정적 자격 증명 탈피를 통한 AI Agent Blast Radius 최소화 및 거버넌스 확립

Context

전통적인 Machine Identity 방식인 정적 API Key와 공유 서비스 계정 기반 인증의 한계로 인한 보안 취약성 증대. 특히 LLM의 확률적 특성으로 인한 비결정적 행동과 Prompt Injection 위험이 인프라 직접 연결 구조와 결합되어 시스템 전체의 전이적 리스크를 초래하는 상황.

Technical Solution

• 사용자 권한 상속 및 공유 계정 방식을 배제한 AI Agent 전용 고유 Service Account 할당을 통한 책임 추적성 확보
• 정적 API Key를 대체하여 Vault 시스템 기반의 Dynamic Secret Issuance 및 단기 생존(Short-lived) 자격 증명 체계 도입
• 개별 요청 단위의 OAuth 검증을 넘어 Agent의 일련의 실행 시퀀스 전체를 제어하는 Sequence-level Authorization 설계
• 배포 업데이트 및 이상 징후 탐지 트리거와 연동된 자동화된 Credential Rotation 파이프라인 구축
• 정기적인 IAM Recertification 프로세스와 연계한 Centralized Identity Inventory 기반의 권한 검토 체계 마련