코드로 구현하는 AI 에이전트 보안: 목표 하이재킹·메모리 포이즈닝·계단식 실패 방어 실전 가이드

AI 에이전트가 계획을 세우고, 도구를 호출하고, 다른 에이전트에게 작업을 위임하는 시스템을 구축하고 있다면, 기존의 정적 분석(SAST)이나 동적 분석(DAST) 도구만으로는 잡을 수 없는 위협 범주가 존재한다는 사실을 알아야 합니다. 에이전트의 한 번의 사용자 요청이 수십 개의 내부 액션으로 분해되고, 각 액션의 결과가 다음 계획의 입력이 되는 구조는 기존 요청-응답 중심의 보안 모델이 전혀 가정하지 않았던 공격 표면을 만들어냅니다. 2025년 12월 OWASP GenAI Security Project가 발표한 OWASP Top 10 for Agentic Applications은 바로 이 공백을 채우기 위한 프레임워크입니다. 기존 LLM Top 10이 단일 프롬프트-응답 쌍의 위협에 집중했다면, 에이전틱 Top 10은 에이전트가 계획 → 도구 호출 → 메모리 지속 → 위임을 반복하는 다단계 행동 사이클 전체를 위협 모델로 다룹니다.

이 글에서는 10개 항목 중 실제 CVE가 발급되거나(ASI01: EchoLeak CVE-2025-32711, CVSS 9.3) 재현 가능한 연구 논문으로 입증된(ASI06: arXiv:2603.20357) 세 가지 위협, ASI01(목표 하이재킹)·ASI06(메모리 포이즈닝)·ASI08(계단식 실패) 에 집중합니다. 이 세 위협은 독립적으로 존재하는 것이 아니라, ASI01이 초기 진입점이 되어 ASI06을 통해 메모리를 오염시키고, 그 오염이 ASI08을 통해 시스템 전체로 전파되는 연쇄 구조를 형성합니다. 이 글을 읽고 나면 GoalLock, 5계층 메모리 격리, Circuit Breaker 세 가지 패턴을 각 위협의 방어선으로 배치하는 아키텍처 기준을 갖게 됩니다. 이 글은 에이전틱 AI 시스템을 이미 구축 중이거나 계획 중인 백엔드·풀스택 개발자를 대상으로 합니다.

핵심 개념

에이전틱 AI는 왜 기존 보안 도구가 잡지 못하는 위협을 만드는가

전통적인 SAST/DAST 도구는 코드의 정적 구조나 HTTP 요청·응답의 이상 여부를 탐지합니다. 그러나 에이전틱 AI의 공격은 자연어로 작성된 도구 호출 결과, 벡터 DB의 임베딩 레이어, 에이전트 간 메시지 페이로드에 숨어들기 때문에 바이트 수준 검증을 통과합니다.

구분	전통적 프롬프트 인젝션	에이전틱 목표 하이재킹
영향 범위	단일 응답 오염	에이전트 계획 엔진 전체 장악
지속성	해당 요청 한정	이후 모든 액션 무기화
탐지 난이도	상대적으로 용이	자연어 기반, 스키마 검증 우회
전파 경로	없음	메모리·하위 에이전트로 전파

에이전틱 보안의 핵심 역설: 에이전트를 더 강력하게 만드는 요소(계획 능력, 장기 메모리, 다른 에이전트와의 협력)가 바로 공격 표면을 기하급수적으로 넓히는 요소이기도 합니다.

세 위협의 연쇄 구조: ASI01 → ASI06 → ASI08

이 세 위협은 독립된 개별 사건이 아닙니다. 실제 공격 시나리오에서는 다음과 같이 연쇄됩니다.

[외부 입력] → ASI01(목표 하이재킹)
                  ↓ 오염된 목표로 메모리 쓰기
              ASI06(메모리 포이즈닝)
                  ↓ 오염된 메모리를 공유 RAG에 저장
              ASI08(계단식 실패)
                  ↓ 공유 메모리를 읽는 모든 에이전트로 전파
              [시스템 전체 장애]

각 방어 레이어는 이 연쇄의 한 단계를 차단합니다. GoalLock이 ASI01 진입을 막으면 ASI06과 ASI08은 발화 조건을 잃습니다.

ASI01 — 목표 하이재킹(Agent Goal Hijacking)

목표 하이재킹은 악의적 콘텐츠가 에이전트의 원래 목표와 계획 경로 자체를 덮어쓰는 공격입니다. 공격은 에이전트가 신뢰하는 외부 소스를 통해 컨텍스트 창으로 진입합니다. 구체적인 진입 경로는 다음과 같습니다.

웹 검색 결과: Bing/Google API 응답의 description 필드나 snippet 영역에 삽입된 지시문
수신 이메일: HTML body의 CSS display:none 처리된 숨겨진 텍스트 파트
외부 문서: PDF 각주, Word 문서의 주석 영역, Markdown 파일의 HTML 주석()

OpenAI도 공식적으로 인정했듯, 신뢰 입력과 비신뢰 입력이 동일한 컨텍스트 창에서 처리되는 구조적 한계 때문에 완전한 차단은 이론상 불가능합니다.

2025년 중반 Microsoft 365 Copilot에서 발견된 EchoLeak(CVE-2025-32711, CVSS 9.3) 이 대표적 사례입니다. 조작된 이메일의 HTML body 파트를 Copilot이 컨텍스트로 처리하는 순간, 사용자 개입 없이 민감 데이터를 자동으로 외부 유출했습니다. 에이전트의 목표가 "정상 업무 처리"에서 "데이터 추출"로 즉각 교체된 것입니다.

ASI06 — 메모리 포이즈닝(Memory & Context Poisoning)

RAG(Retrieval-Augmented Generation): 에이전트가 외부 지식 베이스(벡터 데이터베이스에 저장된 문서)를 검색해 답변 생성에 활용하는 패턴입니다. 에이전트의 "장기 기억"으로 동작하며, 여러 에이전트가 동일한 벡터 DB를 공유하는 구조가 일반적입니다.

메모리 포이즈닝은 이 RAG 저장소에 악성 지시를 삽입해 이후 모든 상호작용에 영구적으로 영향을 미치는 공격입니다. 단일 대화를 오염시키는 프롬프트 인젝션과 달리, 한 번 성공하면 해당 RAG 저장소에 접근하는 모든 에이전트가 오염됩니다.

