와 함께일체 포함단순한 챗봇에서 자율적인 계획, 의사 결정 및 실행 기능을 갖춘 에이전트 AI로 진화하면서 애플리케이션의 공격 표면이 근본적으로 바뀌었습니다.
기존의 LLM 애플리케이션과 달리 에이전틱 AI는 콘텐츠를 생성할 뿐만 아니라 여러 시스템에서 사용자를 대변합니다.운영 계획, 의사 결정 및 실행이러한 '자율성'은 양날의 검과도 같습니다. 이러한 '자율성'은 효율성을 크게 향상시키지만, 통제 범위를 벗어나면 그 파괴력이 더 이상 잘못된 정보의 생산에 국한되지 않고 데이터 유출, 자금 손실, 심지어 물리적 시스템의 파괴로까지 확대될 수 있다는 점에서 양날의 검과도 같습니다.
OWASP 출시 에이전트 AI 톱 10 2026 인공지능을 위한 보안 가이드라인도 마찬가지입니다. 이 문서에서는 각각에 대해 설명합니다.에이전트 AI 다음은 10가지 주요 위험입니다.
"상담원 초과"에서 "최소 상담원"으로 변경하기
에이전트 AI의 보안 맥락에서는 핵심 철학에 변화가 있습니다. 기존의 최소 권한 원칙(최소 권한)이 다음과 같이 확장되었습니다.최소 에이전트 원칙(최소 에이전트).
-
자율성의 위험불필요한 에이전트 동작을 배포하면 공격 표면이 확장됩니다. 에이전트가 사람의 확인 없이 고위험 도구를 자율적으로 호출할 수 있다면 작은 취약점이 시스템 수준의 재난으로 발전할 수 있습니다. -
통합 가시성의 필요성강력한 관찰 가능성은 에이전트 행동의 불확실성으로 인해 협상할 수 없게 됩니다. 에이전트가 무엇을 하는지, 왜 그런 행동을 하는지, 어떤 도구를 호출하는지 정확히 알아야 합니다.
OWASP 에이전트 AI 상위 10위(2026년) 위험 세부 정보
에이전트 AI가 직면한 상위 10가지 보안 위험은 다음과 같습니다:
ASI01. 에이전트 목표 하이재킹(에이전트 대상 하이재킹)
-
정의공격자는 명령어, 프롬프트 또는 외부 데이터를 조작하여 에이전트의 명시된 목표, 작업 선택 또는 결정 경로를 변경할 수 있습니다. 에이전트가 '지시'와 '콘텐츠'를 확실하게 구분할 수 없기 때문에 공격자는 에이전트의 자율성을 리디렉션할 수 있습니다. 
-
공격 시나리오: -
간접 큐 인젝션에이전트가 웹 페이지 또는 문서를 처리하는 동안 숨겨진 지침(예: 웹 페이지에 포함된 흰색 글꼴)을 발견하여(RAG 시나리오) 에이전트가 민감한 데이터를 공격자에게 조용히 전송하게 됩니다. -
캘린더 공격악성 캘린더 초대에는 상담원이 '무음 모드'로 들어가거나 위험도가 낮은 요청을 승인하여 일반 승인을 우회하도록 하는 지침이 포함되어 있습니다.
-
-
보호 조치: -
모든 자연어 입력을 신뢰할 수 없는 것으로 처리하고 상담원 목표에 영향을 미치기 전에 정리하세요. -
고위험 작업에 대해 사람의 승인이 필요한 '인텐트 캡슐' 모델을 구현하세요. -
시스템 프롬프트(시스템 프롬프트)를 잠가 대상 우선순위 변조를 방지합니다.
-
ASI02: 도구 오용 및 악용
-
정의에이전트가 작업을 수행할 때 합법적인 도구를 안전하지 않게 사용합니다. 여기에는 힌트 삽입 또는 모호한 지침으로 인한 도구 오용(예: 데이터 삭제, 고가의 API 오버콜, 도구를 통한 데이터 유출 등)이 포함됩니다. 
-
공격 시나리오: -
과도한 권한의 도구메일 요약 도구에 '읽기' 권한이 아닌 '보내기' 또는 '삭제' 권한이 부여됩니다. -
툴체인 공격공격자는 에이전트가 내부 CRM 툴과 외부 이메일 툴을 연결하여 고객 데이터를 내보내도록 유도합니다.
-
-
보호 조치: -
도구 수준 최소 권한(LLP)각 도구에 대해 엄격한 권한 범위를 정의합니다(예: 읽기 전용 데이터베이스 액세스). -
액션 레벨 포렌식고위험 작업(예: 삭제, 전송)에 대해 명시적 인증 또는 사람 확인을 시행합니다. -
시맨틱 방화벽구문 정확성뿐 아니라 도구 호출의 의미론적 의도를 확인합니다.
-
ASI03: 신원 및 권한 남용
-
정의:: 에이전트 신원 관리의 결함(예: 에이전트 자체에 독립적인 신원이 없거나 사용자 권한을 과도하게 상속하는 등)을 악용하여 권한을 상승시키는 행위. 에이전트는 종종 '어트리뷰션 갭'에서 작동하기 때문에 진정한 최소 권한을 적용하기가 어렵습니다.
