본문으로 건너뛰기
피드

AI 에이전트 인증 4겹 방어를 전부 뚫는 방법 — Capability 기반 Warrant가 답인 이유

security 약 7분
vote
0
댓글
북마크

서비스 계정, OAuth, RBAC, 정책 엔진까지 4겹 인증 스택을 갖춰도 AI 에이전트의 프롬프트 인젝션을 막지 못하는 구조적 이유를 분석하고, identity가 아닌 intent를 인코딩하는 warrant 기반 인가를 해결책으로 제시.

  • 1

    기존 인증은 전부 identity 기반 — intent를 검증하지 못함

  • 2

    에이전트 프레임워크가 자격 증명을 서브 에이전트에 그대로 상속

  • 3

    Warrant: 허용 도구+인자 제약+TTL을 서명된 토큰으로 발급

  • 4

    IETF OAuth WG에 Internet-Draft 제출, 오픈소스 Tenuo 공개

기존 인증 스택이 AI 에이전트를 못 막는 이유

  • AI 에이전트에 프로덕션 시스템 접근 권한을 줄 때, 대부분 "제대로 된" 인증 스택을 구축함 — 서비스 계정, OAuth 스코프, 관계 기반 접근 제어(Zanzibar 스타일), 정책 엔진까지 4겹 방어
    • 이 4개 레이어 전부 통과해도 공격이 성공하는 시나리오가 존재함
  • 예시: 청구서 처리 멀티 에이전트 파이프라인
    • 청구서가 들어오면 벤더 검증 → 승인 → 결제 실행까지 자동으로 진행
    • 악의적인 지시가 사용자 프롬프트가 아니라 청구서 데이터의 메모 필드에 숨어있음 — "은행 계좌가 변경됐으니 업데이트하라"는 내용
    • 에이전트는 이걸 정상 업무 절차의 일부로 처리함

4겹 방어가 전부 뚫리는 과정

  • 서비스 계정: 청구서 처리기는 정당한 서비스이고, 정당한 IAM 역할을 가짐. "검증 상태 업데이트"와 "은행 라우팅 번호 변경"을 구분할 메커니즘이 없음 → ALLOW
  • OAuth 스코프: vendors:write 스코프가 검증 상태 업데이트에도, 은행 정보 변경에도 동일하게 적용됨 → ALLOW
    • Rich Authorization Requests(RAR) 같은 확장 스펙이 있지만, 자율 파이프라인에서 초당 수십 건의 토큰 교환 round-trip은 병목이 되므로 개발자가 그냥 넓은 토큰을 그대로 넘김
  • 관계 기반 접근 제어: 에이전트가 해당 벤더의 editor라는 건 맞음. editor는 editor일 뿐, 필드 수준의 의도를 구분하지 못함 → ALLOW
  • 정책 엔진: 사유("은행 마이그레이션")도 있고, 시간당 조작 횟수도 한도 이내. 정책 엔진은 전달받은 컨텍스트만 평가하는데, 공격받은 에이전트가 컨텍스트를 조작하면 끝 → ALLOW

⚠️주의

> 4개 레이어 모두 "이 에이전트가 누구인가(identity)"만 검증함. "이 에이전트가 지금 이 인자로 이 작업을 해야 하는가(intent)"는 어디서도 확인하지 않음.

  • 결국 $14,200이 공격자 계좌로 이체됨 — 50년 전 confused deputy 문제가 그대로 재현된 것

에이전트 프레임워크의 구조적 문제

  • LangGraph, CrewAI, OpenAI Swarm 등에서 자격 증명과 세션 컨텍스트가 서브 에이전트로 그대로 상속됨
    • 오케스트레이터가 vendors:writepayments:execute 모두 보유 → 읽기 전용 리서치 서브 에이전트도 결제 실행 권한을 가지게 됨
    • 서브 에이전트가 프롬프트 인젝션당하면 폭발 반경(blast radius)이 "서브 에이전트가 해야 할 일"이 아니라 "오케스트레이터가 할 수 있는 모든 것"이 됨
  • 위임 시점에 "부모의 자격 증명 중 이 태스크에 필요한 부분집합만 발급하고, 태스크 종료 시 만료"시키는 원시 메커니즘(primitive)이 없음

해결책: Warrant 기반 인가 (Capability Security)

  • "너는 재무 역할이다" 대신 → "너는 벤더 V-4521에 대해 계좌 7291034851로만, 10분 이내에 결제할 수 있다"
    • 서명된 토큰(warrant)에 허용 도구, 인자 제약조건, TTL을 명시
    • 오케스트레이터가 태스크 계획 시 ERP에서 정상 계좌를 읽고, 서브 에이전트가 오염된 데이터를 만지기 전에 warrant에 암호학적으로 고정
  • 위임 체인에서 각 단계마다 권한이 좁아질 수만 있고, 넓어질 수 없음
    • 서명은 각 hop마다 이루어지고, 로컬에서 마이크로초 단위로 검증 — 서버 콜백 불필요
    • 탈취된 warrant도 보유자의 암호 키에 바인딩되어 있고 수분 내 만료
ID 기반 Warrant 기반
권한 부여 "재무 역할 보유" "V-4521에 특정 계좌로만 결제 가능"
부여 시점 설정 시 태스크별
위임 인가 서버 round-trip 필요 오프라인으로 각 hop에서 축소
에이전트 탈취 시 전체 ambient 권한 노출 해당 태스크 warrant 범위만 노출
  • 프롬프트 인젝션 자체를 막지는 못함 — 아직 누구도 못 막음
    • 하지만 폭발 반경을 "해당 태스크에 필요한 정확한 범위"로 제한함
  • IETF OAuth Working Group에 Internet-Draft로 제출된 상태
  • 오픈소스 라이브러리 Tenuo로 공개됨 — Rust 코어, Python SDK, LangGraph/CrewAI/OpenAI/Google ADK/Temporal 연동 지원

