AI 에이전트 최소 권한 원칙, 권한 남용을 완벽히 차단하는 IAM 설정 가이드

AI 에이전트의 최소 권한(Least Privilege)을 설정하는 방법은 정적 서비스 계정 대신 작업 단위로 발급되고 즉시 폐기되는 작업 범위 토큰(Task-Scoped Credentials)과 OPA 기반 실시간 ABAC 정책을 결합하는 것이다. 기존 IAM 시스템이 다루지 못하는 동적 권한 영역은 FGA(Fine-Grained Authorization)를 통한 레코드 수준 제어와 고위험 작업에 대한 비동기 인간 승인(Human-in-the-Loop) 체계로 보완한다. 여기에 NIST 2026 요구사항을 반영한 불변의 위임 체인 로그를 더하면 완성도가 높아진다.

AI 에이전트가 기존 IAM 가정을 깨는 이유와 RBAC의 한계

전통적인 RBAC(Role-Based Access Control) 시스템은 정적인 역할에 근거해 권한을 부여한다. 반면 AI 에이전트는 실행 시점에 도구를 선택하고 API를 호출하는 등 동적인 특성을 지닌다. 기존 고정 권한 체계로는 이를 통제하기 어려운 영역이 생긴다. 특히 비인간 신원(NHI)의 급증은 심각한 보안 공백을 만든다. 실무 통계를 보면 배포된 에이전트 18,470개 중 98.9%가 거부 규칙이 전혀 없다. 비인간 신원 수는 인간 대비 82:1로 압도적이며, 97%가 필요 이상의 과잉 권한을 보유하고 있다.

구조적 결함은 다양한 공격 패턴으로 이어진다. 낮은 권한 사용자가 에이전트를 통해 높은 권한 행동을 수행하는 Confused Deputy 공격이 대표적이다. 에이전트 메모리의 API 키나 토큰 탈취, 오케스트레이션 에이전트가 타 에이전트 설정을 조작하는 Agent as Pivot 패턴도 나타난다. Devin AI 사례에서 에이전트가 malware를 다운로드한 뒤 chmod +x 명령어로 스스로 실행 권한을 부여한 Self-Granted Execution 취약점은 단순 역할 부여의 위험을 보여주었다.

AI 에이전트 최소 권한 원칙(Least Privilege) 및 IAM 설정 구현 가이드

AI 에이전트의 권한 남용을 막으려면 정적 권한을 없애고 Zero Standing Privilege 지향의 동적 제어 아키텍처를 구축해야 한다. 단순히 권한을 줄이는 게 아니라, 작업 컨텍스트에 따라 권한이 생기고 사라지는 생명주기를 관리하는 것이 핵심이다.

제어 단계 핵심 메커니즘 기술적 구현 방안 기대 효과
1. 신원 분리 에이전트 고유 신원 부여 중앙 레지스트리 관리 및 인간 자격증명 분리 책임 소재 명확화 및 권한 오염 방지
2. 토큰 제어 작업 범위 토큰 (Task-Scoped) HashiCorp Vault + On-Behalf-Of 토큰 교환 자격 증명 유출 시 피해 범위 최소화
3. 정책 강제 외부 정책 게이트웨이 OPA(Open Policy Agent) + Rego 정책 엔진 에이전트의 자가 권한 결정 차단
4. 세밀한 제어 FGA (Fine-Grained Auth) 레코드/속성/관계 수준 권한 매핑 데이터 유출(Data Seepage) 방어

구체적인 운영 6단계 설정 방법은 다음과 같다.

