이 게시물은 규제 환경에서 실행 과정과 책임을 통제할 수 있는 AI 에이전트 아키텍처를 정리한 글입니다. 생성형 AI가 자율적으로 계획하고 도구를 호출하는 에이전트로 발전하면서 데이터 접근·도구 사용·행동 허용/차단·사람 개입 시점·실행 추적 기준이 필요하다고 강조합니다. 규제는 체크리스트가 아니라 아키텍처 설계 요구사항이며 레이어드 컴플라이언스 관점으로 개인정보보호 및 AI/산업별 규제 위에 Responsible AI·NIST AI RMF·OWASP Top 10 for LLM Applications·AWS Well-Architected 등을 계층적으로 반영하는 접근을 제시합니다. AI 에이전트는 “만드는 방법-통제하는 방법-유지하는 방법”의 관점으로 설명되며, 모델 입출력은 Bedrock Guardrails로 필터링하고 에이전트 행동은 AgentCore Policy로 도구/API 호출을 정책 조건에 따라 차단하도록 분리 제어합니다. 배포 후에는 AgentCore Evaluations로 도구 실행 시퀀스의 절차 규제 준수와 Security Agent의 모의 해킹을 통해 지속 검증을 수행한다고 합니다.