AI 에이전트를 위한 OWASP Top 10: 2026 보안 체크리스트 (ASI Top 10)
Source: Dev.to
The OWASP ASI Top 10 is the new security blueprint for anyone building or deploying autonomous AI agents.
It expands the classic OWASP Top 10 for LLM applications to cover the unique risks introduced by agents that can plan, execute code, and interact with tools and databases.
OWASP ASI Top 10은 자율 AI 에이전트를 구축하거나 배포하는 모든 사람을 위한 새로운 보안 청사진입니다.
이 가이드는 계획을 세우고, 코드를 실행하며, 도구와 데이터베이스와 상호 작용할 수 있는 에이전트가 도입하는 고유한 위험을 포괄하도록 기존 OWASP Top 10 for LLM 애플리케이션을 확장합니다.
기존 OWASP Top 10만으로는 부족한 이유
- 에이전트는 자율적이다 – 에이전트는 LLM “두뇌”와 일련의 도구(API, 인터프리터 등)를 사용해 동적으로 작업을 선택·계획·실행한다.
- 과도한 자율성 – 필요 이상으로 권한이 부여된 에이전트는 작은 취약점도 시스템 전체를 위협하는 수준으로 확대시킬 수 있다.
이를 완화하기 위해 ASI Top 10은 두 가지 핵심 원칙을 도입한다:
| Principle | Description |
|---|---|
| Least‑Agency | 최소 권한 원칙(Principle of Least Privilege, PoLP)의 확장판이다. 에이전트는 정의된 작업을 수행하는 데 필요한 최소한의 자율성만 부여받아야 한다. 자율성은 기본 설정이 아니라 획득해야 하는 기능이다. |
| Strong Observability | 에이전트가 무엇을, 왜, 어떤 도구를 사용하고 있는지에 대한 명확하고 포괄적인 가시성을 제공한다. 목표 상태, 도구 사용 패턴, 의사 결정 경로에 대한 상세 로그가 필수이다. |
ASI Top 10 취약점
| ASI ID | 취약점 | 위협 | 완화 초점 |
|---|---|---|---|
| ASI01 | Agent Goal Hijack 에이전트 목표 탈취 | 공격자가 에이전트의 핵심 목표 또는 의사결정 경로를 조작함 (새로운 Indirect Prompt Injection). | 모든 자연어 입력을 신뢰하지 않는 것으로 처리하고, Intent Capsule 패턴을 사용한다. |
| ASI02 | Tool Misuse & Exploitation 도구 오용 및 악용 | 에이전트가 합법적이고 권한이 부여된 도구를 안전하지 않거나 의도하지 않은 방식으로 사용함 (예: 읽기 도구를 이용해 비밀을 유출). | 제로 트러스트 툴링; 엄격하고 세분화된, 필요 시점에만 부여되는 권한을 정의한다. |
| ASI03 | Identity & Privilege Abuse 신원 및 권한 남용 | 에이전트가 자신의 신원을 남용하거나 자격 증명을 상속받아 권한을 상승시킴. | 제로 트러스트 신원 관리; 고유하고 짧은 수명의 세션 기반 자격 증명을 사용한다. |
| ASI04 | Agentic Supply‑Chain Vulnerabilities 에이전트 공급망 취약점 | 외부 구성 요소(오염된 RAG 데이터, 취약한 도구 정의, 사전 학습 모델)에서 물려받은 취약점. | 외부 데이터 소스에 대한 지속적인 검증; AI 전용 소프트웨어 구성 목록(SBOM) 유지. |
| ASI05 | Unexpected Code Execution (RCE) 예기치 않은 코드 실행 (RCE) | 에이전트가 악성 코드를 생성·실행하도록 속임 (예: 역쉘). | 모든 코드 인터프리터에 대해 하드웨어 강제 제로 액세스 샌드박싱을 필수화한다. |
| ASI06 | Memory & Context Poisoning 메모리·컨텍스트 중독 | 에이전트의 장기 메모리(벡터 스토어, 지식 그래프)가 지속적으로 손상됨. | 암호학적 무결성 검사와 모든 수집 데이터에 대한 철저한 정화 수행. |
| ASI07 | Insecure Inter‑Agent Communication 불안전한 에이전트 간 통신 | 다중 에이전트 시스템에서 메시지 위조 또는 가장을 가능하게 하는 취약점. | 모든 에이전트‑대‑에이전트 통신에 mTLS와 디지털 서명을 적용한다. |
| ASI08 | Cascading Failures 연쇄적 실패 | 작은 오류가 에이전트 워크플로우에서 통제되지 않은 파괴적 연쇄 반응을 일으킴. | 회로 차단기와 트랜잭션 롤백 기능을 구현하고, 안전한 실패 모드를 정의한다. |
| ASI09 | Human‑Agent Trust Exploitation 인간‑에이전트 신뢰 악용 | 공격자가 에이전트 출력을 조작해 인간 사용자를 악의적인 행동을 승인하도록 속임. | 인간 승인이 이루어지기 전 에이전트의 추론이 완전히 투명하고 감사 가능하도록 보장한다. |
| ASI10 | Rogue Agents 불량 에이전트 | 거버넌스 실패 또는 악의적인 업데이트로 인해 에이전트가 의도된 범위·통제 밖에서 작동함. | 견고하고 감사 가능한 킬‑스위치 메커니즘을 구현하고, 지속적인 행동 모니터링을 수행한다. |
Note: While all ten are important, a few demand immediate architectural attention from developers.
