AI 에이전트 위협 모델링

혼돈에서 프레임워크로

🔄 Quick Recall: 지난 레슨에서 피해를 봤어요: 1클릭 RCE, 341개 악성 스킬, 자격증명 유출, 135,000개 노출 인스턴스. 위협이 너무 많아요. 프레임워크 없이는 압도당해요. 프레임워크가 있으면 체크리스트가 돼요.

위협 모델링은 보안 전문가들이 “모든 것이 무섭다"를 “이것이 중요하고, 이렇게 대응한다"로 바꾸는 방법이에요. AI 에이전트를 위해 2025-2026년에 세 가지 프레임워크가 등장해서 마침내 체계적으로 리스크를 분석할 수 있게 되었어요.

이 레슨을 마치면 다음을 할 수 있어요:

OWASP 에이전트 애플리케이션 Top 10을 사용해 에이전트 위협을 분류
AWS 스코핑 매트릭스를 적용해 에이전트에 필요한 보안 제어를 결정

프레임워크 1: OWASP 에이전트 애플리케이션 Top 10

OWASP GenAI 보안 프로젝트가 2026년에 자율 AI 에이전트를 위해 특별히 설계된 최초의 프레임워크를 발표했어요. 100명 이상의 보안 전문가가 피어 리뷰했고, 계획하고 지속하고 위임하는 에이전트의 10가지 가장 중요한 리스크를 식별해요.

레슨 1에서 배운 것과 매핑한 목록이에요:

#	리스크	의미	실제 사례
A1	도구 오용	에이전트가 도구를 의도치 않게 사용	악성 스킬이 에이전트에게 셸 명령 실행 지시
A2	과도한 에이전시	에이전트가 필요 이상의 권한 보유	OpenClaw가 한 폴더만 필요한데 모든 파일에 접근
A3	비안전 출력 처리	에이전트 출력이 의도치 않은 작업 유발	에이전트가 생성한 SQL이 검증 없이 실행
A4	데이터 유출	민감 데이터가 에이전트 작업을 통해 탈출	283개 스킬이 컨텍스트 윈도우로 API 키 유출
A5	메모리 포이즈닝	에이전트의 영구 메모리가 오염	Zenity의 SOUL.md 백도어가 스킬 삭제 후에도 지속
A6	멀티 에이전트 위임	하위 에이전트가 과도한 권한 상속	읽기 전용 대신 전체 시스템 접근으로 하위 에이전트 생성
A7	비안전 플러그인	서드파티 통합이 취약점 도입	ClawHavoc의 341개 악성 ClawHub 스킬
A8	연쇄 환각	환각된 출력이 실제 작업에 투입	에이전트가 CLI 명령을 환각하고 실행
A9	아이덴티티 스푸핑	에이전트가 사용자나 다른 에이전트를 사칭	에이전트가 명시적 승인 없이 사용자 명의로 이메일 발송
A10	공급망 리스크	비신뢰 소스의 의존성과 스킬	탈취된 GitHub 계정이 백도어 스킬 게시

✅ Quick Check: 에이전트가 Google 문서를 읽고, 숨겨진 지시를 발견하고, SSH 키를 외부 서버로 보내요. 관련된 OWASP 리스크는? (답: A1(도구 오용 — 네트워크 도구로 유출), A4(데이터 유출 — SSH 키 탈출), 그리고 지시가 메모리에 지속되면 잠재적으로 A5. 트리거는 간접 프롬프트 인젝션으로 여러 카테고리에 걸쳐요.)

프레임워크 2: AWS 에이전트 AI 보안 스코핑 매트릭스

AWS Security가 다른 질문에 답하는 프레임워크를 발표했어요: “무엇이 잘못될 수 있나?“가 아니라 “내 에이전트에 얼마나 많은 보안이 필요한가?”

매트릭스에는 네 가지 범위 레벨이 있어요:

레벨	설명	예시	보안 요구
No Agency	정적 응답, 도구 미사용	기본 챗봇	표준 LLM 보안
Prescribed	고정 워크플로, 사전 정의 도구	특정 파일 경로로 “이 파일 요약”	입력 검증, 출력 확인
Supervised	동적 도구 선택, 사람 승인	변경을 제안하고 승인받는 코딩 어시스턴트	권한 경계, 감사 로그
Full Agency	자율 계획과 실행	야간에 워크플로를 실행하는 OpenClaw	전체 보안 스택

각 범위 레벨에 대해 AWS는 6가지 보안 차원을 정의해요:

아이덴티티 및 접근 — 에이전트가 어떻게 인증하나? 무엇에 접근할 수 있나?
데이터 보호 — 자격증명과 민감 데이터를 어떻게 처리하나?
네트워크 보안 — 에이전트가 네트워크를 통해 무엇에 도달할 수 있나?
모니터링 및 로깅 — 어떤 작업이 기록되고 알림 가능한가?
사고 대응 — 손상된 에이전트를 어떻게 탐지하고 중지하나?
컴플라이언스 — 어떤 규제 요구사항이 적용되나?