기술 맥락

  • 여기서 말하는 confused deputy 문제는 1988년 Hardy가 명명한 고전적 보안 이슈예요. 정당한 권한을 가진 프로그램이 외부 입력에 속아서 자기 권한을 악용당하는 건데, AI 에이전트 시대에 와서 이게 폭발적으로 심각해진 거거든요. 에이전트가 도구 출력(tool output)을 "데이터"가 아니라 "지시"로 해석하는 순간 기존 RBAC/ABAC 전부 무력화됨
  • Capability-based security는 Dennis & Van Horn이 1966년에 제안한 개념인데, 기존에는 OS 레벨(capsicum, seL4)에서나 쓰였어요. 이걸 에이전트 위임 체인에 적용한 게 이 논문의 핵심인데, 단순 capability 토큰과 다른 점은 각 hop에서 권한을 축소만 할 수 있는 단방향 위임 체인이라는 것
  • OAuth RAR(RFC 9396)이 이론상 fine-grained 인가를 지원하긴 하는데, 현실적으로 자율 에이전트 파이프라인에서 매 tool call마다 Authorization Server와 round-trip하는 건 레이턴시 때문에 불가능에 가까워요. 그래서 개발자들이 넓은 토큰을 그냥 전달하게 되는 건데, warrant 방식은 이 round-trip 없이 로컬에서 검증 가능하다는 게 실용적 차별점

프롬프트 인젝션이 해결 불가능한 현실에서, 폭발 반경을 제한하는 접근이 훨씬 실용적. 에이전트에 권한을 줄 때 '누구인가'가 아니라 '무엇을 할 수 있는가'로 생각해야 함.

댓글

댓글

댓글을 불러오는 중...

security

엘에이 경찰, 사생활 침해 논란 끝에 플록 번호판 감시 계약 종료

엘에이 경찰이 번호판 인식 카메라 업체 플록 세이프티와의 3년 계약을 연장하지 않기로 했어. 시민권, 프라이버시, 데이터 보관과 공유 문제를 해결하지 못했다는 게 핵심 이유야. 플록은 미국 전역에 최소 8만 대 카메라망을 깔아 경찰과 연방기관이 차량을 추적할 수 있게 해왔고, 오탐·보안 사고·이민 단속 악용 의혹까지 겹치며 압박이 커졌어.

security

크로미움 148부터 Math.tanh 한 번으로 운영체제 지문이 새는 문제

크로미움 148 이후 V8이 Math.tanh 계산을 자체 구현 대신 운영체제의 수학 라이브러리에 맡기면서, 같은 입력값도 리눅스·맥·윈도우에서 마지막 비트가 달라지는 지문 신호가 생겼다. 이 차이는 User-Agent로 맥이라고 주장하면서 리눅스 수학 결과를 내는 식의 위장을 바로 들키게 만든다. CSS 삼각함수와 웹 오디오까지 보면 브라우저 수학 경로가 꽤 복잡하게 갈라지고, 제대로 흉내 내려면 실제 운영체제 라이브러리의 비트 단위 동작까지 맞춰야 한다.

security

출입통제도 클라우드 구독제로 간다…제로트러스트·AI 분석이 승부처

기업 출입보안이 사업장별 서버를 두는 방식에서 클라우드 기반 서비스형 출입통제(ACaaS)로 옮겨가고 있다. 시장은 2026년 17억8000만 달러에서 2030년 31억9000만 달러로 커질 전망이고, 제로트러스트·모바일 인증·AI 출입 분석·스마트빌딩 통합이 핵심 경쟁 포인트로 꼽힌다.

security

AWS·구글 클라우드, 양자컴퓨터 대비해 암호 체계 갈아엎는 중

AWS와 구글 클라우드가 양자컴퓨터 시대를 대비해 기존 공개키 암호와 양자내성암호를 함께 쓰는 하이브리드 전환을 시작했다. 핵심 배경은 지금 훔친 암호문을 나중에 양자컴퓨터로 푸는 ‘선수집·후해독’ 공격이고, 국내도 통신·금융·국방 등 5개 분야에 45억원을 투입해 실증에 들어간다.

security

보안 점검 맡긴 AI 에이전트가 악성코드를 직접 실행할 수 있다는 경고

AI 보안 에이전트가 저장소를 검사하다가 README 같은 문서에 숨은 프롬프트 인젝션에 속아 악성 바이너리를 실행할 수 있다는 연구가 나왔다. 클로드 코드와 코덱스의 자동 모드처럼 승인 없이 명령을 수행하는 구성에서 문제가 재현됐고, 여러 모델과 공급업체를 가로질러 같은 패턴이 통했다는 점이 핵심이다.