PoisonedRAG 연구(arXiv:2603.20357)에서 확인된 것처럼, 악성 문서 하나가 공유 벡터 DB를 통해 수 시간 내 시스템 전체로 전파될 수 있습니다. 에이전트가 잘못된 신념(예: 특정 보안 정책이 무효라는 인식)을 형성하면, 이를 기반으로 하는 이후 결정들이 연쇄적으로 오염됩니다.

ASI08 — 계단식 실패(Cascading Failures)

계단식 실패는 한 에이전트의 손상이 연결된 도구, 공유 메모리, 하위 에이전트로 전파되어 시스템 전체를 장애 상태로 몰아넣는 현상입니다. 핵심 위험 요인은 자연어 기반 오류가 타입 검사나 스키마 검증을 통과한다는 것입니다. 정상적인 JSON 스키마를 반환하면서도 의미론적으로 잘못된 지시를 전달하는 에이전트를 기존 모니터링 도구는 탐지하기 어렵습니다. Galileo AI의 멀티 에이전트 시스템 실패 분석에 따르면, 오염된 메모리가 미래 작업을 지속적으로 오염시키는 시간 복합 효과(temporal compounding)가 가장 큰 피해 요인으로 지적됩니다.

Zero Trust for AI: "절대 신뢰하지 말고, 항상 검증하라"는 Zero Trust 원칙을 AI 에이전트에 적용한 아키텍처 개념입니다. 내부 에이전트도 외부 입력과 동일하게 검증 대상으로 간주하며, Cisco와 Microsoft 모두 2026년 1분기에 AI 에이전트 전용 Zero Trust 아키텍처 가이드를 발표했습니다.

MCP(Model Context Protocol): AI 에이전트가 외부 도구·서비스와 표준화된 방식으로 상호작용하기 위한 프로토콜입니다. MCP 게이트웨이를 통한 최소 권한 집행이 현재 업계 표준 패턴으로 자리 잡고 있으며, 다음 글에서 상세히 다룹니다.

실전 적용

예시 1: GoalLock 메커니즘으로 목표 하이재킹 방어하기

에이전트가 초기 목표를 HMAC으로 서명하고, 외부 입력 처리 후 매번 현재 목표와 초기 서명을 비교하는 패턴입니다. 목표가 무단 변경되면 즉시 실행을 중단합니다.

python

import hashlib
import hmac
import re
from dataclasses import dataclass
from typing import Optional
 
SECRET_KEY = b"your-secret-key-stored-in-env"  # 실제 환경에서는 환경 변수로 관리
 
 
@dataclass
class GoalLock:
    original_goal: str
    signature: str
 
    @staticmethod
    def create(goal: str) -> "GoalLock":
        # hmac.new의 첫 번째 인자는 bytes, digestmod는 키워드 인자로 명시
        sig = hmac.new(
            SECRET_KEY, goal.encode(), digestmod=hashlib.sha256
        ).hexdigest()
        return GoalLock(original_goal=goal, signature=sig)
 
    def verify(self, current_goal: str) -> bool:
        expected = hmac.new(
            SECRET_KEY, self.original_goal.encode(), digestmod=hashlib.sha256
        ).hexdigest()
        # hmac.compare_digest: 타이밍 공격(timing attack) 방어
        if not hmac.compare_digest(self.signature, expected):
            return False  # 서명 자체가 조작됨
        return current_goal.strip() == self.original_goal.strip()
 
 
class SecureAgent:
    def __init__(self, goal: str):
        self.goal_lock = GoalLock.create(goal)
        self.current_goal = goal
 
    def process_external_input(self, external_content: str) -> str:
        """외부 입력을 처리하기 전 목표 무결성 확인"""
        sanitized = self._sanitize_input(external_content)
 
        if not self.goal_lock.verify(self.current_goal):
            raise SecurityError(
                f"Goal integrity violation detected. "
                f"Original: '{self.goal_lock.original_goal}' "
                f"Current: '{self.current_goal}'"
            )
        return sanitized
 
    def _sanitize_input(self, content: str) -> str:
        """
        다계층 입력 sanitization.
 
        완전 차단 대신 '[SUSPICIOUS_CONTENT_DETECTED]' 마킹을 사용하는 이유:
        - 완전 차단 시, LLM은 입력이 잘렸다는 사실을 모른 채 불완전한
          컨텍스트로 계획을 진행해 오히려 예측 불가능한 동작을 유발할 수 있습니다.
        - 마킹 방식은 LLM이 의심 콘텐츠의 존재를 인식하고 적절히
          무시하거나 경고를 포함한 응답을 생성하도록 유도합니다.
        - 단, 이 방식은 LLM이 마킹 자체를 무시하거나 학습 컨텍스트로
          처리할 수 있으므로, 임베딩 거리 기반 의미론적 탐지와 병행하는
          것을 권장합니다.
        """
        injection_patterns = [
            r"(?i)ignore\s+(all\s+)?previous\s+instructions?",
            r"(?i)you\s+are\s+now\s+",
            r"(?i)act\s+as\s+",
            r"(?i)forget\s+your\s+(previous\s+)?instructions?",
            r"(?i)new\s+goal\s*:",
            r"(?i)override\s+(previous\s+)?instructions?",
        ]
        for pattern in injection_patterns:
            if re.search(pattern, content):
                content = f"[SUSPICIOUS_CONTENT_DETECTED] {content}"
                break
        return content
 
 
class SecurityError(Exception):
    pass

코드 구성 요소	역할
`GoalLock.create()`	초기 목표를 HMAC-SHA256으로 서명, 불변 기준선 생성
`GoalLock.verify()`	매 액션 전 현재 목표와 서명 일치 여부 확인
`hmac.compare_digest()`	타이밍 공격 방어를 위한 상수 시간 비교
`_sanitize_input()`	알려진 인젝션 패턴 탐지 후 마킹 (완전 차단 아님)
`SecurityError`	목표 변조 감지 시 실행 즉시 중단

주의: 정규식 기반 sanitization은 알려진 패턴만 방어합니다. 공격자는 인코딩·우회 표현·간접 인젝션으로 정적 규칙을 우회할 수 있으므로, 임베딩 거리 측정 기반의 의미론적 탐지와 병행하는 것을 권장합니다.

