AgentRiskBOM: 에이전트형 AI 시스템을 위한 리스크 범위 지정 보안 자재 명세서 (Security Bill of Materials)

에이전트형 AI (Agentic AI) 시스템은 개인적인 컨텍스트를 검색하고, 도구를 호출하며, 파일을 작성하고, 외부 서비스를 호출하며, 다른 에이전트와 협력하고, 인간의 승인 없이 행동할 수도 있습니다. 기존의 자재 명세서 (Bill of Materials) 산출물들은 의존성, 모델 메타데이터, 학습 출처에 대한 투명성을 개선하지만, 에이전트 투명성 격차(agentic transparency gap)를 남겨둡니다. 즉, 배포된 에이전트가 무엇에 접근하고, 기억하고, 변경하고, 위임하고, 사후에 증명할 수 있는지에 대한 구조화된 설명이 부재한 능력 불투명성 (capability opacity) 문제입니다. 본 논문은 도구를 사용하는 AI 에이전트의 리스크 범위를 지정하기 위한 보안 BOM인 AgentRiskBOM을 소개합니다. 이는 SBOM, AIBOM, MLBOM 산출물 위에 추가되는 계층으로, 권위 있는 부분에서는 해당 산출물들을 참조하면서도 런타임 권한 (runtime authority)을 위한 필드인 자율성 (autonomy), 도구 권한 (tool permissions), 메모리 (memory), 자격 증명 범위 (credential scope), 승인 게이트 (approval gates), 감사 신호 (audit signals), 에이전트 간 통신 (inter-agent communication), 외부 행동 능력 (external action capability)을 추가합니다. 우리는 재현 가능한 코퍼스 (corpus), 리스크 시나리오, 스코어러 (scorer), 차이 탐지기 (diff detector), 제어 매퍼 (control mapper), 리포트를 포함하는 JSON 스키마 (JSON-schema) 산출물로 AgentRiskBOM을 구현합니다. 우리는 코딩, RAG, 멀티 에이전트 (multi-agent) 아키타입을 아우르는 13개의 오픈 소스 에이전트와 14개 카테고리에 걸친 52개의 리스크 시나리오를 통해 AgentRiskBOM을 평가합니다. 스키마는 13개의 코퍼스 산출물 모두를 검증합니다. 커버리지 분석 결과, AgentRiskBOM은 16개 능력 차원에서 SBOM(1점), AIBOM(1.5점), MLBOM(2점) 대비 네이티브 등가 점수 14점을 기록했습니다. 모델링된 리스크 카테고리 전반에서 AgentRiskBOM은 100%의 리스크 카테고리 가시성을 노출한 반면, SBOM 유사 뷰는 10.5%, AIBOM 유사 뷰는 20.9%를 기록했습니다. 에이전트 권한 드리프트 (agentic authority drift)를 테스트하기 위해 33개의 구조화된 배포 변이 (deployment mutations)를 주입하였으며, 차이 탐지기는 모든 변이에 대해 정확한 변경 유형을 식별했습니다. 보조적인 페널티 기반 스코어러는 기본 스코어러와 0.73의 스피어만 상관계수 (Spearman correlation)를 나타내어 순위 수준의 일관성을 뒷받침하는 동시에, 임계값 설정에는 인간의 보정 (human calibration)이 필요함을 보여주었습니다. 결과는 에이전트형 AI 보안을 위해 사고가 발생하기 전에 기계 판독 가능한 권한 및 리스크 산출물이 필요함을 보여줍니다.