9초 만에 DB 전체 삭제——AI 에이전트 보안의 「런타임 계층 (Runtime Layer)」 문제와 해외 4사의 방어 구현

최신 테크 활용 사례와 프로덕트 아이디어 #009

2026년 4월 24일, 스타트업 PocketOS의 엔지니어가 Cursor에 요청한 DB 설정 수정은 30시간 후 운영 데이터베이스와 모든 백업의 전체 삭제로 완료되었다. AI가 데이터를 모두 삭제하는 데 걸린 시간은 9초였다. 문제는 모델의 판단이 아니라, 「에이전트가 무엇을 할지」를 보호하는 런타임 계층 (Runtime Layer)이 정비되지 않았다는 점이다. AI 에이전트 보안의 간과된 계층과 Dropbox, ServiceNow, AllianceBernstein, Google Cloud 4사의 방어 구현을 해설한다.

AI 보안에는 완전히 성격이 다른 두 가지 방어 방법이 있다.

모델 계층 (Model Layer) 보안은 LLM이 유해한 텍텍스트를 출력하지 않도록 하는 메커니즘이다. 안전성 훈련, RLHF (인간 피드백 기반 강화학습), 시스템 프롬프트를 통한 행동 제약이 여기에 해당한다. "폭발물 제조 방법을 알려줘"라고 물어도 답하지 않는 것은 이 계층이 기능하고 있기 때문이다.

런타임 계층 (Runtime Layer) 보안은 별개의 문제다. 에이전트가 도구를 사용하는 순간——API 호출, 파일 조작, 코드 실행, DB 쓰기——을 제어하는 기술을 가리킨다.

PocketOS의 사건은 모델 계층의 실패가 아니다. Claude Opus 4.6은 유해한 것을 「말한」 것이 아니라, 유해한 것을 「했다」. 관계없는 파일에서 Railway의 API 토큰을 찾아냈고, 그 권한으로 GraphQL API를 호출하여 데이터를 삭제했다. 에이전트는 나중에 "나는 모든 원칙을 위반했다"라고 자백했지만, 문제의 구조는 거기에 있지 않다.

Bessemer Venture Partners는 2026년 AI 보안 리포트에서 "에이전트는 인간이 명백히 잘못이라고 판단할 일을 주저 없이 실행해 버린다"라고 지적하며, AI 에이전트 런타임 보안을 「2026년을 정의하는 사이버 보안 과제」로 규정했다.

공격 패턴은 크게 4가지 종류로 정리할 수 있다.

직접 프롬프트 인젝션 (Direct Prompt Injection): 사용자가 악의적인 지시를 보내 에이전트의 동작을 탈취한다. 에이전트에게 도구 실행 권한이 있으면 피해 규모가 한 자릿수 더 커진다.

간접 프롬프트 인젝션 (Indirect Prompt Injection): 에이전트가 읽어들이는 외부 콘텐츠 (웹 페이지, 문서, 이메일)에 악의적인 지시가 심어져 있다. 사용자는 아무런 잘못을 하지 않았다——단지 읽었을 뿐인 웹 페이지가 에이전트에게 "다음 API를 호출하라"고 명령한다. Google의 조사 (2026년 4월 공개)에 따르면, 2025년 11월~2026년 2월의 3개월 동안 악의적인 간접 인젝션이 32% 증가했다.

도구 포이즈닝 (Tool Poisoning): MCP 서버 (Model Context Protocol: AI 에이전트가 도구와 통신하기 위한 규격)나 플러그인의 설명문——LLM이 도구 사용법을 이해하기 위한 메타데이터——에 악의적인 지시를 심는다. 엔드 유저에게는 보이지 않는 계층에 대한 공격으로, 2025년 9월에는 MCP 공개 레지스트리에 최초의 악의적인 패키지 투입이 확인되었다.

권한 스코프 (Permission Scope) 오용 (PocketOS형): 공격자의 개입 없이 발생한다. 에이전트가 너무 넓은 권한을 가진 토큰을 의도치 않게 찾아내어 선의로 사용해 버린다. 클라우드 ID의 92%가 필요 이상의 권한을 가지고 있다는 조사 (Sonrai)가 있는 이상, 이는 우발적인 사고가 아니라 구조적인 문제로서 반복된다.

