런타임 기반 Per-action Authorization 시스템 구축을 통한 AI Agent 보안 체계 설계

Context

정적 API Key 기반의 기존 Machine-to-Machine 보안 모델이 런타임에 동적으로 행동을 결정하는 AI Agent의 특성을 반영하지 못하는 한계 직면. 단순 신원 증명만으로는 Agent의 맥락 기반 동작에 대한 세밀한 제어와 실시간 권한 검증이 불가능한 구조적 문제 발생.

Technical Solution

• Risk 기반의 Guardian Pipeline 설계를 통한 동작별 차등 검증 체계 구축
• Deterministic Rule, Policy Engine, AI-backed Review를 활용한 위험도별 다단계 라우팅 구현
• 권한이 없는 Opaque Token 도입 및 서버 사이드 실시간 결정 방식을 통한 즉각적 권한 회수(Revocation) 구조 설계
• Scope Narrowing 기법을 적용하여 Agent 간 작업 위임 시 권한 범위를 축소하고 TTL 및 Chain Depth를 제한하는 Scoped Delegation 구현
• 최소 권한 원칙 기반의 Read-only 세션 운영 및 승인 기반의 시한성 권한 상승(Time-boxed Elevation) 메커니즘 적용
• MCP Tools, Agent-to-Agent, API Integration을 단일 의사결정 경로로 통합한 Unified Security Layer 구축