예시 2: 5계층 메모리 격리로 포이즈닝 방어하기

메모리 포이즈닝 방어의 핵심은 각 메모리 항목에 출처와 신뢰도를 함께 저장하고, 쿼리 시점에 이를 검증하는 것입니다.

typescript

// Node.js 14.17.0+ 환경 기준
// randomUUID와 createHash 모두 "crypto" 모듈에서 명시적으로 임포트
import { createHash, randomUUID } from "crypto";
 
interface MemoryEntry {
  id: string;
  content: string;
  // Provenance Tracking: 출처 메타데이터
  provenance: {
    source: string;       // 예: "user_upload" | "web_search" | "agent_internal"
    timestamp: number;
    agentId: string;
    trustLevel: "high" | "medium" | "low" | "untrusted";
  };
  // Temporal Decay: 만료 정보
  ttl: number;            // Unix timestamp (ms), 0이면 영구
  contentHash: string;    // 무결성 검증용 SHA-256 해시
}
 
class SecureMemoryStore {
  private partitions: Map<string, MemoryEntry[]> = new Map();
 
  // 1. Memory Partitioning — 에이전트별 격리
  private getPartition(key: string): MemoryEntry[] {
    if (!this.partitions.has(key)) {
      this.partitions.set(key, []);
    }
    return this.partitions.get(key)!;
  }
 
  // 2. Provenance Tracking — 출처 메타데이터 포함 저장
  async store(
    agentId: string,
    content: string,
    source: string,
    trustLevel: MemoryEntry["provenance"]["trustLevel"],
    ttlHours: number = 24
  ): Promise<string> {
    const entry: MemoryEntry = {
      id: randomUUID(), // "crypto" 모듈에서 임포트한 randomUUID 사용
      content,
      provenance: {
        source,
        timestamp: Date.now(),
        agentId,
        trustLevel,
      },
      ttl: ttlHours > 0 ? Date.now() + ttlHours * 3_600_000 : 0,
      contentHash: createHash("sha256").update(content).digest("hex"),
    };
 
    // 낮은 신뢰도 콘텐츠는 별도 격리 파티션에 저장
    const partitionKey =
      trustLevel === "untrusted" ? `${agentId}:quarantine` : agentId;
 
    this.getPartition(partitionKey).push(entry);
    return entry.id;
  }
 
  // 3. Context Isolation + 4. Temporal Decay — 쿼리 시 실시간 검증
  async query(
    agentId: string,
    minTrustLevel: MemoryEntry["provenance"]["trustLevel"] = "medium"
  ): Promise<MemoryEntry[]> {
    const trustHierarchy: Record<
      MemoryEntry["provenance"]["trustLevel"],
      number
    > = { high: 3, medium: 2, low: 1, untrusted: 0 };
    const minScore = trustHierarchy[minTrustLevel];
    const now = Date.now();
 
    return this.getPartition(agentId).filter((entry) => {
      // Temporal Decay: 만료된 항목 제외
      if (entry.ttl > 0 && entry.ttl < now) return false;
 
      // Context Isolation: 신뢰 수준 필터링
      if (trustHierarchy[entry.provenance.trustLevel] < minScore) return false;
 
      // 무결성 검증: 저장 후 변조 여부 확인
      const currentHash = createHash("sha256")
        .update(entry.content)
        .digest("hex");
      if (currentHash !== entry.contentHash) {
        console.error(`Memory integrity violation detected: entry ${entry.id}`);
        return false;
      }
      return true;
    });
  }
 
  // 5. Behavioral Monitoring — 이상 패턴 탐지
  async detectAnomalies(agentId: string): Promise<string[]> {
    const warnings: string[] = [];
    const partition = this.getPartition(agentId);
 
    // 단시간 내 대량 저장 시도 탐지
    const recentEntries = partition.filter(
      (e) => Date.now() - e.provenance.timestamp < 60_000
    );
    if (recentEntries.length > 50) {
      warnings.push(
        `Anomaly: ${recentEntries.length} entries written in last 60s`
      );
    }
 
    // 비신뢰 소스 비율 탐지
    const untrustedRatio =
      partition.filter((e) => e.provenance.trustLevel === "untrusted").length /
      Math.max(partition.length, 1);
 
    if (untrustedRatio > 0.3) {
      warnings.push(
        `Anomaly: ${(untrustedRatio * 100).toFixed(1)}% entries from untrusted sources`
      );
    }
 
    return warnings;
  }
}

계층	구현 포인트	방어 효과
Memory Partitioning	`getPartition(agentId)`	에이전트 간 교차 오염 차단
Context Isolation	`minTrustLevel` 필터	낮은 신뢰도 항목 자동 격리
Provenance Tracking	`provenance` 메타데이터	공격 경로 사후 추적 가능
Temporal Decay	`ttl` 만료 검사	오래된 오염 항목 자동 소멸
Behavioral Monitoring	`detectAnomalies()`	대량 삽입 공격 조기 탐지

예시 3: 회로 차단기 패턴으로 계단식 실패 방어하기

Circuit Breaker 패턴: 외부 서비스 호출 실패가 연쇄되는 것을 방지하기 위해 장애가 임계치를 초과하면 자동으로 연결을 차단하고, 일정 시간 후 복구를 시도하는 소프트웨어 엔지니어링 패턴입니다. 에이전트 시스템에서는 손상된 에이전트를 격리하고 마지막 정상 상태(SafeMode 스냅샷)로 복구하는 데 동일한 원리를 적용합니다.

python

import asyncio
import time
import json
from enum import Enum
from dataclasses import dataclass, field
from typing import Callable, Any, Optional
 
 
class CircuitState(Enum):
    CLOSED = "closed"       # 정상 동작
    OPEN = "open"           # 차단 (요청 즉시 거부)
    HALF_OPEN = "half_open" # 복구 테스트 중
 
