피드로 돌아가기
You Wanted Me to Delete the DB, Right?
Dev.toDev.to
Security

LLM Agent의 Confused Deputy 문제 해결을 위한 Zero Trust 권한 설계

You Wanted Me to Delete the DB, Right?

Ben Stanley2026년 6월 22일3advanced

Context

LLM Agent가 Context Window 내의 데이터와 명령어를 구분하지 못해 발생하는 Prompt Injection 취약점 분석. 신뢰할 수 없는 외부 데이터가 포함된 Context가 Agent의 권한을 남용하여 DB 삭제 등 파괴적 행위로 이어지는 Confused Deputy 구조적 한계 직면.

Technical Solution

  • Capability Tokens 도입을 통한 Agent 중심 권한 체계에서 Task 중심의 단기 권한 부여 체계로 전환
  • Shadow Datasets 구축으로 Production 환경과 Agent 작업 환경을 물리적으로 격리하여 데이터 파손 위험 제거
  • Tool-approval Gates 설계를 통해 쓰기 및 파괴적 액션 실행 전 사용자 명시적 승인 단계 강제
  • Multi-agent Handoff 시 상위 Agent의 신뢰도를 상속하지 않고 매 홉(Hop)마다 권한을 재검증하는 Zero Trust 모델 적용
  • Least Privilege 원칙을 Agent 단위가 아닌 개별 Task 단위로 세분화하여 Blast Radius 최소화

1. 모든 MCP 도구 목록을 작성하고 Read/Write/Destructive 권한 태그 부여

2. 파괴적 도구 호출 전 반드시 Human-in-the-loop 승인 프로세스 배치

3. 장기 유효 Credentials를 Task-scoped 단기 토큰으로 교체

4. 멀티 에이전트 워크플로우 내 각 단계별 권한 재검증 로직 구현

5. 최악의 도구 호출 유출 상황을 가정한 Blast Radius 테스트 수행

원문 읽기