AI 에이전트 워크플로우에서 다단계 체인 실행 중 사용자 신원이 소실되는 'Identity Collapse' 취약점을 실행 시점의 신원 클레임과 CogniWall 방화벽으로 차단

Context

로컬 개발 환경에서는 정상 동작하는 AI 에이전트가 다중 테넌트 프로덕션 환경에 배포되면, 3단계 이상의 복잡한 오케스트레이션 워크플로우에서 사용자 신원이 제네릭 서비스 계정으로 붕괴된다. 원래 사용자의 의도, 권한 범위, 구체적 신원이 User → Agent → Tool → Service 비동기 체인에서 손실되어, 에이전트가 금전 이동이나 데이터 삭제 API 호출 직전에 무제한 권한의 백엔드 서비스 계정으로만 식별되는 상황이 발생한다.

Technical Solution

• 신원 정보를 정적 경계 검사에서 실행 경로 내부로 통합: 모든 도구 실행 시 "who, what, why"를 포함한 구조화된 신원 클레임 페이로드 첨부
• 실행 직전 인터셉션 레이어 도입: 도구나 외부 API 호출 전에 신원 클레임과 파라미터를 검증하고 규칙 강제
• CogniWall 오픈소스 방화벽 통합: LLM의 도구 호출을 즉시 인터셉트하여 신원 클레임 검증, 결정적 제한 강제, 악의적 행동 차단
• 사용자별 레이트 제한과 금융 거래 상한선 적용: 원래 사용자에게 연결된 rate limit과 거래 금액 상한 설정
• 비동기 감사 추적 유지: 모든 다단계 체인에 대한 엔드-투-엔드 어트리뷰션 기록

Key Takeaway

다단계 에이전트 체인에서 사용자 신원과 실행 범위를 명시적으로 보존하고 검증하지 않으면 특권 에스컬레이션 취약점이 발생한다. 실행 시점 신원 클레임 아키텍처로 전환하고 CogniWall 같은 프로그래머블 방화벽을 오케스트레이션 경로에 통합하면, 금융 거래, 민감한 데이터 수정, 다중 테넌트 아키텍처에서 결정적 경계를 강제할 수 있다.