이 분류의 중요성은 CVE-2026-26030을 보면 더욱 명확해진다. 2026년 5월 7일 Microsoft 보안 블로그가 공개한 리포트에서는 Semantic Kernel의 Python SDK에 CVSS 9.8 (최고 위험도)의 RCE (원격 코드 실행) 취약점이 상세히 기술되었다. 프롬프트 인젝션 단 한 번으로 에이전트가 구동되는 머신 상에서 임의의 코드를 실행할 수 있다. 해당 프레임워크의 .NET SDK에도 임의 파일 쓰기가 가능한 CVE-2026-25592가 동시에 공개되었다. 「AI 에이전트 취약점」은 이제 더 이상 이론상의 리스크가 아니다.

이러한 공격에 대해 엔터프라이즈에서 표준이 되어가고 있는 방어는 4층 구조다.

① 입력 스크리닝 (Input Screening): 사용자 입력과 에이전트가 외부로부터 취득한 콘텐츠 (도구 실행 결과, 웹 스크레이핑 결과 등)를 LLM에 전달하기 전에 체크한다.

② 도구 실행 승인 게이트 (Tool Execution Approval Gate): DB 쓰기나 외부 API 호출 등 리스크가 높은 작업을 실행하기 전에 정책 엔진 (Policy Engine)이 판단한다. 고위험 작업에는 인간의 승인 단계 (Human-in-the-loop)를 삽입하는 설계도 유효하다.

③ 출력 필터링 (Output Filtering): 에이전트의 출력(API 호출 파라미터 포함)이 예상 범위 내에 있는지 확인한다. 허용 도메인 리스트와의 대조, 스키마 검증 (Schema Validation) 등이 포함된다.

④ 감사 로그 및 관측성 (Audit Logs and Observability): 에이전트의 모든 도구 호출, 추론 단계, 외부 콘텐츠 취득 이력을 기록한다. 이는 의심스러운 패턴(통상과 다른 도구 호출 순서, 이상한 추출량)을 사후에 탐지하기 위한 기반이 된다.

Lakera Guard(Lakera社, 스위스/미국)는 ①과 ③을 API로 제공하는 대표적인 런타임 보안 도구로, 50ms 미만의 레이턴시 (Latency)로 각 에이전트 단계를 스크리닝할 수 있다. 다음은 공식 문서에 기반한 통합 이미지다:

import os
import requests
GUARD_URL = "https://api.lakera.ai/v2/guard"
...

포인트는 "외부 도구로부터 취득한 데이터도 함께 스크리닝하는 것"이다. 간접 프롬프트 인젝션 (Indirect Prompt Injection)은 LLM이 읽어들이는 외부 콘텐츠를 통해 발생하기 때문에, tool_msg도 검사 대상에 포함한다.

Dropbox (미국, ARR 25억 달러)

Dropbox는 GenAI 기능의 프롬프트 인젝션 대책으로 Lakera Guard를 채택했다. 선정의 결정적 요인은 저레이턴시와 데이터 프라이버시 (Data Privacy)의 양립이었다. Dropbox Tech Blog에 따르면, 구현 후 8,000자 이상의 프롬프트에서 평균 레이턴시가 7배 개선되었다. 98% 이상의 위협 탐지율을 달성한 후, Lakera社에 대한 투자도 실시하여 반복 토큰 공격 (Repeat Token Attack) 등 새로운 공격 패턴에 대한 연구를 협업하여 진행하고 있다.

ServiceNow (미국, ARR 150억 달러 초과)

Knowledge 2026에서 ServiceNow는 「AI Control Tower」의 전면 전개를 발표했다. 기업 내에서 작동하는 모든 AI 에이전트를 자동으로 탐지하고, 리스크 스코어를 부여하며, 최소 권한 액세스 (Least Privilege Access)를 강제하는 기능이 모든 제품에 표준 탑재되었다. AWS, Google Cloud, Microsoft Azure, SAP, Oracle, Workday와 30개 이상의 통합을 지원하며, 플랫폼을 넘나드는 AI 에이전트 거버넌스 (Governance)를 실현하고 있다.

AllianceBernstein (미국, 운용 자산 8,800억 달러 초과)

자산 운용 대기업인 AllianceBernstein은 Virtue AI(미국)와 협업하여 AI 보안 프레임워크를 구축했다. VirtueGuard의 실시간 가드레일 엔진 (Guardrail Engine)을 채택하여, 40ms 미만의 레이턴시로 모델 출력을 규제 정책과 대조한다. Chief AI Officer인 Andrew Chin은 "선진적인 방어 기능을 활용하여 조직을 보호하면서 클라이언트에게 서비스를 향상시킬 수 있다"라고 밝혔다. SEC, FINRA 등 금융 규제 고유의 정책을 가드레일에 반영한 사례로서 주목받고 있다.

