에이전트 제어 프로토콜 자동화 행동 입장 제어 표준

초록

ACP는 B2B 환경에서 자율 에이전트의 행동을 실행 전 암호학적 입장 검증을 통해 허가·거부를 결정하는 프로토콜이다. 정형화된 신원, 역량 토큰, 위험 평가, 체인형 위임 및 감사 원장을 결합해, 결정 로직은 820 ns 수준의 마이크로초 지연으로 구현되며, 성능 병목은 주로 상태 백엔드에 있다. 실험에서는 초당 92만 건의 처리량과 99 % 이상의 회피 차단율을 보였으며, 공식 TLA+ 모델과 73개의 서명된 테스트 벡터로 검증된다.

상세 분석

본 논문은 기존 RBAC·Zero‑Trust 모델이 인간 중심 인증·권한 부여에 초점을 맞추는 반면, 자동화된 에이전트가 스스로 행동을 결정하고 실행하는 순간에 대한 제어 메커니즘이 부재함을 지적한다. 이를 해결하기 위해 제안된 Agent Control Protocol(ACP)은 “입장 제어”라는 개념을 도입한다. 에이전트가 의도(request)를 서버에 전달하면, 먼저 ACP‑AGENT‑1.0·ACP‑HP‑1.0 단계에서 Ed25519 기반 공개키와 서명을 검증해 신원을 확인한다. 이어서 ACP‑CT‑1.0·ACP‑DCMA‑1.1을 통해 역량 토큰과 위임 체인을 검증한다. 여기서 위임은 “권한 확장 금지” 원칙을 따르며, 각 홉마다 서명된 증거가 체인 형태로 전달돼 검증 가능하도록 설계되었다.

위임·역량 검증이 끝나면, ACP‑RISK‑2.0 엔진이 정수 연산만을 이용한 결정론적 위험 점수를 산출한다. 위험 점수는 에이전트의 autonomy level, 과거 행동 히스토리, 현재 리소스 사용량, 이상 징후 등을 정량화한 값이며, 정책에 정의된 임계값을 초과하면 즉시 거부된다. 특히 연속적인 비정상 요청이 감지되면 88 ns 수준의 “쿨다운 단축 경로”가 발동돼 위험 평가 단계 자체를 건너뛰고 빠르게 차단한다.

승인된 경우 ACP‑EXEC‑1.0이 단일 사용 실행 토큰을 발행한다. 이 토큰은 한 번만 유효하며, 실제 시스템 상태 변화를 일으키는 최종 호출에 포함된다. 모든 입장·실행·거부 이벤트는 ACP‑LEDGER‑1.3에 서명된 불변 로그로 기록된다. 로그는 기관 간 공개키만으로 검증 가능하도록 설계돼, 외부 감사자가 사후에 전체 흐름을 재구성하고 책임을 추적할 수 있다.

성능 측면에서 논문은 결정 로직이 820 ns, 쿨다운 경로가 88 ns라는 마이크로초 수준의 지연을 보이며, 초당 920 k 요청을 처리한다. 병목은 주로 상태 백엔드(LedgerQuerier)의 동시 접근 경쟁이며, 백엔드를 인메모리·분산 KV 등으로 교체하면 프로토콜 자체는 변형 없이 확장 가능하다.

보안 검증은 세 단계로 이루어진다. 첫째, TLA+ 모델링과 TLC 검증을 통해 3개의 불변식이 위배되지 않음을 증명했다. 둘째, 73개의 서명된 컨포먼스 테스트 벡터와 65개의 RISK‑2.0 시나리오 벡터로 구현과 사양의 일치를 검증했다. 셋째, 공격 시나리오(쿨다운 회피, 다중 에이전트 협업, 상태 백엔드 과부하)에서 500번 시도 중 495번을 5번째 요청에서 차단해 99 % 차단율을 달성했다.

전체적으로 ACP는 “결정·실행 분리”, “상태 민감도 최소화”, “다기관 상호 운용성”을 핵심 설계 원칙으로 삼아, 자동화된 비즈니스 프로세스에서 에이전트 행동을 안전하게 제어할 수 있는 실용적이면서도 형식 검증된 프레임워크를 제공한다.