MESA: 멀티 에이전트 시스템(Multi-Agent Systems) 보안을 위한 취약한 통신 채널 우선순위 지정

멀티 에이전트 시스템 (Multi-agent systems, MAS)은 복잡하고 분산된 워크플로우를 자동화하기 위해 점점 더 많이 사용되고 있습니다. 그러나 에이전트 간의 통신 채널은 아직 충분히 이해되지 않았고 방어하기 어려운 새로운 공격 표면 (attack surfaces)을 도입합니다. 본 논문에서는 공격이 관찰되기 전에 방어자가 취약한 통신 채널을 보호하기 위해 제한된 보안 노력을 어떻게 우선순위화해야 하는지를 다룹니다. 이는 채널 수준의 공격 영향이 매우 불균일하다는 우리의 관찰에 의해 동기 부여되었습니다. 즉, 단 하나의 침해된 엣지 (edge)가 전체 공격 성공의 최대 75%를 차지할 수 있습니다. 우리는 어떤 MAS 엣지가 보안상 가장 중요한지(즉, 침해될 경우 시스템의 결정에 영향을 미칠 가능성이 가장 높은지)를 선제적으로 순위를 매기는 레이블이 없는 (label-free) 프레임워크인 Mesa를 소개합니다. Mesa는 공격 흔적 (attack traces)을 요구하지 않고 6가지 그래프 이론적 지표 (graph-theoretic metrics)와 2가지 동적 프로브 (dynamic probes; ablation 및 masking)를 결합합니다. 우리는 세 가지 다양한 MAS 시나리오, 8가지 네트워크 토폴로지 (network topologies), 그리고 Qwen, Llama, Gemma 제품군의 5가지 오픈 소스 LLM을 대상으로 동적 오정보 공격 파이프라인 (dynamic misinformation attack pipeline)에 대해 Mesa를 평가합니다. Mesa의 순위는 경험적인 엣지별 공격 성공률과 강력한 상관관계를 보이며, 평균 Spearman $ρ=+0.60$ (최대 $+0.73$)을 달성했습니다. 자원이 제한된 방어 배포 환경에서 Mesa로 순위가 매겨진 상위 10%의 엣지를 모니터링하면 무작위 할당보다 약 3배 더 많은 성공적인 공격을 차단할 수 있습니다. 우리는 또한 다양한 공격자 및 방어자 모델과 LangGraph 워크플로우 하에서 Mesa를 추가로 테스트하고, 적응형 공격 (adaptive attacks) 및 고중복 그래프 (high-redundancy graphs) 하에서의 한계를 규명합니다. 전반적으로, 우리의 결과는 MAS의 엣지 수준 위험이 종종 집중되어 있고 예측 가능하다는 것을 보여주며, 이를 통해 멀티 에이전트 인프라의 선제적인 강화 (proactive hardening)를 가능하게 합니다.