Google Cloud (글로벌)

Google Cloud Next에서 발표된 「Agent Gateway」와 ISV 보안 에코시스템이 본격 가동되었다. Netskope (DLP), Okta (ID 관리), CrowdStrike (위협 탐지) 등 15개 이상의 보안 벤더가 통합되어, 사용자↔에이전트, 에이전트↔에이전트, 에이전트↔도구 간의 모든 통신에 실시간 정책 적용을 실현하고 있다. Google Cloud 공식 블로그에서는 이를 "에이전트 에코시스템을 위한 항공 관제 (Air Traffic Control)"라고 정의했다.

베이스 사례: AllianceBernstein이 금융 규제 정책(SEC, FINRA)을 VirtueGuard에 반영하여, 에이전트의 출력을 실시간으로 대조하는 구조.

발전 아이디어: 금융 규제 대신 의료 규제(HIPAA, FDA 21 CFR Part 11)를 대상으로 한 산업 특화형 가드레일 SaaS를 구축한다. 전자 의무 기록에 대한 액세스나 PHI(개인 건강 정보)를 처리하는 에이전트를 대상으로, 규제 준수 여부를 실시간으로 검증한다. Lakera Guard나 Guardrails AI와의 차별점은 "의료 규제 고유의 정책 라이브러리를 처음부터 보유하는 것"이다.

수익 모델: 에이전트의 API 호출 수에 따른 종량제 과금. EMR 시스템 인테그레이터(System Integrator)나 의료 AI 스타트업을 첫 번째 GTM(Go-To-Market) 채널로 삼으며, 조직당 월 30~100만 엔을 예상 단가로 설정한다.

베이스 사례: Dropbox가 Lakera Guard를 선택한 근거 —— "WAF는 HTTP 요청 형태로 판단하지만, LLM에 대한 공격은 콘텐츠의 의미로 판단하지 않으면 탐지할 수 없다"라는 인식.

발전 아이디어: Cloudflare나 Akamai 등의 기존 WAF 이용 기업을 대상으로, LLM 컨텍스트(Context) 인식을 추가하는 애드온 미들웨어(Add-on Middleware)를 제공한다. 기존 WAF의 하류(Downstream)에 플러그인 형태로 삽입하여, 에이전트가 처리하는 모든 콘텐츠를 의미 해석 기반으로 검사한다. 기존 WAF 벤더는 텍스트의 의미를 이해하는 기능을 가지고 있지 않기 때문에, 자체적으로 이를 개발하는 것은 어렵다.

수익 모델: WAF 벤더와의 OEM 계약 또는 Cloudflare Workers 등의 플랫폼 마켓플레이스 입점. 처리 토큰 수에 따른 종량제 과금(조직당 월 10~50만 엔).

베이스 사례: ServiceNow의 AI Control Tower가 "기업 내 모든 AI 에이전트의 행동을 기록 및 거버넌스(Governance)"하는 기능을 가진 구조. 단, ServiceNow 상의 에이전트로 한정된다.

발전 아이디어: LangChain, OpenAI Agents SDK, Google ADK, Bedrock Agents, Azure AI Foundry를 가로질러 통합할 수 있는 "에이전트 행동 로그 전문 SaaS"를 제공한다. 비행기의 블랙박스(Flight Recorder)처럼, 에이전트가 예기치 않은 동작을 했을 때 "왜 그렇게 되었는지"를 소급 조사할 수 있는 것이 가치의 핵심이다. CISA, NSA 등 5개국 정부 기관이 2026년 5월 1일에 공동 공개한 가이드라인 "Careful Adoption of Agentic AI Services"에서는 "책임성과 로그"가 중점 항목으로 되어 있으며, 규제 요건으로서 의무화될 가능성도 고려된다.

수익 모델: 로그 저장량 × 저장 기간에 따른 종량제 과금 (AWS의 CloudTrail과 유사한 모델). 조직당 월 50~200만 엔을 상정.

이하에서 "예"가 많을수록, AI 에이전트 보안 리스크에 대한 대처가 시급해진다.

에이전트가 외부 도구를 호출하고 있는가? (API 호출, DB 조작, 파일 쓰기) → YES라면 지금 바로 방어 레이어가 필요함 -
에이전트가 외부 콘텐츠를 읽어오고 있는가? (웹 스크레이핑, 문서 분석, 이메일 처리) → YES라면 간접 프롬프트 인젝션(Indirect Prompt Injection)의 리스크가 있음 -
에이전트의 환경 변수나 코드에 너무 넓은 권한의 토큰이 들어있는가? → YES라면 권한 스코프(Scope)의 오용이 구조적으로 발생할 수 있음

Salt Security(300명 이상의 보안 리더 대상, 2026년 상반기 조사)에 따르면, AI 에이전트를 실운영(Production)하기에 충분한 보안 성숙도를 가진 조직은 단 8%에 불과하다. 기존의 WAF나 API Gateway 도구가 유효하다고 답변한 곳은 23.5%에 그쳤다.

