대규모 언어 모델 기반 챗봇이 지닌 리스크는 거의 매일 뉴스를 통해 확인되고 있다. 기술이 에이전틱 AI로 확대될수록 기업에는 더 큰 위협이 될 수 있다. 질문에 답하는 역할에 그치는 챗봇과 달리, 에이전틱 AI는 데이터와 각종 도구에 접근해 실제 작업을 수행하기 때문이다.
오픈소스 웹 애플리케이션 보안 프로젝트(OWASP)가 공개한 ‘에이전틱 애플리케이션 상위 10대 위협’은 CISO가 이러한 문제를 비즈니스 부문 관계자에게 설명하는 데 유용한 기준을 제공한다. 위협 분류 체계와 완화 전략, 플레이북, 위협 모델 예시까지 담고 있어 에이전틱 AI 보안을 실질적으로 개선하는 데도 도움이 된다.
이는 OWASP 에이전틱 보안 이니셔티브의 일환이며, OWASP 생성형 AI 보안 프로젝트 위원회 공동 의장이자 설립자인 스콧 클린턴은 목록을 조사하는 과정에서 이미 많은 에이전틱 솔루션이 기업에 배포돼 있다는 사실을 확인하고 놀랐다고 설명했다. 특히 상당수 솔루션이 IT 및 보안 팀의 인지 없이 운영되고 있다는 점이 드러났다고 전했다.
클린턴은 이러한 위험 수준이 전례 없는 수준이라고 평가했다. 여기에는 연구·이론 단계에서 제기돼 온 위험 요소도 상당 부분을 차지한다고 설명했다. 다만 그는 “이번 목록에서는 데이터에 기반한 위험에 초점을 맞췄다. 실제 환경을 기준으로 실질적인 가이드를 제공할 수 있는 항목을 중심으로 정리했다”라고 강조했다.
이해관계자를 설득하도록 지원
AI 보안 기업 제니티(Zenity)의 AI 보안 및 정책 옹호 담당 디렉터이자 OWASP 목록의 핵심 기여자인 케일라 언더코플러는 “CSO라면 도입이 요구되는 다양한 사용례의 위험성을 이해관계자에게 설명하느라 상당한 어려움을 겪고 있을 가능성이 크다”라고 말했다.
언더코플러는 보안 책임자가 기술 도입에 대해 명확히 반대하기도 쉽지 않지만, 그렇다고 아무런 고려 없이 전면 도입에 동의하는 데도 부담을 느낄 수밖에 없다고 진단했다.
그는 이번 목록이 의도적으로 이해하기 쉽고 활용하기 쉬운 형태로 설계됐다면서, “위협 모델링에 활용할 수 있고, 위험을 설명하는 스토리를 구성하는 데 도움이 되며, 위험을 줄이기 위해 어떤 통제가 왜 필요한지를 설명하는 데도 유용하다”라고 전했다.
이를 통해 보안 책임자는 비즈니스 부문이 제시한 에이전틱 AI 사용례에 맞는 핵심 위험 요소를 정리하고 연결할 수 있다. 또한 언더코플러는 이 목록이 에이전틱 AI와 관련된 위험을 기업 내에서 같은 기준으로 논의할 수 있도록 해준다고 덧붙였다.
“실질적으로 활용 가능한 가이드”
아카마이 테크놀로지스의 보안 엔지니어링 부문 부사장인 키스 힐리스는 에이전틱 AI가 현재 보안 책임자 사이에서 가장 많이 논의되는 주제라고 언급했다.
힐리스는 “대부분의 기업은 AI가 제공하는 잠재적인 가치와 그로 인한 보안 위험을 관리해야 하는 과제 사이에서 균형을 맞춰야 한다”라고 말했다. 이런 점에서 그는 OWASP 에이전틱 AI 상위 10대 가이드의 주요 장점으로 즉각적인 활용 가능성을 꼽았다. 보안 아키텍처는 물론 거버넌스, 위험, 컴플라이언스(GRC) 관점에서도 통제 기준으로 바로 적용할 수 있다는 설명이다.
