앤트로픽, AI 에이전트 보안 백서 공개… “제로트러스트 적용해야”

AI 요약

앤트로픽은 '제로 트러스트 포 AI 에이전트' 백서를 통해 기업이 자율형 AI 에이전트를 배포할 때 모든 행동을 검증하고 필요한 최소 권한만 부여하며 침해가 발생해도 피해 범위를 제한하는 제로 트러스트 보안 구조를 갖춰야 한다고 밝혔습니다. AI 에이전트는 데이터베이스 조회, 이메일 작성, 외부 API 호출 등 도구를 연결해 업무를 수행할 수 있어 프롬프트 인젝션, 도구 오용, 권한 상속, 메모리 오염, 공급망 위험 등 공격에 따라 실제 시스템 피해나 고객 데이터 유출로 이어질 수 있다고 백서는 지적했습니다. 대응책으로 '최소 에이전시' 원칙에 따른 권한 세분화와 에이전트별 고유 식별자, 짧은 수명의 토큰, ID 기반 격리, 도구 호출 로그, 자동 경고 분류 도입을 제시하고 고위험 결정은 사람이 내려야 한다고 권고했습니다.