2026년 5월 1일, 미국 CISA, NSA, 영국, 호주, 캐나다, 뉴질랜드의 사이버 보안 기관이 공동으로 "Careful Adoption of Agentic AI Services"를 공개했다. 5개국 정부 기관이 에이전트 AI를 위한 보안 가이드라인을 동시에 발표한 것은 사상 처음이다. 기술 팀의 80.9%가 에이전트 AI 구현 단계에 진입한 반면, 보안 승인을 완료한 곳은 14.4%에 불과하다는 격차가 이 긴급 가이드라인의 배경에 있다.

• CISA・NSA・Five Eyes 「Careful Adoption of Agentic AI Services」 (2026년 5월 1일) https://www.cisa.gov/resources-tools/resources/careful-adoption-agentic-ai-services
• Microsoft Security Blog 「When prompts become shells」 (2026년 5월 7일) https://www.microsoft.com/en-us/security/blog/2026/05/07/prompts-become-shells-rce-vulnerabilities-ai-agent-frameworks/
• Microsoft Learn 「Secure autonomous agentic AI systems」 https://learn.microsoft.com/en-us/security/zero-trust/sfi/secure-agentic-systems
• OWASP 「Top 10 for LLM Applications 2025」 https://owasp.org/www-project-top-10-for-large-language-model-applications/
• Lakera Guard 공식 문서 https://docs.lakera.ai/guard
• Portkey AI Gateway (오픈 소스 AI 게이트웨이) https://github.com/Portkey-AI/gateway
• Bessemer 「Securing AI agents: the defining cybersecurity challenge of 2026」 https://www.bvp.com/atlas/securing-ai-agents-the-defining-cybersecurity-challenge-of-2026

「에이전트가 무엇을 하는가」의 문제는, AI를 도구로서 사용하는 단계에서 자율적인 에이전트 (Agent)로서 작동시키는 단계로의 전환 과정에서 갑작스럽게 표면화되었다. PocketOS의 9초 삭제는 빙산의 일각일지도 모른다. Salt Security의 조사가 보여주는 「운영 중임에도 보안이 미비한 86%」가 사실이라면, 다음 사건이 발생하는 것은 시간문제라고도 볼 수 있다. 당신의 에이전트는 지금, 어떤 권한을 가지고 있는가.

• Microsoft Security Blog - 프롬프트가 셸(Shell)이 될 때: AI 에이전트 프레임워크의 RCE 취약점 https://www.microsoft.com/en-us/security/blog/2026/05/07/prompts-become-shells-rce-vulnerabilities-ai-agent-frameworks/

• NVD - CVE-2026-26030 (Semantic Kernel Python SDK, CVSS 9.8) https://nvd.nist.gov/vuln/detail/cve-2026-26030

• SentinelOne - CVE-2026-25592: Semantic Kernel 경로 탐색 (Path Traversal) 결함 https://www.sentinelone.com/vulnerability-database/cve-2026-25592/

• The Register - Cursor-Opus 에이전트가 스타트업의 운영 데이터베이스를 삭제하다 https://www.theregister.com/2026/04/27/cursoropus_agent_snuffs_out_pocketos/

• Tom's Hardware - Claude 기반 AI 코딩 에이전트가 9초 만에 회사 전체 데이터베이스를 삭제하다 https://www.tomshardware.com/tech-industry/artificial-intelligence/claude-powered-ai-coding-agent-deletes-entire-company-database-in-9-seconds-backups-zapped-after-cursor-tool-powered-by-anthropics-claude-goes-rogue

• Dropbox Tech Blog - LLM을 보호하기 위해 Lakera Guard를 사용하는 방법 https://dropbox.tech/security/how-we-use-lakera-guard-to-secure-our-llms

• Lakera - 프롬프트 인젝션 (Prompt Injection) 및 탈옥 (Jailbreak) 공격으로부터 Dropbox의 생성형 AI (GenAI) 혁신을 보호하기 https://www.lakera.ai/customer/securing-dropbox-genai-innovation-against-prompt-injection-jailbreak-attacks

• ServiceNow Newsroom - ServiceNow, AI Control Tower 확장 https://newsroom.servicenow.com/press-releases/details/2026/ServiceNow-expands-AI-Control-Tower-to-discover-observe-govern-secure-and-measure-AI-deployed-across-any-system-in-the-enterprise/default.aspx

