에이전트 신원 검증을 위한 AIP 프로토콜

초록

본 논문은 AI 에이전트가 MCP와 A2A 환경에서 도구 호출 및 상호 위임 시 신원 검증이 부재한 문제를 해결하고자, 공개키 기반의 검증, 보유자 측 감축, 표현력 있는 정책, 프로토콜 간 바인딩, 그리고 결과 증명까지 포괄하는 AIP(Agent Identity Protocol)를 제안한다. IBCT(Invocation‑Bound Capability Token)라는 두 가지 전송 형식(JWT와 Biscuit 기반 체인)을 도입하고, Rust·Python 구현을 통해 서브밀리초 수준의 검증 비용과 실운용에서 0.086% 미만의 지연만을 발생시킴을 입증한다.

상세 분석

AIP는 기존 인증·인가 메커니즘이 각각 갖는 결함을 체계적으로 보완한다. 첫째, 공개키 서명을 이용해 토큰 발행자를 검증함으로써 macaroons와 UCAN이 요구하는 공유 비밀을 제거한다. 둘째, 토큰 자체가 감축 가능한 구조를 갖추어 보유자가 발행자를 거치지 않고도 권한을 좁힐 수 있다(예: Biscuit 블록에 추가적인 제약 조건을 삽입). 셋째, Datalog 기반 정책 언어를 채택해 시간 제한, 비용 한도, 파라미터 제약 등 복합적인 조건을 표현한다. 넷째, AIP는 MCP 헤더(X‑AIP‑Token)와 A2A 에이전트 카드 필드(aip_identity)를 정의해 HTTP, MCP, A2A 전송 경로 전반에 걸쳐 동일한 토큰을 사용할 수 있게 함으로써 프로토콜 간 신원 흐름을 일관되게 만든다. 다섯째, 토큰에 ‘completion block’이라는 메타데이터를 삽입해 작업 결과와 권한 체인을 연계, 사후 감사 시 위임 경로와 실제 수행 결과를 검증 가능하게 한다. 구현 측면에서는 Rust와 Python 양쪽에서 동일한 토큰 구조를 공유하도록 설계했으며, compact mode(JWT) 검증은 Rust 0.049 ms, Python 0.189 ms로 매우 빠르고, chained mode는 깊이 5까지도 1 ms 미만의 검증 시간을 보인다. 실험에서는 2,000개 MCP 서버가 인증을 전혀 제공하지 않는 현황을 재현하고, AIP를 적용한 경우 전체 지연이 0.22 ms(무인증 대비)에서 2.35 ms(Gemini 2.5 Flash 연동)까지 증가했으며, 이는 전체 레이턴시의 0.086%에 불과하다. 600건의 공격 시나리오(위임 깊이 초과, 빈 컨텍스트 감사 회피 등) 모두를 차단했으며, 특히 체인형 토큰이 없으면 탐지되지 않을 공격을 성공적으로 방어한다. 한계점으로는 토큰 깊이가 증가함에 따라 크기가 선형적으로 늘어나는 점과, DNS 기반 아이덴티티 해석이 DNS 장애에 민감할 수 있다는 점을 언급한다. 전체적으로 AIP는 에이전트 생태계에서 신뢰 기반 위임을 실현하기 위한 가장 포괄적인 프로토콜로 평가된다.