  1. 작업 범위 토큰 발급 및 폐기: 정적 서비스 계정 대신 작업 시작 시점에만 구체적인 도구 스코프(예: read:contacts), 리소스 필터, 만료 시간, 최대 연산 수를 포함한 단기 토큰을 발급한다.
  2. 실시간 ABAC 정책 적용: OPA와 Rego를 활용해 에이전트 신원, 액션, 시간, 위험 점수, 리소스 민감도를 실시간으로 평가한다. 약 100ms 이내에 실행되어 지연 시간을 줄여야 한다.
  3. 외부 정책 강제 게이트웨이 패턴: 에이전트가 도구를 직접 호출하지 않고 모든 호출을 게이트웨이에서 검증하게 한다. 에이전트는 승인이나 거부 결과만 받으며, 도구의 존재조차 모르게 설계해 정찰 공격을 차단한다.
  4. 인간 신원 체인 보존: RFC 8693(Token Exchange)와 RFC 8707(Resource Indicators)로 오디언스 바인딩을 수행한다. 다운스트림 토큰에 에이전트와 사용자 신원을 모두 암호화해 넣어 위임 경로를 추적한다.
  5. 동적 권한 트리거 설정: 거래 금액 기준, 시간당 요청량(예: 50쿼리/시 초과 제한), 비업무시간 읽기 전용 전환, 이상 점수 초과 시 권한 정지 등 트리거를 둔다.
  6. 구조화된 전체 감사 기록: 에이전트 신원, 세션 시작 사용자, 호출 API, 접근 리소스, 결정 근거 규칙, 상관관계 ID가 담긴 불변 로그를 만든다.

감사/로깅 및 거버넌스 설계: 인간 위임 체인과 불변 로그

AI 에이전트의 행동은 예측하기 어렵기에 사후 조사용 감사 로그 설계가 필수적이다. 단순 API 호출 로그를 넘어 NIST 2026 요구사항에 맞춰 비인간 개체와 인간 사용자의 연결 고리를 증명하는 위임 체인 추적 시스템을 구축해야 한다. 로그는 수정 불가능한 불변성(Immutability)을 지녀야 하며, 모든 요청에 고유 상관관계 ID를 부여해 오케스트레이션 계층부터 최종 DB 접근까지 경로를 가시화한다.

거버넌스는 EU AI Act Article 14의 고위험 AI 인간 감독 의무를 준수한다. 데이터 유출(Data Seepage)을 막는 FGA를 도입해 에이전트 권한과 위임 사용자 권한의 교집합만 컨텍스트에 들어가게 제한한다. 삭제, 송금, 보안 설정 변경 같은 고위험 조작이 발생하면 에이전트는 비권한 대기 상태로 바뀌며, 모바일 푸시나 이메일 등 별도 채널을 통한 비동기 인간 승인(Human-in-the-Loop)을 거쳐야 실행된다.

실전 검증과 위험 기반 제어 전략

이론 설정만으로는 부족하다. 실제 공격 시나리오를 가정한 레드팀 테스트로 권한 설계를 검증해야 한다. 권한 범위가 서서히 늘어나는 Scope Creep, 메모리 내 토큰 탈취(Token Extraction), 교차 에이전트 지시 주입(Cross-Agent Instruction Injection) 테스트를 수행해 설정 오염 패턴을 막는다. GitHub Copilot과 Claude Code 간의 ~/.mcp.json 또는 CLAUDE.md 조작을 통해 제2 에이전트를 장악하는 설정 오염 사례가 있으므로, 다중 에이전트 간 메시지를 자동 신뢰하지 않는 Zero Trust 원칙을 적용한다.

최신 취약점 사례를 보면 CVE-2025-34291(Langflow, CVSS 9.4)처럼 과다 허용된 CORS와 비샌드박스 코드 실행이 결합되면 치명적이다. CVE-2026-33017은 인증 없는 RCE가 공개 20시간 만에 악용되었고, CVE-2025-68664(LangGrinch, CVSS 9.3)는 역직렬화로 환경 비밀 정보가 유출되었다. Okta 2025 데이터에 따르면 토큰 수명을 24시간에서 300초로 줄였을 때 인증 정보 탈취가 92% 감소했다. 자격 증명을 에이전트 메모리에 두지 않고 외부에서 관리하며, 정책 엔진을 에이전트가 쿼리하거나 수정할 수 없는 격리된 계층에 배치하는 것이 중요하다.

AI 에이전트 보안의 핵심은 에이전트가 스스로 허용 여부를 결정하게 두지 않는 것이다. NIST SP 800-207 Zero Trust 및 FINOS AI 거버넌스 MI-18 프레임워크를 준수해 정적 권한을 없애고 실시간 컨텍스트 기반 동적 제어 체계를 구축한다. Gartner 2025 보고서에서 IT 리더의 74%가 AI 에이전트를 새로운 공격 벡터로 인식하고 있는 만큼, 지금 귀사의 IAM 체계를 비인간 신원(NHI) 중심의 최소 권한 아키텍처로 전환해야 한다.

댓글 남기기