 
@dataclass
class AgentCircuitBreaker:
    agent_id: str
    failure_threshold: int = 5       # 실패 N회 시 OPEN
    recovery_timeout: float = 30.0   # N초 후 HALF_OPEN 시도
    success_threshold: int = 2       # HALF_OPEN에서 성공 N회 시 CLOSED 복귀
 
    state: CircuitState = CircuitState.CLOSED
    failure_count: int = 0
    success_count: int = 0
    last_failure_time: float = 0.0
    safe_snapshot: Optional[dict] = None
 
    def save_snapshot(self, state: dict) -> None:
        """정상 동작 시 SafeMode 스냅샷 저장"""
        self.safe_snapshot = {
            "timestamp": time.time(),
            "agent_id": self.agent_id,
            "state": json.dumps(state),
        }
 
    def restore_from_snapshot(self) -> Optional[dict]:
        """장애 시 마지막 정상 스냅샷으로 복구"""
        if self.safe_snapshot:
            print(
                f"[RECOVERY] Agent {self.agent_id}: "
                f"restoring snapshot (saved at {self.safe_snapshot['timestamp']:.0f})"
            )
            return json.loads(self.safe_snapshot["state"])
        return None
 
    async def call(self, func: Callable, *args, **kwargs) -> Any:
        """에이전트 액션 실행 전 회로 상태 확인"""
        if self.state == CircuitState.OPEN:
            elapsed = time.time() - self.last_failure_time
            if elapsed >= self.recovery_timeout:
                self.state = CircuitState.HALF_OPEN
                self.success_count = 0
                print(f"[CIRCUIT] Agent {self.agent_id}: HALF_OPEN (recovery test)")
            else:
                restored = self.restore_from_snapshot()
                raise CircuitOpenError(
                    f"Agent {self.agent_id} is OPEN. "
                    f"Retry after {self.recovery_timeout - elapsed:.1f}s",
                    restored_state=restored,
                )
 
        try:
            result = await func(*args, **kwargs)
            self._on_success()
            return result
        except Exception:
            self._on_failure()
            raise
 
    def _on_success(self) -> None:
        self.failure_count = 0
        if self.state == CircuitState.HALF_OPEN:
            self.success_count += 1
            if self.success_count >= self.success_threshold:
                self.state = CircuitState.CLOSED
                print(f"[CIRCUIT] Agent {self.agent_id}: CLOSED (recovered)")
 
    def _on_failure(self) -> None:
        self.failure_count += 1
        self.last_failure_time = time.time()
        if self.state == CircuitState.HALF_OPEN:
            self.state = CircuitState.OPEN
        elif self.failure_count >= self.failure_threshold:
            self.state = CircuitState.OPEN
            print(
                f"[CIRCUIT] Agent {self.agent_id}: OPEN "
                f"(failures: {self.failure_count})"
            )
 
 
class MultiAgentOrchestrator:
    def __init__(self, agent_ids: list[str]):
        self.breakers = {
            aid: AgentCircuitBreaker(agent_id=aid) for aid in agent_ids
        }
 
    async def get_available_agent_decision(
        self,
        query: str,
        agent_handlers: dict[str, Callable],
        availability_threshold: float = 0.66,
    ) -> dict:
        """
        다중 에이전트 가용성 기반 결정.
 
        주의: 이 구현은 '응답한 에이전트 비율'이 임계치 이상일 때
        첫 번째 응답을 반환하는 가용성(availability) 검증입니다.
        응답 내용의 의미론적 일치도를 검사하는 진정한 합의(consensus)가
        아닙니다. 프로덕션 환경에서는 응답 간 임베딩 유사도 비교나
        다수결 로직을 추가로 구현하는 것을 권장합니다.
        """
        responses = []
        for agent_id, handler in agent_handlers.items():
            try:
                breaker = self.breakers[agent_id]
                result = await breaker.call(handler, query)
                responses.append({"agent_id": agent_id, "result": result})
            except CircuitOpenError:
                print(f"[DECISION] Agent {agent_id} skipped (circuit open)")
 
        if not responses:
            raise RuntimeError("All agents unavailable — system in SafeMode")
 
        # 가용한 에이전트 비율 확인 (의미론적 일치도 검증은 별도 구현 필요)
        availability_ratio = len(responses) / len(agent_handlers)
        if availability_ratio < availability_threshold:
            raise RuntimeError(
                f"Availability threshold not met: "
                f"only {availability_ratio:.0%} agents responded"
            )
 
        return responses[0]["result"]
 
 
class CircuitOpenError(Exception):
    def __init__(self, message: str, restored_state: Optional[dict] = None):
        super().__init__(message)
        self.restored_state = restored_state

회로 차단기 상태 전이: CLOSED → (실패 임계치 초과) → OPEN → (복구 타임아웃) → HALF_OPEN → (성공 임계치 도달) → CLOSED 순서로 전이됩니다. OPEN 상태에서 요청은 즉시 거부되고, 마지막 SafeMode 스냅샷으로 복구를 시도합니다.

장단점 분석

장점

항목	내용
계층적 방어	GoalLock → 메모리 격리 → Circuit Breaker가 각각 ASI01/06/08 연쇄를 각 단계에서 차단
감사 가능성	Provenance Tracking으로 공격 경로를 사후에 추적 가능
자동 복구	SafeMode 스냅샷으로 운영자 개입 없이 부분 복구
규제 연동	OWASP Agentic Top 10이 EU AI Act, HIPAA, SOC2 요건과 자동 매핑 가능
런타임 프레임워크	Microsoft Agent Governance Toolkit 등 GoalLock·메모리 격리·Circuit Breaker를 런타임 정책으로 일괄 적용하는 오픈소스 도구 활용 가능

단점 및 주의사항

항목	내용	대응 방안
의미론적 불투명성	LLM 간 자연어 통신은 바이트 수준 검증 불가	임베딩 거리 기반 이상 탐지 병행
레이턴시 증가	검증·합의·승인 흐름이 응답 속도 저하 유발	AgentOS 서브밀리초 정책 엔진 활용, 비동기 검증 분리
거짓 긍정	과도한 정책이 정상 에이전트 작업을 차단할 위험	초기 shadow mode로 정책 튜닝 후 적용
창발적 행동	다수 에이전트 협업 시 개별 안전 설계로 예측 불가한 상호작용 발생	정기적 레드팀 테스트(Promptfoo, DeepTeam)
구조적 한계	신뢰·비신뢰 입력 혼합 처리는 완전 해결 불가	Human-in-the-Loop 체크포인트로 고위험 액션 보호
가용성 vs 합의	CircuitBreaker의 `get_available_agent_decision`은 의미론적 합의가 아닌 가용성 검증	응답 간 임베딩 유사도 비교 로직 별도 구현 필요

실무에서 가장 흔한 실수

테스트 환경에서만 보안 적용: 개발 중 보안 검증을 생략하고 프로덕션 직전에 추가하려 하면 아키텍처 변경 비용이 폭증합니다. 에이전트 설계 초기부터 GoalLock과 Provenance Tracking을 내장하는 것을 권장합니다.
공유 RAG DB의 격리 미비: 여러 에이전트가 동일한 벡터 DB를 읽기·쓰기 권한 구분 없이 공유하면 단일 오염이 시스템 전체로 전파됩니다. 에이전트별 파티션과 신뢰 수준 기반 필터를 반드시 적용하는 것이 좋습니다.
정적 규칙만 신뢰: 알려진 인젝션 패턴의 정규식 필터만으로 방어가 완료됐다고 오해하는 경우가 많습니다. 공격자는 인코딩·우회 표현·간접 인젝션으로 정적 규칙을 우회하므로, Promptfoo나 DeepTeam으로 정기적인 레드팀 테스트를 병행하는 것을 권장합니다.