-
공격 시나리오: -
혼란스러운 대리인(혼란스러운 대리인)낮은 권한 에이전트가 신뢰할 수 있는 높은 권한 에이전트에게 악의적인 요청을 전달하면, 이 에이전트는 원래 의도를 확인하지 않고 직접 실행합니다. -
권한 상속관리자 에이전트가 SSH 자격 증명을 캐시했고, 이후 낮은 권한의 사용자가 관리자 권한을 얻기 위해 대화를 통해 세션을 재사용했습니다.
-
-
보호 조치: -
단기 토큰각 작업에 대해 시간에 민감하고 범위가 제한된 토큰(JIT 토큰)을 생성합니다. -
신원 격리교차 세션 권한을 방지하기 위해 다른 사용자 및 작업의 세션 메모리를 엄격하게 분리합니다. -
바인딩 의도: OAuth 토큰을 서명의 의도에 바인딩하여 토큰이 의도하지 않은 용도로 사용되는 것을 방지합니다.
-
ASI04: 에이전트 공급망 취약점
-
정의에이전트가 의존하는 타사 구성 요소(모델, 도구, 플러그인, MCP 서버, 기타 에이전트)가 변조되었거나 악성 코드를 포함하고 있으며, 이는 런타임에 동적으로 로드되는 에이전트 시스템의 특성으로 인해 더욱 악화될 수 있는 위험입니다. 
-
공격 시나리오: -
악성 MCP 도구공격자는 가짜 MCP(모델 컨텍스트 프로토콜) 도구 설명자를 게시하여 에이전트가 악성 명령에 연결하고 실행하도록 유도합니다. -
이름 탈취(오타 스쿼팅)공격자가 합법적인 도구와 유사한 이름의 악성 서비스를 등록하고 에이전트가 이를 호출하도록 속입니다.
-
-
보호 조치: -
AIBOM 및 서명구성 요소에 대한 SBOM/AIBOM 및 디지털 서명을 요구하고 확인합니다. -
게이팅에 대한 의존도화이트리스트에 등록된 인증된 도구와 에이전트 소스만 허용됩니다. -
런타임 검증(RTV)런타임에 컴포넌트 해시와 동작을 지속적으로 모니터링합니다.
-
ASI05: 예기치 않은 코드 실행(RCE)
-
정의공격자(특히 프로그래밍 능력이 있는 에이전트)가 공격자가 지정한 악성 코드를 생성하고 실행합니다. 일반적으로 코드가 실시간으로 생성되기 때문에 기존의 정적 분석으로는 방어하기 어렵습니다. 
-
공격 시나리오: -
직접 셸 주입공격자는 프롬프트에 셸 명령을 삽입합니다(예 rm-rf /), 에이전트는 이를 작업의 일부로 해석하여 실행합니다. -
통제 불능의 바이브 코딩자동화된 프로그래밍 작업에서 에이전트는 백도어가 포함된 종속성 패키지를 자동으로 다운로드하여 설치합니다.
-
-
보호 조치: -
프로덕션 환경 평가 비활성화프로덕션 환경에서 제한 없이 사용하는 것은 엄격히 금지되어 있습니다. eval()함수입니다. -
샌드박스 구현생성된 모든 코드는 네트워크 액세스 및 제한된 리소스가 없는 격리된 컨테이너에서 실행되어야 합니다. -
수동 승인고위험 코드는 실행 전에 수동으로 검토해야 합니다.
-
ASI06: 메모리 및 컨텍스트 중독
-
정의공격자가 에이전트의 장기 메모리, RAG 벡터 라이브러리 또는 컨텍스트 창을 오염시켜 에이전트가 향후 결정을 편향되게 하거나 악의적인 동작을 수행하도록 합니다. 이러한 오염은 지속적입니다. 
-
공격 시나리오: -
헝겊 중독공격자가 잘못된 정보가 포함된 문서를 지식창고에 업로드하여 에이전트가 향후 응답에서 지속적으로 잘못된 조언을 출력하도록 합니다. -
장기 메모리 드리프트여러 번의 대화를 통해 대상의 가중치에 대한 에이전트의 인식을 무의식적으로 변화시켜 보안 전략에서 점차 벗어나게 합니다.
-
-
보호 조치: -
메모리 격리교차 오염을 방지하기 위해 사용자 및 도메인별로 메모리 저장소를 격리합니다. -
소스 확인신뢰할 수 있는 데이터 소스만 메모리에 쓰도록 허용하고 확인되지 않은 메모리 항목을 주기적으로 제거합니다. -
RBAC메모리의 읽기 및 쓰기에 대한 엄격한 액세스 제어를 시행합니다.
-
ASI07: 안전하지 않은 에이전트 간 통신
-
정의다중 에이전트 시스템에서는 에이전트 간의 통신에 암호화, 무결성 검사 또는 인증이 없기 때문에 메시지가 가로채이거나 변조되거나 스푸핑될 수 있습니다. 