OpenClaw 같은 개인 AI 에이전트는 Full Agency로 작동해요 — 다단계 작업을 계획하고, 동적으로 도구를 선택하고, 최소한의 사람 감독으로 실행해요. 따라서 6가지 차원 모두에서 보안 제어가 필요해요.

프레임워크 3: Rule of Two

Meta AI의 연구, Simon Willison이 대중화한 이 프레임워크는 조합 시 에이전트를 위험하게 만드는 세 가지 속성을 식별했어요:

개인 데이터 접근 — 파일, 자격증명, 메시지, 데이터베이스
신뢰할 수 없는 콘텐츠 노출 — 이메일, 웹 페이지, 공유 문서, 사용자 입력
외부 통신 능력 — 메시지 전송, API 호출, 파일 작성

Rule of Two: 세 가지 중 두 가지까지는 관리 가능해요. 세 가지 모두 있으면 설계상 보안 리스크예요 — 신뢰할 수 없는 콘텐츠가 에이전트를 조작해 외부 통신을 통해 개인 데이터를 유출할 수 있기 때문이에요.

에이전트 구성	속성	리스크 레벨
챗봇 (도구 없음)	세 가지 모두 없음	낮음
파일 정리 (로컬만)	개인 데이터 + 비신뢰 입력 없음 + 외부 통신 없음	낮음
이메일 어시스턴트 (읽기 전용)	개인 데이터 + 비신뢰 콘텐츠 + 외부 통신 없음	중간
OpenClaw (기본)	세 가지 모두	높음
OpenClaw (하드닝, 외부 통신 차단)	개인 데이터 + 비신뢰 콘텐츠 + 외부 통신 없음	중간

✅ Quick Check: AI 에이전트가 로컬 파일을 읽고 보고서를 생성하지만 모든 네트워크 접근을 비활성화했어요. Rule of Two에 따른 리스크 레벨은? (답: 최대 중간. 에이전트가 개인 데이터에 접근하지만 외부로 통신할 수 없어요. 파일에서 비신뢰 콘텐츠를 처리해도 아웃바운드 통신이 차단되어 유출이 불가능해요. 삼각 편대의 한 축을 제거한 거예요.)

위협 모델 구축하기

세 가지 프레임워크를 결합한 실용적 4단계 프로세스:

1단계: 범위 분류 (AWS 매트릭스) 에이전트의 에이전시 레벨은? No Agency, Prescribed, Supervised, Full Agency?

2단계: 삼각 편대 속성 세기 (Rule of Two) 에이전트가 개인 데이터에 접근하나? 비신뢰 콘텐츠를 처리하나? 외부와 통신하나? 개수를 세요.

3단계: 관련 OWASP 리스크 식별 에이전트의 역량에 따라 Top 10 중 어떤 것이 적용되나? 도구 없는 에이전트는 A1을 걱정할 필요 없어요. 메모리 없는 에이전트는 A5를 걱정할 필요 없어요.

4단계: 가능성과 영향으로 우선순위 결정 모든 리스크가 동일하지 않아요. 서드파티 스킬을 설치하면 A7이 가장 중요해요. 민감 데이터를 다루면 A4가 가장 중요해요.

이것이 코스의 나머지를 위한 명확한 지도를 제공해요: Docker 격리(레슨 3)는 A2를 다루고; 권한 경계(레슨 4)는 A1/A2를; 스킬 검증(레슨 5)은 A7/A10을; 모니터링(레슨 6)은 A4를; 프롬프트 인젝션 방어(레슨 7)는 모든 것에 걸쳐요.

핵심 정리

OWASP 에이전트 애플리케이션 Top 10은 자율 AI 에이전트를 위한 최초의 피어 리뷰 프레임워크 — 도구 오용, 메모리 포이즈닝, 연쇄 실패를 다뤄요
AWS 스코핑 매트릭스는 에이전트를 4단계(No Agency → Full Agency)로 분류하고 레벨당 6가지 보안 차원을 정의해요
Rule of Two는 세 가지 속성(개인 데이터 + 비신뢰 콘텐츠 + 외부 통신)을 모두 가진 에이전트가 설계상 고위험이라고 말해요
위협 모델은 세 가지를 결합해요: 범위 분류, 삼각 편대 속성 확인, OWASP 리스크 식별, 그 다음 우선순위 결정
모든 에이전트에 같은 보안이 필요한 건 아니에요 — 에이전트의 실제 범위와 역량에 맞춰 제어를 적용하세요

다음 레슨

위협 모델이 무엇을 방어해야 하는지 알려줘요. 다음 레슨에서는 가장 임팩트 있는 첫 번째 방어를 다뤄요: Docker 격리 — 가장 흔한 에이전트 익스플로잇을 차단하는 컨테이너 하드닝 플래그.