마치며

이 글을 통해 GoalLock이 외부 입력의 진입점에서 목표 변조를 차단하고, 5계층 메모리 격리가 공유 RAG 저장소를 통한 영구 오염을 막으며, Circuit Breaker가 손상된 에이전트를 격리하고 마지막 정상 상태로 복구하는 세 개의 방어 레이어가 ASI01 → ASI06 → ASI08 연쇄를 각 단계에서 끊는 구조를 살펴봤습니다. 각 패턴은 독립적으로도 유효하지만, 세 레이어를 조합할 때 연쇄 공격의 전파 경로 자체를 차단하는 효과를 얻을 수 있습니다.

아래 3단계는 팀 상황에 따라 시작점을 선택할 수 있습니다.

[에이전트 시스템 운영 중인 팀] 레드팀 테스트 실행: Promptfoo를 설치한 뒤(pnpm add -g promptfoo) promptfoo redteam run --plugins owasp:agentic 명령으로 현재 에이전트의 OWASP Agentic Top 10 취약점을 자동 스캔해 볼 수 있습니다. 결과 리포트에서 ASI01, ASI06, ASI08 점수를 가장 먼저 확인해 보시면 좋습니다.
[RAG/벡터 DB를 사용 중인 팀] 메모리 격리 감사: 현재 에이전트 시스템에서 각 메모리 항목에 source, trustLevel, ttl 메타데이터가 포함되어 있는지 확인해 보시기 바랍니다. 없다면 이 글의 SecureMemoryStore 패턴을 참고해 Provenance Tracking을 추가하는 것부터 시작할 수 있습니다.
[에이전트 시스템 설계 단계인 팀] Microsoft Agent Governance Toolkit 도입 검토: Microsoft가 2026년 4월 MIT 라이선스로 공개한 이 툴킷은 앞서 다룬 GoalLock·메모리 격리·Circuit Breaker에 해당하는 런타임 정책을 서브밀리초 레이턴시로 일괄 적용할 수 있는 AgentOS 정책 엔진을 제공합니다. 공식 GitHub 저장소(microsoft/agent-governance-toolkit)에서 LangChain, CrewAI 연동 예제를 확인할 수 있습니다.

다음 글: MCP(Model Context Protocol) 게이트웨이 설계 실전 — AI 에이전트에 Zero Trust 최소 권한 아키텍처를 적용하는 단계별 가이드

참고 자료

코드로 구현하는 AI 에이전트 보안: 목표 하이재킹·메모리 포이즈닝·계단식 실패 방어 실전 가이드

핵심 개념

에이전틱 AI는 왜 기존 보안 도구가 잡지 못하는 위협을 만드는가

구분	전통적 프롬프트 인젝션	에이전틱 목표 하이재킹
영향 범위	단일 응답 오염	에이전트 계획 엔진 전체 장악
지속성	해당 요청 한정	이후 모든 액션 무기화
탐지 난이도	상대적으로 용이	자연어 기반, 스키마 검증 우회
전파 경로	없음	메모리·하위 에이전트로 전파

에이전틱 보안의 핵심 역설: 에이전트를 더 강력하게 만드는 요소(계획 능력, 장기 메모리, 다른 에이전트와의 협력)가 바로 공격 표면을 기하급수적으로 넓히는 요소이기도 합니다.

세 위협의 연쇄 구조: ASI01 → ASI06 → ASI08

이 세 위협은 독립된 개별 사건이 아닙니다. 실제 공격 시나리오에서는 다음과 같이 연쇄됩니다.

[외부 입력] → ASI01(목표 하이재킹)
                  ↓ 오염된 목표로 메모리 쓰기
              ASI06(메모리 포이즈닝)
                  ↓ 오염된 메모리를 공유 RAG에 저장
              ASI08(계단식 실패)
                  ↓ 공유 메모리를 읽는 모든 에이전트로 전파
              [시스템 전체 장애]

각 방어 레이어는 이 연쇄의 한 단계를 차단합니다. GoalLock이 ASI01 진입을 막으면 ASI06과 ASI08은 발화 조건을 잃습니다.

ASI01 — 목표 하이재킹(Agent Goal Hijacking)

웹 검색 결과: Bing/Google API 응답의 description 필드나 snippet 영역에 삽입된 지시문
수신 이메일: HTML body의 CSS display:none 처리된 숨겨진 텍스트 파트
외부 문서: PDF 각주, Word 문서의 주석 영역, Markdown 파일의 HTML 주석()

OpenAI도 공식적으로 인정했듯, 신뢰 입력과 비신뢰 입력이 동일한 컨텍스트 창에서 처리되는 구조적 한계 때문에 완전한 차단은 이론상 불가능합니다.

ASI06 — 메모리 포이즈닝(Memory & Context Poisoning)

RAG(Retrieval-Augmented Generation): 에이전트가 외부 지식 베이스(벡터 데이터베이스에 저장된 문서)를 검색해 답변 생성에 활용하는 패턴입니다. 에이전트의 "장기 기억"으로 동작하며, 여러 에이전트가 동일한 벡터 DB를 공유하는 구조가 일반적입니다.

ASI08 — 계단식 실패(Cascading Failures)

Zero Trust for AI: "절대 신뢰하지 말고, 항상 검증하라"는 Zero Trust 원칙을 AI 에이전트에 적용한 아키텍처 개념입니다. 내부 에이전트도 외부 입력과 동일하게 검증 대상으로 간주하며, Cisco와 Microsoft 모두 2026년 1분기에 AI 에이전트 전용 Zero Trust 아키텍처 가이드를 발표했습니다.

MCP(Model Context Protocol): AI 에이전트가 외부 도구·서비스와 표준화된 방식으로 상호작용하기 위한 프로토콜입니다. MCP 게이트웨이를 통한 최소 권한 집행이 현재 업계 표준 패턴으로 자리 잡고 있으며, 다음 글에서 상세히 다룹니다.