그는 특히 해당 목록에서 기존의 ‘최소 권한’ 원칙이 ‘최소 에이전시(least agency)’ 개념으로까지 확장된 점에 주목했다. 이는 접근 권한을 줄여 보안을 강화하는 데 그치지 않고, AI 에이전트의 자율적 판단과 행동 범위를 어디까지 허용할지 관리해야 한다는 의미다.
힐리스는 CISO가 이 목록을 활용해 현재 운영 중인 보안 프로그램을 점검하고, 부족한 부분을 파악한 뒤 개선을 위한 실행 계획을 수립할 것을 권했다. 그는 대부분의 기업이 이미 관련 프로그램을 운영하고 있더라도, 에이전틱 AI 특유의 위험을 반영하기 위해서는 한 단계 더 발전시켜야 할 가능성이 높다고 그는 설명했다.
누락된 부분
언더코플러는 이번 목록에서 일부 완화 방안 설명이 충분히 구체적이지 않았다고 언급했다. 다만 이를 보완하기 위한 계획은 이미 진행 중이다. 그는 “보안팀이 실제로 통제를 구현할 수 있도록 완화 방안을 더 깊이 있게 정리하고 있다. 무엇을 해야 하는지에 대한 설명에 그치지 않고, 실제로 어떻게 구현할 수 있는지를 보여주는 코드 예제까지 제공할 계획”이라고 밝혔다.
예를 들어 제시된 완화 방안 중 하나로 ‘최소 권한 원칙을 적용하라’가 있다. 언더코플러는 “이는 전적으로 옳은 조언이며, 모든 환경에서 최소 권한 원칙은 적용돼야 한다. 하지만 에이전트 환경에서 이것이 구체적으로 무엇을 의미하는지에 대한 추가 설명이 필요하다”라고 말했다.
데이터 보안 벤더 사이에라(Cyera)의 데이터 및 AI 보안 책임자인 릭 홀랜드는 각 공격 유형이 실제로 발생할 가능성을 설명하는 목록이 필요하다고 언급했다. 그는 “모든 위협 행위자가 동일한 수준의 역량과 목적을 가진 것은 아니다”라고 말했다.
예를 들어 국가가 주도하는 공격을 받는 기업의 경우, 공격자는 메모리나 컨텍스트 오염, 에이전틱 공급망 취약점과 같은 보다 정교한 공격 기법을 사용할 가능성이 높다고 홀랜드는 설명했다. 반면 일반적인 사이버 범죄자는 에이전트 목표 탈취나 도구 오남용처럼 상대적으로 접근하기 쉬운 공격 수법을 노릴 가능성이 크다고 분석했다.
보안 교육 기업 CMD+CTRL의 제품 관리 부문 부책임자인 호세 라수는 이번 목록에 포함될 수 있었던 2차적 위험 요소도 있다고 지적했다. 그는 모델 및 튜닝 과정의 공급망 무결성, 장기적인 데이터 오염, 다중 에이전트 협업을 악용한 공격, 비용 기반 자원 고갈과 같은 위험을 예로 들었다.
라수는 “이러한 영역은 빠르게 변화하고 있다. CSO는 앞으로도 지속적으로 주의를 기울일 필요가 있다”라고 설명했다.
OWASP 에이전틱 AI 상위 10대 위협
에이전틱 AI 시스템이 직면한 핵심 보안 위험을 정리한 ‘에이전틱 애플리케이션의 OWASP 상위 10대 위협(2026)’ 목록을 소개한다. 이 프레임워크는 기업이 반드시 인식하고 관리해야 할 핵심 보안 위협을 제시한다.
1. 에이전트 목표 탈취
공격자는 프롬프트 인젝션, 오염된 데이터 등 다양한 기법을 활용해 AI 에이전트의 목표를 조작하고, 에이전트가 의도하지 않은 행동을 수행하도록 유도한다. 예를 들어 악성 프롬프트를 통해 금융 에이전트가 공격자에게 자금을 송금하도록 만들 수 있다.
2. 도구 오남용 및 악용
에이전트가 정상적으로 승인된 도구를 데이터 유출이나 파괴적인 작업 등 원래 의도와 다른 방식으로 사용할 위험을 의미한다. 실제로 AI 에이전트가 데이터베이스를 삭제하거나 하드 드라이브를 초기화한 사례도 이미 확인되고 있다.
