LLM 에이전트 개인정보 과다 노출 자동 탐지 프레임워크 AgentRaft

초록

AgentRaft은 LLM 에이전트가 도구를 연계하면서 발생할 수 있는 데이터 과다 노출(DOE) 위험을 자동으로 탐지한다. 교차‑툴 함수 호출 그래프(FCG)를 구축해 가능한 호출 경로를 모델링하고, 그래프 탐색으로 고품질 프롬프트를 생성한다. 실행 시 런타임 테인트 추적과 다중‑LLM 투표 메커니즘을 결합해 GDPR·CCPA·PIPL 등 규제 기준에 따라 과다 노출 데이터를 식별한다. 6,675개의 실제 도구를 대상으로 57 % 이상의 경로에서 DOE가 존재함을 확인했으며, 150개의 프롬프트만으로 99 % 커버리지를 달성하고 기존 방법 대비 87 % 높은 정확도를 보였다.

상세 분석

AgentRaft은 LLM 에이전트 보안 연구에서 처음으로 “데이터 과다 노출(Data Over‑Exposure, DOE)”이라는 개념을 정의하고, 이를 체계적으로 측정·탐지하는 프레임워크를 제시한다. 논문은 DOE가 두 가지 근본 원인, 즉 도구 설계 시 과도하게 넓은 데이터 제공 범위와 LLM 자체의 컨텍스트‑민감한 프라이버시 인식 부족에서 비롯된다고 주장한다. 이를 해결하기 위해 제안된 세 가지 모듈은 (1) Cross‑Tool Function Call Graph (FCG) 구축, (2) 프롬프트 합성을 통한 결정적 경로 트리거링, (3) 런타임 테인트 트래킹과 다중‑LLM 투표 기반 위법성 판단이다. FCG는 정적 타입‑프루닝과 LLM‑기반 검증을 결합해 도구 간 데이터 의존성을 정밀하게 모델링한다. 프롬프트 합성 단계에서는 그래프 경로를 구체적인 입력 형태와 제약조건으로 변환해, 에이전트가 의도된 호출 체인을 반드시 따르게 만든다. 실행 시 테인트 트래킹은 소스‑함수에서 추출된 모든 데이터 흐름을 실시간으로 기록하고, 다중‑LLM 위원회는 GDPR, CCPA, PIPL 등 글로벌 규제 조항을 근거로 전송 데이터가 **사용자 의도(D_int)**와 **필수 데이터(D_nec)**를 초과하는지를 판단한다. 실험에서는 6,675개의 실제 도구를 네 가지 시나리오(데이터 관리, 소프트웨어 개발, 기업 협업, 소셜 커뮤니케이션)로 분류하고, AgentRaft이 57.07 %의 호출 체인에서 DOE를 발견했다는 점에서 위험이 시스템 전반에 걸쳐 구조적임을 입증한다. 탐지 효율성 측면에서 50개의 프롬프트만으로 69.15 %의 취약점 커버리지를 달성했으며, 150개 프롬프트에서 거의 완전(≈99 %)에 도달한다. 또한, 다중‑LLM 투표 메커니즘은 단일 모델 대비 87.24 % 높은 정확도를 제공하고, 검증 비용을 88.6 % 절감한다. 한계점으로는 (①) 프롬프트 합성 과정에서 도메인‑특화 지식이 부족할 경우 경로 탐색이 제한될 수 있고, (②) 다중‑LLM 투표가 규제 해석 차이에 따라 일관성 문제가 발생할 가능성이 있다. 향후 연구는 자동화된 규제 텍스트 파싱과 도메인‑맞춤형 프롬프트 생성 모델을 도입해 탐지 범위와 정확성을 더욱 확대할 여지가 있다.