실전 적용

예시 1: GoalLock 메커니즘으로 목표 하이재킹 방어하기

python

import hashlib
import hmac
import re
from dataclasses import dataclass
from typing import Optional
 
SECRET_KEY = b"your-secret-key-stored-in-env"  # 실제 환경에서는 환경 변수로 관리
 
 
@dataclass
class GoalLock:
    original_goal: str
    signature: str
 
    @staticmethod
    def create(goal: str) -> "GoalLock":
        # hmac.new의 첫 번째 인자는 bytes, digestmod는 키워드 인자로 명시
        sig = hmac.new(
            SECRET_KEY, goal.encode(), digestmod=hashlib.sha256
        ).hexdigest()
        return GoalLock(original_goal=goal, signature=sig)
 
    def verify(self, current_goal: str) -> bool:
        expected = hmac.new(
            SECRET_KEY, self.original_goal.encode(), digestmod=hashlib.sha256
        ).hexdigest()
        # hmac.compare_digest: 타이밍 공격(timing attack) 방어
        if not hmac.compare_digest(self.signature, expected):
            return False  # 서명 자체가 조작됨
        return current_goal.strip() == self.original_goal.strip()
 
 
class SecureAgent:
    def __init__(self, goal: str):
        self.goal_lock = GoalLock.create(goal)
        self.current_goal = goal
 
    def process_external_input(self, external_content: str) -> str:
        """외부 입력을 처리하기 전 목표 무결성 확인"""
        sanitized = self._sanitize_input(external_content)
 
        if not self.goal_lock.verify(self.current_goal):
            raise SecurityError(
                f"Goal integrity violation detected. "
                f"Original: '{self.goal_lock.original_goal}' "
                f"Current: '{self.current_goal}'"
            )
        return sanitized
 
    def _sanitize_input(self, content: str) -> str:
        """
        다계층 입력 sanitization.
 
        완전 차단 대신 '[SUSPICIOUS_CONTENT_DETECTED]' 마킹을 사용하는 이유:
        - 완전 차단 시, LLM은 입력이 잘렸다는 사실을 모른 채 불완전한
          컨텍스트로 계획을 진행해 오히려 예측 불가능한 동작을 유발할 수 있습니다.
        - 마킹 방식은 LLM이 의심 콘텐츠의 존재를 인식하고 적절히
          무시하거나 경고를 포함한 응답을 생성하도록 유도합니다.
        - 단, 이 방식은 LLM이 마킹 자체를 무시하거나 학습 컨텍스트로
          처리할 수 있으므로, 임베딩 거리 기반 의미론적 탐지와 병행하는
          것을 권장합니다.
        """
        injection_patterns = [
            r"(?i)ignore\s+(all\s+)?previous\s+instructions?",
            r"(?i)you\s+are\s+now\s+",
            r"(?i)act\s+as\s+",
            r"(?i)forget\s+your\s+(previous\s+)?instructions?",
            r"(?i)new\s+goal\s*:",
            r"(?i)override\s+(previous\s+)?instructions?",
        ]
        for pattern in injection_patterns:
            if re.search(pattern, content):
                content = f"[SUSPICIOUS_CONTENT_DETECTED] {content}"
                break
        return content
 
 
class SecurityError(Exception):
    pass

코드 구성 요소	역할
`GoalLock.create()`	초기 목표를 HMAC-SHA256으로 서명, 불변 기준선 생성
`GoalLock.verify()`	매 액션 전 현재 목표와 서명 일치 여부 확인
`hmac.compare_digest()`	타이밍 공격 방어를 위한 상수 시간 비교
`_sanitize_input()`	알려진 인젝션 패턴 탐지 후 마킹 (완전 차단 아님)
`SecurityError`	목표 변조 감지 시 실행 즉시 중단

주의: 정규식 기반 sanitization은 알려진 패턴만 방어합니다. 공격자는 인코딩·우회 표현·간접 인젝션으로 정적 규칙을 우회할 수 있으므로, 임베딩 거리 측정 기반의 의미론적 탐지와 병행하는 것을 권장합니다.

예시 2: 5계층 메모리 격리로 포이즈닝 방어하기

메모리 포이즈닝 방어의 핵심은 각 메모리 항목에 출처와 신뢰도를 함께 저장하고, 쿼리 시점에 이를 검증하는 것입니다.

typescript

// Node.js 14.17.0+ 환경 기준
// randomUUID와 createHash 모두 "crypto" 모듈에서 명시적으로 임포트
import { createHash, randomUUID } from "crypto";
 
interface MemoryEntry {
  id: string;
  content: string;
  // Provenance Tracking: 출처 메타데이터
  provenance: {
    source: string;       // 예: "user_upload" | "web_search" | "agent_internal"
    timestamp: number;
    agentId: string;
    trustLevel: "high" | "medium" | "low" | "untrusted";
  };
  // Temporal Decay: 만료 정보
  ttl: number;            // Unix timestamp (ms), 0이면 영구
  contentHash: string;    // 무결성 검증용 SHA-256 해시
}
 
class SecureMemoryStore {
  private partitions: Map<string, MemoryEntry[]> = new Map();
 
  // 1. Memory Partitioning — 에이전트별 격리
  private getPartition(key: string): MemoryEntry[] {
    if (!this.partitions.has(key)) {
      this.partitions.set(key, []);
    }
    return this.partitions.get(key)!;
  }
 
  // 2. Provenance Tracking — 출처 메타데이터 포함 저장
  async store(
    agentId: string,
    content: string,
    source: string,
    trustLevel: MemoryEntry["provenance"]["trustLevel"],
    ttlHours: number = 24
  ): Promise<string> {
    const entry: MemoryEntry = {
      id: randomUUID(), // "crypto" 모듈에서 임포트한 randomUUID 사용
      content,
      provenance: {
        source,
        timestamp: Date.now(),
        agentId,
        trustLevel,
      },
      ttl: ttlHours > 0 ? Date.now() + ttlHours * 3_600_000 : 0,
      contentHash: createHash("sha256").update(content).digest("hex"),
    };
 