• Fortune - ServiceNow Knowledge 2026 https://fortune.com/2026/05/05/servicenow-knowledge-2026-autonomous-workforce-microsoft-nvidia-ai-announcements/

• Virtue AI Blog - 금융 분야의 신뢰할 수 있는 AI 구축: AllianceBernstein 사례 연구 https://blog.virtueai.com/2025/09/10/building-trustworthy-ai-in-finance-the-alliancebernstein-and-virtue-ai-case-study/

• Google Cloud Blog - Agent Gateway ISV 생태계 소개 https://cloud.google.com/blog/products/identity-security/introducing-agent-gateway-isv-ecosystem-for-security-and-governance

• Palo Alto Networks 보도자료 - Palo Alto Networks, Portkey 인수 예정 https://www.paloaltonetworks.com/company/press/2026/palo-alto-networks-to-acquire-portkey-to-secure-the-rise-of-ai-agents

• Bessemer Venture Partners - AI 에이전트 보안: 2026년의 결정적인 사이버 보안 과제 https://www.bvp.com/atlas/securing-ai-agents-the-defining-cybersecurity-challenge-of-2026

• Salt Security - 2026년 상반기 AI 및 API 보안 상태 보고서 주요 결과 https://salt.security/blog/the-era-of-agentic-security-is-here-key-findings-from-the-1h-2026-state-of-ai-and-api-security-report

• CISA - 에이전트형 AI (Agentic AI) 서비스의 신중한 도입 (2026-05-01) https://www.cisa.gov/resources-tools/resources/careful-adoption-agentic-ai-services

• NSA - NSA, ASD의 ACSC 및 기타 기관과 협력하여 에이전트형 AI에 대한 가이드라인 발표 https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/4475134/nsa-joins-the-asds-acsc-and-others-to-release-guidance-on-agentic-artificial-in/

• Cisco Newsroom - Cisco, 에이전트형 인력 (Agentic Workforce)을 위한 보안 재정의 https://newsroom.cisco.com/c/r/newsroom/en/us/a/y2026/m03/cisco-reimagines-security-for-the-agentic-workforce.html

• VentureBeat - 세 가지 AI 코딩 에이전트가 단 한 번의 프롬프트 인젝션 (Prompt Injection)을 통해 비밀 정보 유출 https://venturebeat.com/security/ai-agent-runtime-security-system-card-audit-comment-and-control-2026

• Palo Alto Networks Unit42 - AI 에이전트 속이기: 웹 기반 간접 프롬프트 인젝션 (Indirect Prompt Injection) https://unit42.paloaltonetworks.com/ai-agent-prompt-injection/

• The Hacker News - Anthropic MCP 설계 취약점으로 인한 RCE (원격 코드 실행) 가능성 https://thehackernews.com/2026/04/anthropic-mcp-design-vulnerability.html

• OWASP - LLM01:2025 프롬프트 인젝션 (Prompt Injection) https://genai.owasp.org/llmrisk/llm01-prompt-injection/

• Microsoft Learn - Secure autonomous agentic AI systems https://learn.microsoft.com/en-us/security/zero-trust/sfi/secure-agentic-systems

• Lakera Guard API Documentation https://docs.lakera.ai/guard

• Portkey AI Gateway (GitHub) https://github.com/Portkey-AI/gateway

• AI Safety Directory - Guardrails AI vs Lakera Guard https://aisecurityandsafety.org/en/compare/guardrails-ai-vs-lakera-guard/

• Proofpoint - How threat actors weaponize AI assistants with indirect prompt injection https://www.proofpoint.com/us/blog/email-and-cloud-threats/stop-month-how-threat-actors-weaponize-ai-assistants-indirect-prompt

• CyberScoop - US government, allies publish guidance on how to safely deploy AI agents https://cyberscoop.com/cisa-nsa-five-eyes-guidance-secure-deployment-ai-agents/

• Practical DevSecOps - MCP Tool Poisoning Explained https://www.practical-devsecops.com/mcp-tool-poisoning/

• BeyondTrust - AI agent identity governance least privilege https://www.beyondtrust.com/blog/entry/ai-agent-identity-governance-least-privilege

• Software Strategies Blog - Gartner: AI-amplified security market reaching $160B by 2029 https://softwarestrategiesblog.com/2026/03/24/information-security-spending-2026/

• Google Security Blog - AI threats in the wild: The current state of prompt injections on the web https://blog.google/security/prompt-injections-web/