에이전트 시스템이 인증·승인, HITL 루핑, 명시적 실패 처리, 프롬프트 주입 방어를 통해 프로덕션 규모의 확장 가능한 설계 구현

Context

사용자 의도를 처리하는 에이전트 시스템이 프로덕션 환경에서 확장될 때 보안, 신뢰성, 관찰성 문제가 발생한다. 특히 인증 미검증, 계획 검토 부재, 맥락 창 고갈, 실패 처리 미흡, 프롬프트 주입 공격에 대한 방어 부족이 주요 문제다.

Technical Solution

• 인증·승인 레이어 구현: JWT/OAuth2 검증, 역할 기반 접근 제어(RBAC), 세션 바인딩으로 모든 다운스트림 호출에 인증 정보 전파
• 인간 참여 루프(HITL) 추가: 에이전트가 계획을 수립한 후 사용자가 승인, 변경 요청, 거절 가능하도록 체인-오브-소트 추론으로 확인
• 비동기 I/O 및 지수 백오프: 모든 LLM 호출에 비동기 처리 적용, 임시 실패 시 지수 백오프 재시도
• 병렬·순차 작업 감지 및 라우팅: 작업 라우터가 독립 작업은 병렬로(팬아웃), 의존 작업은 순차로 실행
• 활성 맥락 창 관리: 맥락 한계 도달 전 서브에이전트로 분리하거나, 제거 콘텐츠를 요약해 시스템 메시지에 주입
• 데이터 추출 정규화: 대화에서 추출한 엔티티를 Pydantic/Zod 캐노니컬 스키마로 일관되게 모델링
• 명시적 실패 처리: 재시도 소진 시 데드레터 큐(DLQ)로 라우팅, 작업별 타임아웃 정책 정의, 반복 실패는 HITL로 에스컬레이션
• 프롬프트 주입 방어: 입력 새니타이제이션, 권한 분리(사용자 입력이 시스템 프롬프트에 직접 도달 금지), 가드 모델 분류기로 사전 검증, LLM 출력 유효성 검사
• 3단계 프롬프트 버저닝: dev → staging → prod 단계별 평가 스위트 운영, 현 단계 평가 통과 후 승격, 명확한 롤백 경로 제공
• OpenTelemetry 기반 추적: 모든 LLM 호출에 입력, 출력, 지연시간, 모델, 토큰 수 포함한 구조화된 추적 기록
• 다중 턴 세션 정체성 유지: 대화 이력, 엔티티 상태, 작업 그래프를 영구 사용자 정체성에 연결해 중단된 의도 재개 가능

Key Takeaway

프로덕션 에이전트는 사용자 신원 검증과 계획 승인이라는 신뢰 기초 위에 구축하고, 비동기 처리와 병렬 작업 라우팅으로 확장성을 확보하며, 프롬프트 주입 방어와 출력 검증을 계층화하고, 프롬프트 버저닝과 평가 루프로 회귀를 조기에 포착하고, 처음부터 구조화된 추적을 내장해야 사후 관찰성 개선의 비용을 피할 수 있다.