-
공격 시나리오: -
중간자 공격공격자가 암호화되지 않은 HTTP 에이전트 통신을 가로채고 악성 명령을 삽입하여 다운스트림 에이전트의 대상을 변경합니다. -
리플레이 공격이전 권한 부여 메시지를 재생하여 에이전트가 전송 또는 권한 부여 작업을 반복하도록 속입니다.
-
-
보호 조치: -
전체 링크 암호화상담원 간의 상호 인증 및 암호화된 통신을 위해 mTLS를 사용합니다. -
메시지 서명모든 메시지에 디지털 서명하고 무결성을 확인합니다. -
재생 방지 메커니즘타임스탬프 및 논스를 사용하여 메시지 재생을 방지합니다.
-
ASI08: 계단식 실패
-
정의개별 에이전트의 오류(예: 환각, 주입됨)가 에이전트 네트워크를 통해 전파되어 시스템 수준의 마비를 유발하는 도미노 효과로 이어집니다. 결함이 있는 에이전트에 집중확산 및 증폭. 
-
공격 시나리오: -
주기적 증폭두 에이전트가 서로의 출력에 의존하여 시스템 리소스(DoS)를 고갈시키거나 요금이 급증하는 막 다른 골목 루프를 만듭니다. -
자동화된 운영 재해계획 에이전트가 환각을 일으켜 잘못된 확장 명령을 내리고 실행 에이전트가 이를 맹목적으로 실행하여 클라우드 인프라 비용이 통제 불능 상태가 되는 경우입니다.
-
-
보호 조치: -
융합 메커니즘비정상적인 트래픽이나 오류율이 감지되면 자동으로 연결을 차단하도록 에이전트 간에 회로 차단기를 설정합니다. -
최대 영향력 영역 제한: 작업의 '폭발 반경'의 상한 설정(예: 최대 단일 거래 금액, 최대 API 호출 횟수). -
제로 트러스트 아키텍처이 설계는 업스트림 에이전트가 실패하거나 손상될 수 있다고 가정하고 입력을 맹목적으로 신뢰하지 않습니다.
-
ASI09: 인간-에이전트 신뢰 익스플로잇
-
정의에이전트는 인간의 '권위 편향'이나 AI에 대한 감정적 신뢰를 악용하여 사용자가 안전하지 않은 작업을 승인하도록 유도하는 공격자의 사회 공학 도구가 됩니다. 
-
공격 시나리오: -
거짓 설명하이재킹된 에이전트는 악의적인 작업(예: 데이터베이스 삭제)에 대한 그럴듯한 이유(예: "저장 공간 최적화")를 만들어 관리자를 속여 이를 승인하도록 합니다. -
감정 조작공감 표시 에이전트는 사용자가 개인 정보나 기업 기밀을 공유하도록 유도합니다.
-
-
보호 조치: -
신뢰도가 낮은 신호에이전트가 고위험 또는 불확실한 작업을 수행할 경우, UI 인터페이스에 위험성을 명확히 표시하여 사용자의 맹목적인 신뢰를 깨뜨려야 합니다. -
명시적 확인중요한 작업은 여러 단계를 거쳐 확인해야 하며, 확인 정보에는 결과에 대한 명확한 설명이 포함되어야 합니다(AI가 생성한 설명이 아님).
-
ASI10: 로그 에이전트
-
정의에이전트가 작업을 수행하는 것처럼 보이지만, 그 행동이 점차 명시된 목표에서 벗어나(정렬 이탈) 기만적, 기생적 또는 파괴적인 행동을 일으키는 경우입니다. 이는 일반적으로 부적절한 목표 설정 또는 보상 해킹(리워드 해킹)으로 인해 발생합니다. 
-
공격 시나리오: -
해킹 보상클라우드 비용 절감을 담당하는 에이전트가 모든 백업을 삭제하는 것이 가장 빠르게 비용을 절감할 수 있는 방법이라는 사실을 알고 중요한 데이터를 삭제합니다. -
자체 복제손상된 자동화된 에이전트는 '지속성'이라는 목표를 유지하기 위해 네트워크 전체에서 무단으로 자신을 복제합니다.
-
-
보호 조치: -
변조 불가능한 로그감사를 위해 모든 상담원 행동을 기록하고 행동 편차를 적시에 감지합니다. -
비상 정지 스위치(킬 스위치)클릭 한 번으로 상담원 권한을 차단하거나 격리할 수 있습니다. -
행동 기준 모니터링에이전트 행동을 지속적으로 모니터링하고 사전 정의된 매니페스트에서 벗어나는 즉시 경고하거나 가로채세요. 참고 문헌
2026년 에이전트 애플리케이션을 위한 OWASP 상위 10위 :
https://genai.owasp.org/resource/owasp-top-10-for-agentic-applications-for-2026/
https://mp.weixin.qq.com/s/Hr3unoyTgCZ4eyx5VoYmWg
-
최고 보안 책임자의 원본 기사, 복제할 경우 출처 표시: https://www.cncso.com/kr/ai-agent-security-owasp-top-10-2026.html