참고: 열 가지 모두 중요하지만, 일부는 개발자가 즉시 아키텍처 차원에서 주의를 기울여야 합니다.
Immediate Developer Actions
1. Guard the Agent’s Goal – Intent Capsule
- Architectural pattern: 에이전트의 원래 서명된 명령( Intent Capsule )을 모든 실행 사이클에 바인딩합니다.
- Runtime check: 새로운 입력이 목표를 변경하려고 시도하면 즉시 플래그를 지정하고 중단하거나 수동 검토를 요구합니다.
Validation – 사용자, RAG 문서, 혹은 외부 소스에서 온 모든 자연어 입력을 신뢰할 수 없는 것으로 간주합니다. 플래너에 도달하기 전에 엄격한 검증을 거치게 합니다.
2. Secure Generated Code – Sandbox, Sandbox, Sandbox
- Isolation: LLM이 생성한 모든 코드는 안전하고 격리된 샌드박스에서 실행되어야 합니다.
- Restrictions: 샌드박스는 네트워크 접근을 전혀 허용하지 않으며 파일 시스템 접근을 제한해야 합니다.
- Implementation tip: 순수 소프트웨어 솔루션보다 하드웨어 기반 샌드박싱(예: Intel SGX, AMD SEV, ARM TrustZone)을 우선 사용합니다.
3. Protect Long‑Term Memory – Data Integrity
- 메모리 저장소(벡터 DB, 지식 그래프 등)를 고감도 데이터베이스로 취급합니다.
- Cryptographic integrity: 저장된 각 데이터 청크에 해시 기반 또는 Merkle‑tree 서명을 적용합니다.
- Version control & rollback: 불변 버전을 유지하고 변조가 감지되면 신속히 롤백할 수 있게 합니다.
마무리 생각
The OWASP Top 10 for Agentic Applications은 고전적인 프롬프트‑인젝션 방어를 넘어 진화하라는 명확한 호출입니다. 자율 에이전트는 위험을 증폭시키지만 Least‑Agency, Strong Observability 및 위에서 제시한 구체적인 완화책을 통해 개발자는 더 안전하고 신뢰할 수 있는 AI 시스템을 구축할 수 있습니다.
경계를 늦추지 말고, 에이전트를 책임 있게 관리하며, 자율 AI의 미래를 안전하게 지키세요.
자율 AI의 미래 보안
AI의 미래는 자율적이지만, 그 성공은 우리가 이를 얼마나 잘 보호하느냐에 달려 있습니다.
개발자에게 이는 정적 애플리케이션을 보호하던 사고방식에서 동적이고, 특권을 가진 자율 엔터티를 보호하는 사고방식으로 전환해야 함을 의미합니다. Least‑Agency와 Strong Observability를 안내 원칙으로 삼으세요.
- 오늘 바로 ASI Top 10을 기준으로 에이전트를 감사해 보세요.
- 위협은 실제이며, 방어 체계를 구축할 시기는 바로 지금입니다.
질문: 실제 다중 에이전트 시스템에서 완화하기 가장 어려운 ASI Top 10 위협은 무엇이라고 생각하시나요?
댓글로 의견을 나눠 주세요!