왜 AI 에이전트는 비공개 번호가 필요한가
I’m happy to translate the article for you, but I’ll need the full text of the post (the content you’d like translated). Could you please paste the article’s body here? Once I have the text, I’ll provide a Korean translation while preserving the original formatting, markdown, and any code blocks or URLs.
AI 에이전트의 가시성 문제
모든 전화번호부에는 두 종류의 번호가 있습니다: 상장된(labeled) 번호와 비상장된(unlisted) 번호.
- 상장된 번호는 누구나 검색할 수 있습니다.
- 비상장된 번호는 존재하지만, 번호를 받은 사람만이 연락할 수 있습니다.
현재 AI 에이전트는 이러한 구분이 없어 가시성 문제가 발생합니다.
AI 에이전트가 연락 가능하도록 하려면 Agent Card를 게시합니다 – 이는 에이전트의 기능을 설명하는 기계가 읽을 수 있는 파일입니다. 위치를 알고 있는 다른 에이전트는 카드를 읽고 연락을 시도할 수 있습니다. 이는 공개 에이전트에게는 잘 작동하지만, 숨겨져 있어야 하는 에이전트에게는 심각한 문제를 야기합니다.
왜 발견(discovery)이 중요한가
- 재무 데이터, 인사 기록, 혹은 생산 시스템에 접근 권한이 있는 내부 에이전트는 하나의 엔드포인트(endpoint)를 가지고 있습니다.
- 다른 어떤 에이전트—내부든 외부든, 권한이 있든 없든—가 이를 발견하고, 기능을 탐색하며, 세션을 시작하려 시도할 수 있습니다.
- 인증은 연락이 시도된 후에 이루어지므로, 에이전트의 존재는 이미 알려진 상태가 됩니다.
현재 프레임워크들은 에이전트가 어떻게 통신할지를 해결하지만, 누가 에이전트를 찾아야 하는지는 다루지 못합니다. 에이전트 생태계가 커질수록 공격 표면도 확대됩니다. 최근 연구에서는 세션 조작 및 우발적인 자격 증명 노출과 같은 위험을 강조하며, 에이전트가 가시성 제어가 필요한 네트워크 서비스로 변하고 있음을 보여줍니다.
핵심 문제: 에이전트는 호출자를 인증할 수는 있지만, 누가 자신을 발견할 수 있는지는 제어하지 못한다.
에이전트를 위한 비공개 번호: SARL
텔레포니에서 이 문제는 비공개 번호로 해결되었습니다. Selective Agent Reachability Layer (SARL) 은 동일한 원리를 AI 에이전트에 적용합니다.
SARL이 스택에서 차지하는 위치
- SARL은 전송 프로토콜이 아니며 A2A를 대체하지 않습니다.
- 발견 과정의 초기 단계에서 작동하여 엔드포인트를 공개할지 여부를 결정합니다.
- A2A는 에이전트가 서로의 엔드포인트를 알게 된 이후에 통신 방식을 정의합니다.
도달 가능성 티어
| 티어 | 누가 발견할 수 있나요? |
|---|---|
| Public | 인증된 모든 에이전트 (정책 필요 없음) |
| Group | 일치하는 자격 증명을 가진 에이전트만 |
| Private | 정확한 토큰을 알고 있는 에이전트만 |
| Ephemeral | 특정 작업을 위한 시간 제한 토큰 |
에이전트는 네 가지 티어를 동시에 노출할 수 있습니다. 예를 들어, 파트너 에이전트가 Group 토큰을 사용해 질의하면 Private 또는 Ephemeral 토큰이 존재한다는 사실을 알지 못한 채 에이전트에 접근할 수 있습니다.
핵심 원칙
레지스트리는 호출자가 에이전트의 엔드포인트를 받기 전 접근 권한을 평가합니다. 권한이 없는 호출자는 침묵(예: 404)으로 응답받아 에이전트가 존재하지 않는 것처럼 보이게 됩니다.
최소 SARL 프로토콜 흐름
POST /register
{
"id": "agent-123",
"tier": "group",
"credential": "cred-abc"
}GET /resolve?token=group-token&credential=cred-abc- 200 – 엔드포인트 반환 (정책 허용)
- 404 – 에이전트 찾을 수 없음 (정책 거부)
호출자는 정책이 허용할 경우에만 엔드포인트를 받습니다. 이 메커니즘은 전송 방식에 구애받지 않으며 A2A를 대체하지 않고 확장합니다. SARL 레지스트리를 사용하지 않는 에이전트는 완전히 A2A와 호환됩니다.
데모 및 사양
-
실시간 프로토타입:
세 개 패널: 에이전트 등록, 도달 가능성 정책 설정, 엔드포인트 해석. “Start Demo” 워크스루는 정책이 추가될 때 404 → 200 전환을 보여줍니다. -
전체 사양:
알려진 차이점 (v0.1)
- 연합 레지스트리 동기화
- 토큰 회전
- 속도 제한
이러한 문제들은 인지하고 있으나 초기 버전의 범위에는 포함되지 않습니다.
피드백 요청
A2A 위에서 개발하고 계시며 discovery‑control 문제를 겪은 개발자를 찾고 있습니다. 별도의 엔드포인트, 수동 허용 리스트, 네트워크 레이어 격리와 같은 우회 방법을 구현하셨다면 접근 방식을 공유해 주세요.
SARL 사양은 오픈소스로, Apache 2.0 라이선스로 배포됩니다. 피드백 및 기여는 GitHub에서 환영합니다.