에이전트 보안의 전면 조사 활용 위협 및 방어 전략

초록

본 논문은 LLM 기반 에이전트가 사이버 보안에 어떻게 활용되는지, 이들 시스템이 직면한 주요 위협은 무엇인지, 그리고 이를 방어하기 위한 최신 기술들을 체계적으로 정리한다. 160여 편의 논문을 기반으로 응용, 위협, 방어라는 세 축으로 나눈 통합적인 분류와 향후 연구 방향을 제시한다.

상세 분석

이 연구는 LLM‑Agent를 “핵심 의사결정 모듈이 LLM이며, 도구·API를 호출하고 외부 환경과 상호작용하면서 피드백을 관찰·학습하는 시스템”으로 정의하고, 이를 기반으로 세 가지 핵심 축을 제시한다. 첫 번째 축인 응용에서는 공격자 관점의 레드팀(자율 침투 테스트, 자동 취약점 탐색·퍼징, 익스플로잇 생성)과 방어자 관점의 블루팀(자동 위협 탐지·사고 대응, 지능형 위협 헌팅, 자동 포렌식·근원 분석, 자동 패치·리메디에이션) 그리고 클라우드·웹·특수 분야(블록체인, 헬스케어, 개인정보 보호) 등 도메인별 활용 사례를 상세히 정리한다. 각 응용 분야마다 대표적인 시스템(PentestGPT, Locus, IRCopilot, KubeIntellect 등)과 벤치마크(AutoPenBench, ExCyTInBench 등)를 매핑해 현황을 파악한다.

두 번째 축인 위협은 에이전트가 기존 LLM보다 공격 표면이 확대되는 점을 강조한다. 프롬프트 인젝션, 데이터 포이즈닝·추출, 탈옥, 에이전트 조작, 사전 실행(backdoor) 등 5대 카테고리와 레드팀 공격(Agent‑in‑the‑Middle, SentinetAgent 등)으로 구분한다. 특히 시스템 프롬프트가 정형화돼 있어 공격자가 구조적 취약점을 쉽게 찾아낼 수 있다는 점을 ‘시스템 프롬프트 고정’ 문제로 지적한다. 또한, 실제 환경에서 97개의 현실 과제에 대한 AgentDojo 벤치마크를 통해 보안 방어가 작업 효율성을 저해한다는 트레이드오프를 실증한다.

세 번째 축인 방어는 설계 단계부터 실행 단계까지 다층 방어 체계를 제시한다. Secure‑by‑Design(ACE, Task Shield), 다중 에이전트 보안(D‑CIPHER, PhishDebate), 런타임 보호(R2‑Guard, AgentSpec, SentinelAgent), 형식 검증(IRIS), 사고 대응 자동화(AutoBNB, COR‑TEX) 등 다양한 방어 메커니즘을 분류한다. 특히, ‘HITL(인간‑인‑루프)’ 기반의 AgentSpec과 행동 기반 모니터링 SentinelAgent은 에이전트가 스스로 위험 행동을 감지하도록 설계돼, 기존 LLM 안전 정렬이 에이전트 환경에 그대로 적용되지 못하는 문제를 보완한다.

교차 분석에서는 모델 독점(GPT 시리즈가 대부분을 차지)과 모달리티 편중(텍스트 중심, 이미지·음성·코드 등은 미비)이라는 구조적 한계를 지적한다. 또한, 벤치마크가 파편화돼 있어 동일 조건에서 방어·공격 기술을 비교하기 어렵다는 점을 강조한다. 연구 격차로는 (1) 멀티모달·멀티에이전트 협업 프레임워크, (2) 실시간 운영 환경에서의 안전 검증, (3) 오픈소스 LLM 기반 방어 솔루션의 부재가 제시된다.

전반적으로 이 논문은 LLM‑Agent가 사이버 보안에 미치는 변혁적 영향을 포괄적으로 정리하면서, 현재의 연구가 지나치게 특정 모델·태스크에 집중돼 있음을 비판하고, 보다 포괄적이고 표준화된 평가·방어 체계 구축의 필요성을 역설한다.