‘섀도우 AI에이전트’, ‘다른 에이전트에 데이터 누설’ 등
AI에이전트 확산 속 기존 IT ‘디스토피아’ 원흉으로 등장
자의적 의사결정, 타사 서비스와 위험한 통합 등 ‘사용자 속임수’
[애플경제 전윤미 기자] AI에이전트가 보편화되면서 장차 AGI로 향하는 여정도 한층 짧아지고 있다. 그러나 ‘호사다마’랄까. 최근엔 또 다시 AI에이전트로 인한 사이버위험에 대한 경고음이 켜지고 있다. 이는 심지어 ‘새로운 형태의 섀도우 IT’가 되고 있다는 지적이다.
실제로 섀도우 AI에이전트가 출몰하고, 예측 불가한 의사결정을 보이거나, 사용자가 허용하지 않는 에이전트 간의 데이터를 공유하는 등의 현상이 잦아지고 있다. 이는 기존 애플리케이션과 다른 고도의 에이전트 AI 시스템의 특성을 생각하면 매우 위협적인 요소다. 거의 자율적으로 작동하며, 인간의 감독 없이 작업을 수행하거나 민감한 시스템에 접근할 수 있고, 복잡한 워크플로를 연결할 수 있다.
치명적인 위협 요인으로 부상
그 중에서도 소위 ‘섀도우 AI 에이전트’는 새로운 위협요인으로 부상하고 있다. 사용자들 중엔 혼자만의 에이전트를 배포하거나, 클라우드 연결을 은밀히 시도하기도 한다. 이 경우 임시 ID를 생성하고, 감사를 당할만한 빌미나 흔적도 남기지 않는 경우가 많다.
자동으로 클라우드 기능을 구동하고, 임시 ID를 사용해 민감한 고객 데이터에 접근할 수도 있다. 그런 다음엔 스스로 종료되어 보안 팀이 검토할 증거조차 남기지 않는 경우도 있다. AWS의 클라우드 보안장치인 IAM이나 MS의 보안도구 SIEM 등도 이런 유형의 활동을 탐지하기엔 충분하지 않다.
사이버시큐리티 인사이더는 “인간 사용자를 위해 설계된 기존 보안 프레임워크는 AI 에이전트의 역동적이고 예측 불가능한 동작과 고유한 취약점을 관리하기에 적합하지 않다.”고 단언하면서 “이런 ‘액세스와 신뢰의 갭’을 해결하려면 런타임 거버넌스나, 제로 스탠딩 권한(ZSP) 등의 대응책이 필요하다”고 주문했다.
다양한 위협 요인들
에이전트 AI 시스템은 여느 스크립트처럼 지속적으로 동작할 수 있지만, 그렇지 않을 경우도 많다. 즉, 예측 불가한 비정형의 결정을 내리거나, 때론 똑같은 프롬프트나 명령에 대해서도 서로 다른 결과를 도출하기도 한다. 이로 인한 위험 또한 크다.
특히 애매모호한 내용의 프롬프트의 경우 에이전트가 과도한 권한으로 클라우드 인스턴스를 실행하기도 한다. 불필요하다고 판단되는 보안 제어를 비활성화하도록 유도할 수도 있다. 이 경우 에이전트는 잠재적인 신원(인증수단)이나, 의사 결정권자, 운영자 역할을 모조리 해내는 셈이다.
에이전트는 단순히 독립적으로 작동하는게 아니다보니, 더 위험하다. 이는 주로 ‘협업’이란 이름으로 상호작용을 한다. 이 과정에서 데이터, 액세스 토큰 또는 자격 증명을 교환하는 경우가 많다. 실제로 사용자를 대신해 어느 에이전트가 동일한 제어 대상이 아닌 다른 에이전트에게 민감한 데이터를 전달할 수도 있다.
보안매체 ‘해크리드’는 이를 예방하기 위해선 “시스템 경계뿐만 아니라 에이전트 신원 경계도 고려해야 한다”면서 “총체적 관리가 에이전트에 대해 이뤄져야 하며, 에이전트 간 통신 이나 신원 계보 추적에 대한 엄격한 제어가 이루어져야 한다”는 지적이다.
성능을 높일 목적으로 많은 경우 에이전트 시스템은 타사 API, 플러그인이나 MCP(Model Context Protocol) 서버에 연결되곤 한다. 그러나 MCP는 제대로 이해되지 않은 공격 표면을 야기하기도 한다.
때론 수천 개의 MCP 서버가 공개 저장소에서 사용할 수 있을 정도가 된다. 그중 다수는 합법적인 공급업체에서 제공하는 것과 거의 구별할 수 없다. 심지어 일부 서버에서는 자격 증명을 훔치는 맬웨어나 지속적인 백도어가 발견되기도 했다. 이런 경우 기업은 의도치 않게 공격자에게 문을 열어줄 위험이 있다.
이에 “에이전트가 어떤 서비스와 언제 통합할 수 있는지에 대한 강력한 거버넌스가 필요한 이유”라며 “런타임 권한 부여 정책은 플러그인, 프로토콜, 그리고 에이전트가 수행할 수 있는 모든 아웃바운드 요청을 포괄해야 한다”고 밝혔다.
AI 에이전트는 소위 ‘창의적’이란 이름으로 때론 제멋대로 예측 불가능한 방식으로 작업을 연결할 수도 있다. 이는 스크립트화된 공격 경로를 따르는 기존 맬웨어와도 다르다. 에이전트 시스템은 정찰부터 권한 상승, 데이터 유출에 이르기까지 새로운 공격 시퀀스를 즉석에서 생성할 수 있다.
더 심각한 것은 프롬프트 수정, 필터 우회, 샌드박스 환경 탈출 시도 등 기만적인 행동을 보일 수 있다는 점이다. 이런 위험을 방어하려면 ‘정적인 규칙 집합’에서 벗어나야 한다. 그래서 “에이전트가 할당된 범위를 벗어나거나, 에스컬레이션하거나, 상호 작용하는 시점을 파악하려면 런타임 행동 분석 및 AI 지원 모니터링이 필수적”이란 지적이다.
AI 에이전트는 또한 유효한 자격 증명을 사용하고, 승인된 API와 상호 작용하기도 한다. 그러나 이는 겉보기엔 합법적인 워크플로로 보인다. 이로 인해 인간 사용자와 거의 구별하기 어렵다. 특히 에이전트가 스스로 상황을 인식하면서, 자신이 만약 감시당하고 있다고 감지되면 이런 엉뚱한 행동을 보이기도 한다. 전문가들은 이른바 ‘AI 혼합’ 효과로 일컫는다.
문제는 대부분의 기존 이상 탐지 시스템이 효과가 없다는 사실이다. 더욱 심각한 문제는 사용자가 비공식적으로 도구를 테스트하기 위해 활용한 개인 자격 증명을 빼돌려 악용한다는 점이다. 그래서 “이에 대한 가시성과 제어력을 회복하기 위해 임시 또는 단기 에이전트 활동에 대해서도 ID 추상화 계층이나, 중앙 집중식 정책, 런타임 로깅을 구축해야 한다”는 지적이다.