도구 실행이 가장 큰 위험 표면이다

자율 에이전트가 위험한 이유는 텍스트를 넘어 실제로 도구를 실행하기 때문입니다. 코드를 돌리고, API를 부르고, 데이터를 바꾸는 순간 잘못된 판단이 실제 피해로 이어집니다. 샌드박스 실행은 이 도구 실행을 격리된 환경에 가둬, 사고가 나도 피해 범위를 제한하는 장치입니다.

핵심 전제는 에이전트가 언젠가 잘못된 행동을 시도한다고 가정하는 것입니다. 완벽한 판단을 신뢰하는 대신, 잘못돼도 안전한 환경을 만듭니다.

권한 스코핑과 이그레스 통제

권한 스코핑은 각 작업이 실제로 필요한 도구와 자원에만 접근하게 최소 권한으로 제한하는 것입니다. 이그레스 통제는 샌드박스 밖으로 나가는 네트워크 요청을 화이트리스트로 제한해 데이터 유출과 무단 호출을 막습니다. 여기에 하드웨어 경계를 더하면 격리가 검증 가능해집니다.

A4 분량 상세 가이드: 기획부터 운영까지

기획 단계에서는 격리 목표를 수치로 정의합니다. 예를 들어 화이트리스트 밖 이그레스 0건, 권한 초과 시도 차단율 100%, 샌드박스 탈출 시도 탐지율을 지표로 둡니다. 앞서 다룬 블라스트 반경 설계와 이어져, 인젝션이나 잘못된 판단이 성공해도 피해가 샌드박스 안에 머물게 합니다. 자기개선 실험도 프로덕션이 아니라 샌드박스에서 먼저 평가한 뒤 게이트를 통과해야 배포되게 합니다.

실패 패턴 중 위험한 것은 과도한 권한을 기본값으로 주는 것입니다. 편의를 위해 넓은 권한을 부여하면 사고 시 피해가 걷잡을 수 없이 커집니다. 이를 막으려면 작업 단위로 권한을 최소화하고, 파일 시스템·네트워크·시크릿 접근을 각각 명시적으로 허용합니다. 복구 전략으로, 샌드박스가 권한 초과나 화이트리스트 밖 이그레스를 감지하면 즉시 실행을 중단하고 세션을 격리한 뒤 스냅샷으로 되돌립니다. 실행 결과가 큰 행동은 샌드박스 안에서 검증한 뒤에만 실제 시스템에 반영합니다.

운영 체크리스트에는 격리 경계를 검증 가능하게 남깁니다. 각 작업의 권한 스코프, 허용된 이그레스, 차단 이벤트, 스냅샷 복원 이력을 표준 로그로 남기고, 시크릿이 로그로 노출되지 않도록 마스킹합니다. 관측 항목으로는 차단된 이그레스 수, 권한 초과 시도, 샌드박스 복원 빈도, 작업별 권한 스코프 크기를 기록합니다. 정기적으로 적대적 입력을 주입해 격리가 실제로 작동하는지 검증합니다.

지속 개선 루프는 주간 단위로 차단된 이그레스와 권한 초과 시도를 분석합니다. 반복되는 시도 유형은 샌드박스 정책에 반영하고, 실제로 필요 없는 권한은 회수해 스코프를 더 좁힙니다. 샌드박스는 한 번 설정하는 울타리가 아니라, 새로운 위험 행동을 반영해 계속 좁혀지는 격리 경계여야 합니다.

실행 요약

정리하면 자율 에이전트의 가장 큰 위험은 도구 실행이고, 샌드박스는 사고가 나도 피해를 가두는 장치입니다. 작업별 최소 권한 스코핑, 화이트리스트 이그레스 통제, 하드웨어 경계로 격리하고, 결과가 큰 행동은 검증 후에만 반영해야 합니다. 차단 이벤트를 관측하고 불필요한 권한을 계속 회수하면 잘못된 판단이 실제 피해로 번지지 않습니다.

참고 링크

OWASP Top 10 for LLM Applications