이즈 규모 달성과 함께 2026년에 확립되었습니다. 각 AaaS 플랫폼은 세 가지 약속을 합니다: 관리형 인프라, 소비 기반 가격, 자격증명 격리.

Agent as a Service의 비용은 얼마입니까?

AaaS 가격 책정에는 세 가지 비용 계층이 있습니다: 기반 LLM 모델 비용, 오케스트레이션 계층 수수료(AWS Bedrock Agents: $0.000025/입력 토큰), 도구 통합을 위한 액션당 수수료(AWS Bedrock Knowledge Base: $0.0004/쿼리). 하루 에이전트 액션 100,000건에서 AaaS 플랫폼 수수료는 모델 비용 제외 통상 월 $1,500~$3,600에 달합니다.

AWS Bedrock Agents란 무엇이며 어떻게 청구됩니까?

AWS Bedrock Agents는 IAM 역할 기반 자격증명 격리를 갖춘 AWS 관리형 인프라에서 에이전트 오케스트레이션, 액션 그룹, 지식 베이스를 제공하는 Amazon의 관리형 AaaS 플랫폼입니다. 가격 책정(2026년): 오케스트레이션 계층의 입력 토큰당 $0.000025; Knowledge Base 쿼리는 쿼리당 $0.0004.

OpenAI Operator란 무엇이며 AaaS에 왜 중요합니까?

2025년 1월에 출시된 OpenAI Operator는 최초의 주류 소비자 지향 Agent as a Service 제품으로, 샌드박스 브라우저 세션에서 사용자를 대신해 웹 작업을 실행하며 작업 완료당 청구됩니다. Operator의 시장 의의는 소비자도 에이전트 작업 실행에 서비스로 지불할 것임을 보여준 것으로, 2026년 초 "agent as a service" 검색량의 전년 대비 4배 증가와 직접 연관됩니다.

AaaS 플랫폼에서 자격증명 격리는 어떻게 작동합니까?

AaaS에서 자격증명 격리는 플랫폼이 고객의 LLM API 키, 데이터베이스 자격증명, 도구 시크릿을 에이전트 코드나 다른 테넌트에 절대 노출하지 않는 것을 의미합니다. AWS Bedrock Agents는 IAM 역할 수임을 통해 이를 달성합니다. OpenLegion은 Zone 2에서 $CRED{} 핸들 해석을 사용합니다: 에이전트 코드는 이름으로 자격증명을 참조하고, Zone 2는 실행 시간에 실제 값을 해석하며 에이전트에 반환하지 않습니다.

AaaS 플랫폼에 특유한 보안 위험은 무엇입니까?

주요 AaaS 특유 보안 위험은 프롬프트 주입(CVE-2024-5184, CVSS 9.1 CRITICAL)의 확장된 공격 표면입니다: AaaS 에이전트는 테넌트를 대신해 외부 API를 호출하고 외부 웹 콘텐츠를 처리하며, 이러한 외부 응답 중 하나에 적대적으로 제작된 지시가 포함될 수 있습니다. 두 번째 위험은 약한 격리 아키텍처로 인한 교차 테넌트 프롬프트 누출입니다. 세 번째 위험은 공유 책임 격차입니다.

AaaS 대 자체 호스팅 인프라를 언제 사용해야 합니까?

AaaS는 낮은 수준에서 중간 수준의 볼륨, 빠른 프로덕션 도달, 또는 컴플라이언스 상속에 더 나은 선택입니다. 자체 호스팅은 규모(50,000+ 액션/일 초과), 사용자 정의 런타임 요구 사항, 데이터 거주 규정, 또는 벤더 종속 위험이 불허용될 때 이깁니다. TCO 계산에는 항상 자체 호스팅 인프라 운영을 위한 엔지니어링 시간이 포함되어야 합니다.

AaaS의 멀티 테넌트 프롬프트 격리란 무엇입니까?

AaaS의 멀티 테넌트 프롬프트 격리는 테넌트 A의 시스템 프롬프트, 대화 이력, 도구 결과, 메모리 상태가 테넌트 B의 에이전트 컨텍스트에 절대 나타나지 않음을 의미합니다. 가장 강력한 격리 메커니즘은 인프라 수준입니다. 가장 약한 패턴은 시스템 프롬프트 수준 격리로, 프롬프트 주입이 테넌트 지시를 덮어쓰거나 무시할 때 실패합니다(OWASP LLM06:2023).