Palo Alto Unit 42가 방금 말했습니다: Agentic Identity는 어려운 문제입니다. OAuth2에는 사각지대가 있습니다.
Source: Dev.to
Palo Alto Networks Unit 42가 오늘 AI‑에이전트 보안 트레이드‑오프 분석을 발표했습니다. Strata는 Security Boulevard에 Agentic AI Risks 가이드를 발표했습니다. Reco는 SaaS 확산을 위한 AI Agent Security를 출시했습니다. 24시간 안에 세 개의 출판물이 모두 같은 문제를 다루고 있습니다.
Money quote from Unit 42
“현재, 에이전트 정체성은 해결하기 어려운 문제입니다. 에이전트는 일반적으로 사용자의 권한을 사용하여 작업을 수행할 수 있어야 합니다. OAuth2는 권한 위임을 위한 안전한 표준이지만, 맹점이 있습니다.”
이는 Palo Alto Networks의 발표이며, 스타트업 포지셔닝 자료도, VC 논문도 아닙니다. 그들의 위협 연구팀은 기업들에게 에이전트의 정체성 문제가 해결되지 않았으며 사용하고 있는 표준(OAuth2)으로는 전체 표면을 커버할 수 없다고 경고하고 있습니다.
Unit 42가 실제로 발견한 내용
그들의 분석에 따르면 두 가지 공격 경로가 식별됩니다:
-
오픈‑소스 생태계 공격
- 모델‑파일 공격 (신뢰된 저장소에 있는 모델 가중치에 숨겨진 악성 코드)
- MCP 러그 풀 (통합 후 행동을 은밀히 변경하는 손상된 MCP 서버)
- 모델에 대한 표준화된 서명이나 무결성 검사가 존재하지 않음.
-
내부 에이전트 손상
- 손상된 에이전트는 “초강력 내부 위협”이며, 사기성 메시지를 보내고, 승인을 조작하고, 데이터를 유출하며, 잘못된 재무 행동을 승인할 수 있음.
- 에이전트는 내부에서 신뢰받기 때문에, 의심스러운 행동이 무언가가 깨질 때까지 눈에 띄지 않음.
권고 사항: 에이전트를 잠재적인 악성 직원으로 간주하십시오. 강력한 권한 경계를 구현하고, 모든 활동을 로그에 기록하며, 보안을 위해 시스템‑프롬프트 지시사항에 의존하지 말 것.
하지만 그들은 이 격차를 인정합니다: 처음에 에이전트를 어떻게 식별하나요?
Strata의 Agentic AI 위험 가이드
Strata의 Security Boulevard 기사에서는 IAM 관점에서 동일한 진단을 내립니다:
- “관리되지 않는 에이전트 아이덴티티가 가장 큰 격차입니다.”
- “대부분의 기업은 AI‑에이전트 자격 증명을 프로비저닝하고, 추적하며, 폐기하는 일관된 방법이 부족합니다.”
- “기존 IAM 도구는 이를 위해 설계되지 않았습니다 — 인간 중심의 아이덴티티 서비스는 일시적인 에이전트, MCP‑계층 권한 부여, 그리고 엔드‑투‑엔드 에이전트 워크플로우 추적성을 처리할 능력이 없습니다.”
- “섀도우 AI는 이미 대부분의 조직에서 발생하고 있으며, 발견되기 전까지는 보안이 불가능합니다.”
핵심 인사이트: 최소 권한 접근과 완전한 감사 가능성은 절대 타협할 수 없지만, 에이전트를 위해 이를 강제하는 도구는 현재 아이덴티티 스택에 존재하지 않습니다.
Reco의 에이전트‑스프롤 문제
Reco는 **“업계 최초 AI 에이전트 보안”**이라고 부르는 서비스를 출시했습니다 — Copilot, ChatGPT, Salesforce Agentforce, Make, n8n 및 맞춤형 통합 전반에 걸친 AI 에이전트를 자동으로 탐지합니다. CEO 오퍼 클라인은 다음과 같이 말했습니다:
“오늘날 기업들은 수백 개의 연결된 SaaS 앱만 보유하고 있는 것이 아니라, 백그라운드에서 작동하는 수천 개의 연결된 AI 에이전트를 보유하고 있습니다.”
접근법: 먼저 에이전트를 발견하고, 그 다음에 관리합니다.
문제: 탐지를 위해서는 에이전트가 먼저 식별자를 가지고 있어야 합니다. 에이전트에 검증 가능한 식별자가 없으면, 실제 에이전트를 찾는 것이 아니라 서비스 계정과 API 키만을 발견하게 됩니다.
The Pattern
| Company | Problem Identified | Gap |
|---|---|---|
| Unit 42 | 에이전트 위임을 위한 OAuth2 사각지대 | 에이전트 신원 표준 없음 |
| Strata | 임시 에이전트를 위해 설계되지 않은 IAM | 프로비저닝/퇴직 라이프사이클 부재 |
| Reco | SaaS 전반에 걸친 에이전트 확산 | 발견을 위해 신원이 존재해야 함 |
모든 솔루션은 에이전트가 이미 검증 가능한 신원을 가지고 있다고 가정합니다. 그러나 이들 중 어느 것도 신원 계층을 제공하지 않습니다.
암호화 에이전트 정체성이 해결하는 문제
이것이 AIP 프로젝트가 메우기 위해 만든 격차입니다:
- 서비스 계정이 아닌 에이전트 정체성 – 각 에이전트는 Ed25519 키쌍으로 뒷받침되는 DID(분산 식별자)를 부여받습니다. 정체성은 에이전트에 속하며, 이를 호스팅하는 플랫폼에 속하지 않습니다.
- 소프트 트러스트가 아닌 하드 검증 – 챌린지‑응답 방식의 암호화 검증. “이 API 키가 유효하다”가 아니라 “이 에이전트가 현재 이 DID에 대한 개인 키를 보유하고 있음을 증명할 수 있다.”
- 범위 축소가 가능한 위임 – 명시적 범위를 가진 보증 체인(예: 코드 리뷰를 위해 보증된 에이전트가 재무 승인으로 확대될 수 없음). 이는 Unit 42의 분석이 OAuth2에 부족하다고 지적한 “단조로운 축소(monotonic narrowing)”입니다.
- 행동 기반 신뢰 점수 – PDR(Probabilistic Delegation Reliability)은 에이전트가 시간이 지남에 따라 약속을 실제로 이행하는지를 측정합니다. 정체성만으로는 충분하지 않으며, 행동 증명도 필요합니다.
- 다중 프로토콜 해석 –
did:aip,did:key,did:web,did:aps; 정체성 문제는 단일 프로토콜만으로는 해결되지 않습니다.
Unit 42는 “모든 것을 기록하라”고 말합니다. 우리도 동의합니다 — 하지만 암호화된 정체성 귀속이 없는 로그는 사후 포렌식에 불과합니다. 암호화 정체성은 예방을 가능하게 합니다.
시도해 보기
pip install aip-identity
aip init
aip verify - 실시간 네트워크에 22개의 에이전트
- 645개의 테스트
- 교차 프로토콜 DID 해석
Unit 42가 문제를 확인했습니다. 그들이 의존하는 표준에는 사각지대가 있습니다. 그 사각지대를 메우는 아이덴티티 레이어는 암호학적이며, 에이전트‑네이티브이고, 프로토콜‑애그노스틱이어야 합니다.