AI 행동 실시간 방어 사양: AARM으로 자동화된 위협 차단

초록

**
본 논문은 AI 에이전트가 실행하는 도구 호출·작업을 실행 전 차단·허가하는 런타임 보안 사양인 Autonomous Action Runtime Management(AARM)를 제안한다. 행동을 ‘금지’, ‘컨텍스트‑의존 차단’, ‘컨텍스트‑의존 허용’, ‘보류(연기)’ 네 종류로 분류하고, 세션 컨텍스트와 정책·의도 정렬을 동시에 평가한다. 프로토콜 게이트웨이, SDK 계측, 커널 eBPF, 벤더 통합 등 네 가지 구현 아키텍처와 최소 적합성 요구사항을 정의해, 모델·프레임워크에 구애받지 않는 표준 인터페이스를 제공한다.

**

상세 분석

**
AARM 사양은 기존 SIEM·API‑gateway·방화벽이 “사후”에만 작동한다는 한계를 정확히 짚고, “행동 전”에 보안을 삽입한다는 근본적인 전환점을 제시한다. 특히 행동을 단순 허용/거부가 아니라 네 단계(금지, 컨텍스트‑의존 차단, 컨텍스트‑의존 허용, 연기)로 구분함으로써, 복합 위험(compositional risk)과 의도 변질(intent drift)을 정량화한다는 점이 혁신적이다. 논문은 ‘세션 컨텍스트’라는 개념을 구체화해, 사용자 최초 요청, 이전 행동, 접근된 데이터, 도구 응답 등을 누적·연관시켜 정책 엔진이 “이 행동이 현재 의도와 일치하는가”를 판단하도록 설계했다. 이는 기존 RBAC·ABAC이 “행동 자체”만 검증하는 한계를 넘어, 동적 의도 정합성을 검증하는 ‘Intent Alignment’ 모델을 도입한 것이다.

위협 모델에서는 프롬프트 인젝션, 혼란된 대리인(confused deputy), 데이터 추출 합성, 의도 드리프트 등을 정의하고, 오케스트레이션 레이어를 ‘잠재적 손상 가능’으로 가정한다. 따라서 AARM은 오케스트레이션이 변조되더라도 행동 차단을 보장하도록 설계돼, ‘Zero‑Trust’ 원칙을 실행 레벨까지 확장한다.

구현 아키텍처 네 가지는 각각 신뢰 경계와 우회 방지 수준을 명시한다. 프로토콜 게이트웨이는 네트워크 레벨에서 모든 도구 호출을 가로채며, SDK 계측은 애플리케이션 내부에서 미세 제어가 가능하지만 개발자 의존도가 높다. 커널 eBPF는 OS 레벨에서 투명하게 가로채지만, 커널 보안 정책과 호환성 문제가 존재한다. 벤더 통합은 클라우드 서비스 제공자가 자체적으로 구현할 때 가장 강력하지만, 표준화가 어려울 수 있다. 논문은 이러한 트레이드오프를 명확히 제시하고, 최소 적합성 요구사항(예: 서명된 영수증, 정책 업데이트 API, 컨텍스트 저장소 무결성)을 통해 상호 운용성을 확보한다.

비판적으로 보면, 컨텍스트 누적과 의도 정합성 판단에 필요한 메타데이터 수집·저장이 대규모 시스템에서 성능 병목을 초래할 가능성이 있다. 또한 ‘연기(Defer)’ 메커니즘이 실제 운영에서 인간 승인 흐름과 어떻게 연동될지 구체적인 워크플로우 설계가 부족하다. 마지막으로, 정책 언어와 의도 정합성 알고리즘이 표준화되지 않아 구현 간 차이가 발생할 위험이 있다. 그럼에도 불구하고, AARM은 AI‑에이전트 보안 분야에서 최초로 행동‑중심 런타임 방어 프레임워크를 제시한 점에서 학술·산업 모두에 큰 파급력을 가진다.

**