    // 낮은 신뢰도 콘텐츠는 별도 격리 파티션에 저장
    const partitionKey =
      trustLevel === "untrusted" ? `${agentId}:quarantine` : agentId;
 
    this.getPartition(partitionKey).push(entry);
    return entry.id;
  }
 
  // 3. Context Isolation + 4. Temporal Decay — 쿼리 시 실시간 검증
  async query(
    agentId: string,
    minTrustLevel: MemoryEntry["provenance"]["trustLevel"] = "medium"
  ): Promise<MemoryEntry[]> {
    const trustHierarchy: Record<
      MemoryEntry["provenance"]["trustLevel"],
      number
    > = { high: 3, medium: 2, low: 1, untrusted: 0 };
    const minScore = trustHierarchy[minTrustLevel];
    const now = Date.now();
 
    return this.getPartition(agentId).filter((entry) => {
      // Temporal Decay: 만료된 항목 제외
      if (entry.ttl > 0 && entry.ttl < now) return false;
 
      // Context Isolation: 신뢰 수준 필터링
      if (trustHierarchy[entry.provenance.trustLevel] < minScore) return false;
 
      // 무결성 검증: 저장 후 변조 여부 확인
      const currentHash = createHash("sha256")
        .update(entry.content)
        .digest("hex");
      if (currentHash !== entry.contentHash) {
        console.error(`Memory integrity violation detected: entry ${entry.id}`);
        return false;
      }
      return true;
    });
  }
 
  // 5. Behavioral Monitoring — 이상 패턴 탐지
  async detectAnomalies(agentId: string): Promise<string[]> {
    const warnings: string[] = [];
    const partition = this.getPartition(agentId);
 
    // 단시간 내 대량 저장 시도 탐지
    const recentEntries = partition.filter(
      (e) => Date.now() - e.provenance.timestamp < 60_000
    );
    if (recentEntries.length > 50) {
      warnings.push(
        `Anomaly: ${recentEntries.length} entries written in last 60s`
      );
    }
 
    // 비신뢰 소스 비율 탐지
    const untrustedRatio =
      partition.filter((e) => e.provenance.trustLevel === "untrusted").length /
      Math.max(partition.length, 1);
 
    if (untrustedRatio > 0.3) {
      warnings.push(
        `Anomaly: ${(untrustedRatio * 100).toFixed(1)}% entries from untrusted sources`
      );
    }
 
    return warnings;
  }
}

계층	구현 포인트	방어 효과
Memory Partitioning	`getPartition(agentId)`	에이전트 간 교차 오염 차단
Context Isolation	`minTrustLevel` 필터	낮은 신뢰도 항목 자동 격리
Provenance Tracking	`provenance` 메타데이터	공격 경로 사후 추적 가능
Temporal Decay	`ttl` 만료 검사	오래된 오염 항목 자동 소멸
Behavioral Monitoring	`detectAnomalies()`	대량 삽입 공격 조기 탐지

예시 3: 회로 차단기 패턴으로 계단식 실패 방어하기

Circuit Breaker 패턴: 외부 서비스 호출 실패가 연쇄되는 것을 방지하기 위해 장애가 임계치를 초과하면 자동으로 연결을 차단하고, 일정 시간 후 복구를 시도하는 소프트웨어 엔지니어링 패턴입니다. 에이전트 시스템에서는 손상된 에이전트를 격리하고 마지막 정상 상태(SafeMode 스냅샷)로 복구하는 데 동일한 원리를 적용합니다.

python

import asyncio
import time
import json
from enum import Enum
from dataclasses import dataclass, field
from typing import Callable, Any, Optional
 
 
class CircuitState(Enum):
    CLOSED = "closed"       # 정상 동작
    OPEN = "open"           # 차단 (요청 즉시 거부)
    HALF_OPEN = "half_open" # 복구 테스트 중
 
 
@dataclass
class AgentCircuitBreaker:
    agent_id: str
    failure_threshold: int = 5       # 실패 N회 시 OPEN
    recovery_timeout: float = 30.0   # N초 후 HALF_OPEN 시도
    success_threshold: int = 2       # HALF_OPEN에서 성공 N회 시 CLOSED 복귀
 
    state: CircuitState = CircuitState.CLOSED
    failure_count: int = 0
    success_count: int = 0
    last_failure_time: float = 0.0
    safe_snapshot: Optional[dict] = None
 
    def save_snapshot(self, state: dict) -> None:
        """정상 동작 시 SafeMode 스냅샷 저장"""
        self.safe_snapshot = {
            "timestamp": time.time(),
            "agent_id": self.agent_id,
            "state": json.dumps(state),
        }
 
    def restore_from_snapshot(self) -> Optional[dict]:
        """장애 시 마지막 정상 스냅샷으로 복구"""
        if self.safe_snapshot:
            print(
                f"[RECOVERY] Agent {self.agent_id}: "
                f"restoring snapshot (saved at {self.safe_snapshot['timestamp']:.0f})"
            )
            return json.loads(self.safe_snapshot["state"])
        return None
 
    async def call(self, func: Callable, *args, **kwargs) -> Any:
        """에이전트 액션 실행 전 회로 상태 확인"""
        if self.state == CircuitState.OPEN:
            elapsed = time.time() - self.last_failure_time
            if elapsed >= self.recovery_timeout:
                self.state = CircuitState.HALF_OPEN
                self.success_count = 0
                print(f"[CIRCUIT] Agent {self.agent_id}: HALF_OPEN (recovery test)")
            else:
                restored = self.restore_from_snapshot()
                raise CircuitOpenError(
                    f"Agent {self.agent_id} is OPEN. "
                    f"Retry after {self.recovery_timeout - elapsed:.1f}s",
                    restored_state=restored,
                )
 
        try:
            result = await func(*args, **kwargs)
            self._on_success()
            return result
        except Exception:
            self._on_failure()
            raise
 
    def _on_success(self) -> None:
        self.failure_count = 0
        if self.state == CircuitState.HALF_OPEN:
            self.success_count += 1
            if self.success_count >= self.success_threshold:
                self.state = CircuitState.CLOSED
                print(f"[CIRCUIT] Agent {self.agent_id}: CLOSED (recovered)")
 
    def _on_failure(self) -> None:
        self.failure_count += 1
        self.last_failure_time = time.time()
        if self.state == CircuitState.HALF_OPEN:
            self.state = CircuitState.OPEN
        elif self.failure_count >= self.failure_threshold:
            self.state = CircuitState.OPEN
            print(
                f"[CIRCUIT] Agent {self.agent_id}: OPEN "
                f"(failures: {self.failure_count})"
            )
 
 
class MultiAgentOrchestrator:
    def __init__(self, agent_ids: list[str]):
        self.breakers = {
            aid: AgentCircuitBreaker(agent_id=aid) for aid in agent_ids
        }
 
    async def get_available_agent_decision(
        self,
        query: str,
        agent_handlers: dict[str, Callable],
        availability_threshold: float = 0.66,
    ) -> dict:
        """
        다중 에이전트 가용성 기반 결정.
 
