SHA-256 해시 체인과 PostgreSQL을 사용하여 AI 에이전트를 위한 변조 방지 WORM 감사 로그를 구축한 방법

dev.to에 게시됨 | 태그: ai, security, postgres, node

AI 에이전트가 이메일을 보내거나, 계약을 승인하거나, 레코드를 삭제하는 등 실제 결정을 내릴 때, "로그가 있다"는 것은 "무슨 일이 일어났는지 증명할 수 있다"는 것과 같지 않습니다. 이것은 AI Governor를 위해 암호학적으로 변조 방지가 가능한 감사 로그(audit log)를 구축한 이야기이며, 왜 구현 세부 사항이 사람들이 생각하는 것보다 더 중요한지에 대한 이야기입니다.

일반적인 감사 로그의 문제점

대부분의 감사 로그에는 치명적인 결함이 있습니다. 바로 사후에 수정될 수 있다는 점입니다. 데이터베이스 접근 권한이 있는 누군가가 행(row)을 수정하거나, 삭제하거나, 심지어 타임스탬프(timestamp)를 변경하더라도 이를 자동으로 감지할 방법이 없습니다. 높은 이해관계가 걸린 작업을 수행하는 엔터프라이즈 AI 에이전트에게 이는 컴플라이언스(compliance) 측면에서 악몽과 같습니다.

우리는 더 강력한 것이 필요했습니다. 즉, 아무리 미세한 변조라도 즉시 감지할 수 있는 WORM (Write Once Read Many, 한 번 기록하면 여러 번 읽기만 가능) 로그가 필요했습니다.

SHA-256 해시 체이닝 (hash chaining): 핵심 아이디어

이 접근 방식은 블록체인(blockchain) 설계에서 빌려왔지만, 불필요한 복잡성은 모두 제거했습니다.

모든 감사 행은 두 개의 해시(hash) 필드를 저장합니다:

• prev_hash — 이전 행의 SHA-256 해시
• row_hash — 현재 행의 정형화된 필드(canonical fields) + prev_hash의 SHA-256 해시

CREATE TABLE audit_log (
  id          UUID PRIMARY KEY DEFAULT gen_random_uuid(),
  org_id      UUID NOT NULL,
...

row_hash는 다음과 같이 계산됩니다:

row_hash = SHA256(id + org_id + created_at + verdict + model + cost_usd + ... + prev_hash)

만약 누군가가 어떤 행의 필드를 수정하거나, 행을 삭제하고 번호를 다시 매기면 체인이 끊어집니다. 모든 후속 행의 prev_hash는 이전 행의 row_hash와 더 이상 일치하지 않게 됩니다.

애플리케이션 코드가 아닌 데이터베이스 함수를 사용하는 이유

대부분의 구현이 잘못되는 지점이 바로 여기입니다. 애플리케이션 코드에서 해시를 계산한 다음 삽입하는 방식입니다. 이는 경합 조건 (race condition)을 유발합니다. 즉, 두 개의 동시 요청이 모두 동일한 "마지막 행"을 읽고 동일한 prev_hash를 작성할 수 있습니다.

우리는 조직별 권고 잠금 (advisory lock)을 유지하는 PostgreSQL 저장 함수 (stored function)를 사용하여 이 문제를 해결했습니다:

CREATE OR REPLACE FUNCTION insert_audit_row(
  p_org_id      UUID,
  p_agent_id    UUID,
...

pg_advisory_xact_lock은 테이블 전체를 잠그지 않고도 조직별 직렬화 (serialisation)를 제공합니다. 동일한 조직에서 온 두 요청은 잠금에서 대기하며, 서로 다른 조직에서 온 요청은 완전히 병렬로 실행됩니다.

체인 검증 (Verifying the chain)

체인 검증은 특정 조직의 모든 행을 순서대로 탐색하며 다음 사항을 확인합니다:

1. 현재의 prev_hash가 이전 행의 row_hash와 일치하는지
2. 현재의 row_hash가 정형화된 필드 (canonical fields)를 새로 계산한 값과 일치하는지

// 게이트웨이 검증 엔드포인트: GET /audit/verify
async function verifyChain(orgId) {
  const rows = await db
...

공개 및 인증 없는 검증 (Making it public and auth-free)

가장 유용한 속성은 계정이 없는 누구라도 체인을 검증할 수 있다는 점입니다. 우리는 다음과 같은 공개 엔드포인트를 노출합니다:

GET https://api.aigovernor.app/v1/audit/public-verify?org_id=<uuid>

인증은 필요하지 않습니다. 규제 기관, 감사인 또는 제3자 컴플라이언스 도구는 우리를 신뢰할 필요 없이 조직의 전체 체인을 독립적으로 검증할 수 있습니다. 이것이 바로 거버넌스 증명 계층 (governance proof layer)입니다. 단순히 "우리가 기록했다"가 아니라, "누구든 우리가 이를 변경하지 않았음을 검증할 수 있다"는 것을 의미합니다.

실무에서의 의미

이 시스템을 구축하기 전에는 AI 법 (AI Act) 준수에 대해 문의하는 기업 고객들이 로그가 변조되지 않았다는 우리의 말을 믿어야만 했습니다. 이제 그들은 감사인에게 검증 URL을 전달할 수 있습니다. 감사인이 이를 실행하면 해시가 일치합니다. 그것으로 끝입니다.

감사 로그는 무료 플랜을 포함한 모든 플랜에서 사용할 수 있습니다. 거버넌스 증거는 프리미엄 기능이 아니라 기본적인 요구 사항이기 때문입니다.

만약 여러분이 프로덕션 환경에서 AI 에이전트 (AI agents)를 구축하고 있으며, 직접 구축하는 수고 없이 이러한 거버넌스 인프라 (governance infrastructure)가 필요하다면, 저희는 이 모든 것을 AI Governor에 패키징해 두었습니다. base_url과 api_key만 교체하면 단 한 줄의 코드로 통합할 수 있습니다. 첫 번째 호출부터 전체 파이프라인 (pipeline)이 활성화됩니다.

링크:

• AI Governor — 무료 티어 (월 50만 토큰)를 사용해 보세요
• 보안 페이지 (Security page) — 아키텍처 (architecture) 상세 정보
• 가격 (Pricing) — 모든 플랜 확인

게시 시 사용할 태그: #ai #security #typescript #devops #compliance #devtools #openai