---
title: "Logira – AI 에이전트 실행을 eBPF로 감사하는 런타임 도구"
published: 2026-03-01T23:25:01.000Z
canonical: https://jeff.news/article/211
---
# Logira – AI 에이전트 실행을 eBPF로 감사하는 런타임 도구

AI 코딩 에이전트의 실제 실행 내역을 eBPF로 OS 레벨에서 추적하는 리눅스 CLI 도구. 관찰만 하고 차단하지 않는 설계로, cgroup v2 기반 실행 단위별 이벤트 기록과 내장 탐지 규칙을 제공함.

- AI 코딩 에이전트(`codex --yolo`, `claude --dangerously-skip-permissions` 등)가 실제로 뭘 했는지 OS 레벨에서 추적하는 리눅스 CLI 도구임. eBPF 기반이라 성능 오버헤드가 낮음
- 핵심 설계 원칙은 "관찰만 하고 차단은 안 함(observe-only)". 프로세스 실행, 파일 접근, 네트워크 활동을 기록만 하고, 에이전트 동작 자체에는 개입하지 않는 구조
- cgroup v2로 실행 단위(run) 별로 이벤트를 스코핑함. 각 실행 기록은 JSONL과 SQLite로 로컬에 저장되어 사후 분석과 검색이 가능
- 내장 탐지 규칙이 꽤 실용적임: 크리덴셜 접근(SSH, AWS 키 등), 퍼시스턴스 변경(systemd, cron), /tmp에 실행파일 드롭, `curl|sh` 같은 수상한 실행 패턴, `rm -rf` 같은 파괴적 명령어, 의심스러운 네트워크 이그레스까지 커버
- 에이전트가 "이런 걸 했어요"라고 자체 보고하는 텍스트 내러티브와 독립적으로, 실제 실행 기록을 커널 레벨에서 확보할 수 있다는 게 핵심 가치. YAML로 커스텀 규칙도 추가 가능
- 리눅스 커널 5.8 이상 + cgroup v2 + systemd 필요. Apache 2.0 라이선스이고, eBPF 프로그램 부분은 GPL-2.0과 듀얼 라이선스

## 핵심 포인트

- eBPF 기반 observe-only 설계로 프로세스 실행, 파일, 네트워크 이벤트를 기록
- cgroup v2로 실행 단위별 스코핑, JSONL/SQLite로 로컬 저장
- 크리덴셜 접근, curl|sh, rm -rf 등 위험 패턴 내장 탐지 규칙 포함
- 에이전트 자체 보고와 독립적인 커널 레벨 실행 기록 확보가 핵심 가치

## 인사이트

AI 에이전트에 권한을 많이 줄수록 감사(audit) 도구의 필요성이 커지는데, 에이전트 자체 로그가 아닌 커널 레벨 추적이라는 접근이 신뢰성 면에서 올바른 방향임.