캡스톤: 나만의 보안 정책 만들기

보안을 지속 가능하게

🔄 Quick Recall: 7개 레슨에 걸쳐 위협 환경(레슨 1), 위협 모델(레슨 2), Docker 격리(레슨 3), 권한 경계(레슨 4), 스킬 검증 프레임워크(레슨 5), 모니터링(레슨 6), 프롬프트 인젝션이 미해결인 이유(레슨 7)를 배웠어요. 이제 영구적으로 만들어요.

Pixee.ai 연구에서 눈에 띄는 격차를 발견했어요: 500명 이상 직원의 조직 중 98%가 에이전트 AI를 배포하지만 79%는 공식 보안 정책이 없어요. 보안 결정은 사고별로 즉흥적으로 이루어지고 배운 교훈이 잊혀져요.

개인 보안 정책이 그 격차를 메워요. 법적 문서가 아니에요 — 결정을 포착해서 매번 다시 내릴 필요 없게 하는 살아있는 참조예요.

정책 템플릿

OWASP, NIST, Gartner, AWS, Auth0의 프레임워크를 결합한 템플릿이에요. 여러분의 에이전트 설정에 맞게 커스터마이즈하세요.

섹션 1: 에이전트 인벤토리

사용하는 모든 AI 에이전트를 나열하세요:

에이전트	범위 (AWS 매트릭스)	삼각 편대 속성	주요 용도	마지막 보안 검토
OpenClaw (Docker)	Full Agency	2/3 (외부 통신 없음)	파일 정리, 리서치	[날짜]
Claude Code	Supervised	2/3 (비신뢰 콘텐츠 없음)	코딩 지원	[날짜]
이메일 어시스턴트	Prescribed	3/3	이메일 분류	[날짜]

중요한 이유: 잊은 에이전트는 보안할 수 없어요. 섀도우 AI — 공식 승인 없이 배포된 에이전트 — 는 Bitdefender가 기업 환경에서 발견한 핵심 문제 중 하나였어요.

섹션 2: 권한 티어

위협 모델에 기반한 세 가지 권한 레벨을 정의하세요:

티어 1 — 제한 (낮은 신뢰)

지정된 디렉토리에 읽기 전용 접근
인터넷 접근 없음
자격증명 접근 없음
셸 실행 없음
용도: 테스트되지 않은 스킬, 새 에이전트, 실험적 워크플로

티어 2 — 표준 (중간 신뢰)

프로젝트 디렉토리에 읽기/쓰기 접근
허용된 API 엔드포인트만
에이전트 전용 범위 제한 토큰
작업별 명시적 승인 없이 셸 실행 불가
용도: 검증된 스킬, 일상 워크플로, 코딩 지원

티어 3 — 확장 (높은 신뢰)

더 넓은 파일 접근 (여전히 전체 시스템 아님)
로깅을 통한 프록시 경유 인터넷 접근
사전 승인된 명령에 대한 셸 실행
되돌릴 수 없는 행동에 사람 개입
용도: 장시간 자율 작업, 다단계 워크플로

절대 부여하지 말 것: 무제한 셸, 전체 파일시스템, 개인 API 키, 승인 없는 이메일 발송.

✅ Quick Check: 새 스킬이 Downloads 폴더를 정리한다고 해요. 어떤 권한 티어로 시작해야 하나요? (답: 티어 1 — 제한. Downloads 폴더에 읽기 전용 접근을 먼저 주세요. 실행하고 설명대로 작동하는지 확인하고 행동을 검토하세요. 확인되면 해당 폴더에만 읽기/쓰기 접근으로 티어 2로 승격하세요.)

섹션 3: 사고 대응

모니터링(레슨 6)이 알림을 발생시키면:

1단계: 중지 (30초)

docker stop agent-container --time=0

에이전트가 실행 중인 상태에서 조사하지 마세요. 먼저 중지하세요.

2단계: 보존 (2분)

docker logs agent-container > /tmp/incident-$(date +%Y%m%d).log
docker cp agent-container:/app/data /tmp/incident-data-$(date +%Y%m%d)/

무엇이든 건드리기 전에 로그와 데이터를 복사하세요.

3단계: 취소 (2분)

에이전트가 접근할 수 있었던 모든 API 키 취소
에이전트 환경의 모든 비밀 교체
자격증명 노출이 의심되면 비밀번호 변경

4단계: 조사 (15-60분)

무엇이 알림을 발생시켰나?
지난 24시간 동안 에이전트가 어떤 파일에 접근했나?
예상치 못한 목적지로의 아웃바운드 네트워크 요청이 있었나?
메모리 파일이 수정되었나?