3. 신원 및 권한 남용
에이전트의 신원 관리, 권한 위임, 권한 상속 과정에 결함이 있을 경우 공격자는 접근 권한을 확대하거나 이른바 ‘혼동된 대리자(confused deputy)’ 상황을 악용해 여러 시스템에서 비인가 작업을 수행할 수 있다. 예를 들어 공격자가 낮은 권한을 가진 AI 에이전트를 이용해 높은 권한의 에이전트에 명령을 전달함으로써, 원래 허용되지 않은 작업을 수행하게 만들 수 있다.
4. 에이전틱 공급망 취약점의 위험
손상되거나 악성인 외부 에이전트, 도구, 모델, 인터페이스, 레지스트리가 에이전틱 생태계에 유입되면서 숨겨진 명령이나 위험한 동작을 초래할 수 있다. 예를 들어 공격자가 도구의 메타데이터에 은밀한 지시문을 삽입해 에이전트의 행동을 조작하는 방식이 있다.
5. 예기치 않은 코드 실행
에이전트가 생성하거나 호출한 코드가 의도하지 않거나 공격적인 방식으로 실행되면서 호스트, 컨테이너, 실행 환경이 침해될 수 있다. AI 에이전트는 일반적인 소프트웨어 통제를 우회해 즉석에서 코드를 생성할 수 있으며, 공격자는 이를 악용할 수 있다. 예를 들어 보안 패치를 작성하는 코딩 에이전트가 오염된 학습 데이터나 공격용 프롬프트의 영향으로 숨겨진 백도어를 포함한 코드를 만들어낼 수 있다.
6. 메모리 및 컨텍스트 오염
공격자는 지속적으로 유지되는 에이전트 메모리, RAG 저장소, 임베딩, 공유 컨텍스트를 오염시켜 향후 에이전트의 행동에 영향을 미칠 수 있다. 예를 들어 공격자가 특정 상품에 대해 존재하지 않는 가격을 반복적으로 주입하면, 해당 정보가 에이전트의 메모리에 저장돼 이후 에이전트가 이를 정상 가격으로 인식하고 그 가격에 예약이나 거래를 승인할 수 있다.
오염된 컨텍스트와 공유 메모리는 다른 에이전트로 전파되면서 문제를 더욱 확대시킬 수 있다.
7. 에이전트 간 통신 보안 미흡
에이전트 간 메시징 과정에서 인증, 무결성, 의미 검증이 취약할 경우 스푸핑, 변조, 재전송, 조작이 가능해진다. 예를 들어 공격자가 서비스 탐색 시스템에 가짜 에이전트를 등록한 뒤, 권한이 필요한 협업 트래픽을 가로채는 방식이 있다.
8. 연쇄적 장애
환각, 오염된 메모리, 손상된 도구와 같은 단일 장애가 여러 자율 에이전트로 확산될 수 있다. 예를 들어 주요 클라우드 업체의 특정 지역에서 장애가 발생하면 여러 AI 서비스가 동시에 영향을 받으면서, 다수 조직에 걸쳐 에이전트 실패가 연쇄적으로 발생할 수 있다.
9. 사람과 에이전트 간 신뢰 악용
에이전트가 인간의 신뢰, 권위에 대한 편향, 자동화에 대한 과도한 신뢰를 악용해 의사결정에 영향을 미치거나 민감한 정보를 탈취하는 위험을 의미한다. 예를 들어 침해된 IT 지원 에이전트가 직원에게 자격 증명을 요청한 뒤 이를 공격자에게 전달하는 방식이 있다.
10. 에이전트의 악의적 행동
에이전트의 개별 행동만 놓고 보면 정상적으로 보일 수 있지만, 전체적으로는 해롭고 기만적인 방식으로 작동하는 상황을 말한다. 이는 프롬프트 인젝션의 영향일 수도 있고, 서로 충돌하는 목표나 보상 체계를 악용한 결과일 수도 있다. 예를 들어 클라우드 비용 절감을 임무로 부여받은 에이전트는 파일을 삭제하는 것이 가장 효율적인 방법이라고 판단할 수 있다.
dl-ciokorea@foundryco.com
Read More from This Article: OWASP의 최신 ‘에이전틱 AI 상위 10대 위협’ 가이드가 주는 교훈
Source: News