        주의: 이 구현은 '응답한 에이전트 비율'이 임계치 이상일 때
        첫 번째 응답을 반환하는 가용성(availability) 검증입니다.
        응답 내용의 의미론적 일치도를 검사하는 진정한 합의(consensus)가
        아닙니다. 프로덕션 환경에서는 응답 간 임베딩 유사도 비교나
        다수결 로직을 추가로 구현하는 것을 권장합니다.
        """
        responses = []
        for agent_id, handler in agent_handlers.items():
            try:
                breaker = self.breakers[agent_id]
                result = await breaker.call(handler, query)
                responses.append({"agent_id": agent_id, "result": result})
            except CircuitOpenError:
                print(f"[DECISION] Agent {agent_id} skipped (circuit open)")
 
        if not responses:
            raise RuntimeError("All agents unavailable — system in SafeMode")
 
        # 가용한 에이전트 비율 확인 (의미론적 일치도 검증은 별도 구현 필요)
        availability_ratio = len(responses) / len(agent_handlers)
        if availability_ratio < availability_threshold:
            raise RuntimeError(
                f"Availability threshold not met: "
                f"only {availability_ratio:.0%} agents responded"
            )
 
        return responses[0]["result"]
 
 
class CircuitOpenError(Exception):
    def __init__(self, message: str, restored_state: Optional[dict] = None):
        super().__init__(message)
        self.restored_state = restored_state

회로 차단기 상태 전이: CLOSED → (실패 임계치 초과) → OPEN → (복구 타임아웃) → HALF_OPEN → (성공 임계치 도달) → CLOSED 순서로 전이됩니다. OPEN 상태에서 요청은 즉시 거부되고, 마지막 SafeMode 스냅샷으로 복구를 시도합니다.

장단점 분석

장점

항목	내용
계층적 방어	GoalLock → 메모리 격리 → Circuit Breaker가 각각 ASI01/06/08 연쇄를 각 단계에서 차단
감사 가능성	Provenance Tracking으로 공격 경로를 사후에 추적 가능
자동 복구	SafeMode 스냅샷으로 운영자 개입 없이 부분 복구
규제 연동	OWASP Agentic Top 10이 EU AI Act, HIPAA, SOC2 요건과 자동 매핑 가능
런타임 프레임워크	Microsoft Agent Governance Toolkit 등 GoalLock·메모리 격리·Circuit Breaker를 런타임 정책으로 일괄 적용하는 오픈소스 도구 활용 가능

단점 및 주의사항

항목	내용	대응 방안
의미론적 불투명성	LLM 간 자연어 통신은 바이트 수준 검증 불가	임베딩 거리 기반 이상 탐지 병행
레이턴시 증가	검증·합의·승인 흐름이 응답 속도 저하 유발	AgentOS 서브밀리초 정책 엔진 활용, 비동기 검증 분리
거짓 긍정	과도한 정책이 정상 에이전트 작업을 차단할 위험	초기 shadow mode로 정책 튜닝 후 적용
창발적 행동	다수 에이전트 협업 시 개별 안전 설계로 예측 불가한 상호작용 발생	정기적 레드팀 테스트(Promptfoo, DeepTeam)
구조적 한계	신뢰·비신뢰 입력 혼합 처리는 완전 해결 불가	Human-in-the-Loop 체크포인트로 고위험 액션 보호
가용성 vs 합의	CircuitBreaker의 `get_available_agent_decision`은 의미론적 합의가 아닌 가용성 검증	응답 간 임베딩 유사도 비교 로직 별도 구현 필요

실무에서 가장 흔한 실수

테스트 환경에서만 보안 적용: 개발 중 보안 검증을 생략하고 프로덕션 직전에 추가하려 하면 아키텍처 변경 비용이 폭증합니다. 에이전트 설계 초기부터 GoalLock과 Provenance Tracking을 내장하는 것을 권장합니다.
공유 RAG DB의 격리 미비: 여러 에이전트가 동일한 벡터 DB를 읽기·쓰기 권한 구분 없이 공유하면 단일 오염이 시스템 전체로 전파됩니다. 에이전트별 파티션과 신뢰 수준 기반 필터를 반드시 적용하는 것이 좋습니다.
정적 규칙만 신뢰: 알려진 인젝션 패턴의 정규식 필터만으로 방어가 완료됐다고 오해하는 경우가 많습니다. 공격자는 인코딩·우회 표현·간접 인젝션으로 정적 규칙을 우회하므로, Promptfoo나 DeepTeam으로 정기적인 레드팀 테스트를 병행하는 것을 권장합니다.

마치며

아래 3단계는 팀 상황에 따라 시작점을 선택할 수 있습니다.

[에이전트 시스템 운영 중인 팀] 레드팀 테스트 실행: Promptfoo를 설치한 뒤(pnpm add -g promptfoo) promptfoo redteam run --plugins owasp:agentic 명령으로 현재 에이전트의 OWASP Agentic Top 10 취약점을 자동 스캔해 볼 수 있습니다. 결과 리포트에서 ASI01, ASI06, ASI08 점수를 가장 먼저 확인해 보시면 좋습니다.
[RAG/벡터 DB를 사용 중인 팀] 메모리 격리 감사: 현재 에이전트 시스템에서 각 메모리 항목에 source, trustLevel, ttl 메타데이터가 포함되어 있는지 확인해 보시기 바랍니다. 없다면 이 글의 SecureMemoryStore 패턴을 참고해 Provenance Tracking을 추가하는 것부터 시작할 수 있습니다.
[에이전트 시스템 설계 단계인 팀] Microsoft Agent Governance Toolkit 도입 검토: Microsoft가 2026년 4월 MIT 라이선스로 공개한 이 툴킷은 앞서 다룬 GoalLock·메모리 격리·Circuit Breaker에 해당하는 런타임 정책을 서브밀리초 레이턴시로 일괄 적용할 수 있는 AgentOS 정책 엔진을 제공합니다. 공식 GitHub 저장소(microsoft/agent-governance-toolkit)에서 LangChain, CrewAI 연동 예제를 확인할 수 있습니다.

다음 글: MCP(Model Context Protocol) 게이트웨이 설계 실전 — AI 에이전트에 Zero Trust 최소 권한 아키텍처를 적용하는 단계별 가이드