5단계: 교정

스킬이 원인이면: 제거하고 설치된 다른 모든 스킬을 재검증
프롬프트 인젝션이 원인이면: 메모리 파일을 정리하고 처리한 문서를 검토
취약점이 악용되었으면: 에이전트를 업데이트하고 Docker 설정을 검토
무슨 일이 있었는지와 무엇을 변경했는지 문서화

6단계: 재개 새 자격증명으로 에이전트를 시작하세요. 48시간 동안 면밀하게 모니터링하세요.

섹션 4: 자격증명 관리

Gartner의 “차단, 교체, 감사” 프레임워크를 따르세요:

차단: 에이전트에게 절대 개인 자격증명을 주지 마세요. 최소 필요 범위의 에이전트 전용 토큰을 만드세요.

교체: 자격증명 교체 일정을 잡으세요:

치명적 (금융 API, 이메일): 주간
표준 (개발 도구, 검색): 월간
보안 이벤트 후: 즉시

감사: 활성 자격증명을 분기별로 검토:

어떤 토큰이 활성인가? 불필요한 것은?
필요 이상으로 넓은 범위의 토큰이 있나?
폐기된 에이전트의 자격증명이 남아있나?

섹션 5: 주간 점검 체크리스트

매주 15분을 투자하세요:

에이전트 활동 로그에서 이상 검토
지난 주의 모니터링 알림 확인
설정 파일에 새 자격증명 패턴이 없는지 확인
Docker 하드닝 플래그가 유지되는지 확인 (docker inspect)
에이전트 소프트웨어 업데이트와 보안 패치 확인
메모리 파일에 예상치 못한 항목 검토
킬 스위치가 작동하는지 확인 (빠른 테스트)

일정을 잡으세요. 달력에 넣으세요. 기억에 의존하는 보안은 실행되지 않아요.

✅ Quick Check: 주간 점검에서 에이전트의 Docker 컨테이너가 –cap-drop=ALL 없이 실행 중인 것을 발견해요. 분명히 설정했었어요. 무슨 일이 일어났나요? (답: 무언가가 하드닝 플래그 없이 컨테이너를 재생성 — 에이전트 업데이트, 재시작 스크립트, 또는 docker-compose 변경일 수 있어요. 주간 점검에 Docker 설정 확인이 포함되는 이유예요. 즉시 수정하고 재생성을 유발한 것을 조사하세요.)

코스 리뷰

레슨	배운 것	방어 수단
1. 실제 공격 사례	RCE, 악성 스킬, 자격증명 유출, 노출된 인프라	위협 환경 인식
2. 위협 모델링	OWASP Top 10, AWS 스코핑 매트릭스, Rule of Two	체계적 리스크 평가
3. Docker 격리	5가지 하드닝 플래그, 격리 스펙트럼	컨테이너 레벨 격리
4. 권한	최소 권한, 범위 제한 토큰, 자격증명 격리, 허용 목록	접근 제어와 자격증명 보호
5. 스킬 검증	5단계 프레임워크, VirusTotal + Cisco Scanner + 수동 검토	공급망 방어
6. 모니터링	세 가지 카테고리, 킬 스위치, 행동 기준선	탐지와 대응
7. 프롬프트 인젝션	85% 성공률, 다층 완화, 삼각 편대 축소	미해결 문제에 대한 심층 방어
8. 보안 정책	이 문서	모든 것을 체계화하고 재현 가능하게

더 깊이 배우기

OWASP 에이전트 애플리케이션 Top 10을 읽으세요 — 업계 표준이에요
Simon Willison의 블로그를 팔로우해서 프롬프트 인젝션 연구 업데이트를 받으세요
사용하는 에이전트의 보안 권고를 구독하세요
에이전트 보안은 빠르게 진화해요 — 분기별로 보안 정책을 재평가하세요

핵심 정리

98%가 에이전트 AI를 배포하지만 79%는 정책이 없어요 — 작성된 정책이 대부분의 조직보다 앞서게 해요
세 가지 권한 티어 (제한, 표준, 확장)가 모든 상황에 대한 프레임워크를 제공해요
사고 대응은 절차이지 즉흥이 아니에요 — 중지, 보존, 취소, 조사, 교정, 재개
**“차단, 교체, 감사”**가 자격증명 관리의 핵심 — 개인 키 공유 금지, 정기 교체, 분기별 검토
주간 점검은 15분이면 되고 설정 드리프트, 예상치 못한 접근, 새로운 위협을 잡아요
정책은 살아있는 문서 — 설정이 바뀌거나 새로운 것을 배우면 업데이트하세요