공급망이 인젝션보다 앞선 이유
2026년 에이전트 보안 우선순위는 공급망이 1순위, 프롬프트 인젝션이 2순위로 재편되었습니다. 프롬프트 인젝션 시도는 전년 대비 340% 급증했으나, 더 큰 손실은 신뢰한 의존성에서 발생합니다. 2026년 3월 LiteLLM을 사칭한 백도어 패키지가 PyPI에 3시간 노출되는 동안 약 47,000회 다운로드됐고, 스킬 마켓 ClawHub에서는 악성 스킬 1,184건이 확인됐습니다. 인젝션은 입력을 방어하면 되지만, 오염된 패키지는 에이전트의 실행 권한을 그대로 승계합니다.
툴 포이즈닝: 설명문에 숨은 명령
툴 포이즈닝은 도구·스킬의 메타데이터나 설명문에 모델을 겨냥한 지시를 심는 공격입니다. 사용자에게 보이지 않는 필드가 에이전트에게는 지시문으로 읽혀 자격증명 유출이나 무단 호출로 이어집니다. OWASP는 이런 위협을 LLM 애플리케이션 상위 위험으로 분류합니다. 방어의 기준선은 도구 정의를 사람이 읽는 코드처럼 리뷰하고, 서명·해시로 무결성을 고정하는 것입니다.
검증과 격리라는 두 축
공급망 방어는 검증과 격리로 압축됩니다. 검증은 버전 고정, 해시 핀, 서명 확인, 신규 의존성 격리 심사입니다. 격리는 에이전트를 최소 권한으로 묶고, 네트워크 이그레스를 허용 목록으로 제한하며, 도구 실행을 샌드박스에 가두는 것입니다. 오염을 0으로 만들 수는 없으므로, 오염이 발생해도 폭발 반경을 좁히는 설계가 핵심입니다.
A4 분량 상세 가이드: 기획부터 운영까지
기획 단계에서는 목표 지표를 수치로 못 박습니다. 신규 의존성 도입 시 SBOM 생성률 100%, 서명 검증 통과율 100%, 미검증 패키지의 프로덕션 반입 0건을 기준선으로 둡니다. 도구 호출 승인 게이트의 오탐으로 인한 정상 작업 차단은 5% 이하, 격리 심사 대기로 인한 배포 지연 p95는 24시간 이내로 설정합니다.
실패 패턴은 세 가지로 나눕니다. 첫째, 신규·업데이트된 패키지가 해시·서명 검증에 실패하는 경우. 둘째, 도구 설명문에서 지시문 패턴이 탐지되는 경우. 셋째, 에이전트가 허용 목록 밖 도메인으로 이그레스를 시도하는 경우입니다. 각 패턴에 복구 분기를 미리 매핑해 두어야 대응이 지연되지 않습니다.
복구 전략은 자동 재시도, 사람 확인, 안전 축약, 중단으로 계층화합니다. 일시적 레지스트리 오류는 지수 백오프로 최대 3회 재시도합니다. 서명 불일치나 신규 최상위 의존성은 자동 통과를 막고 사람 확인 큐로 보냅니다. 인젝션 패턴이 탐지된 도구는 해당 기능만 비활성화하는 안전 축약으로 나머지 서비스를 유지합니다. 자격증명 접근과 이그레스 위반이 겹치면 세션을 즉시 중단하고 토큰을 회수합니다. 중단 조건은 위반 1건에서 발동하도록 보수적으로 설정합니다.
운영 체크리스트는 표준 로그로 뒷받침합니다. 모든 도구 호출에 요청 ID, 도구·버전 해시, 호출자, 승인 게이트 결과, 이그레스 대상, 지연을 남깁니다. 로그와 프롬프트를 적재할 때 이메일·전화·토큰 패턴의 PII를 마스킹하고, 원문은 접근이 통제된 단기 보관소에만 둡니다. 배포 파이프라인은 SBOM과 서명 검증을 필수 게이트로 두어 미검증 아티팩트의 통과를 0건으로 유지합니다.
지속 개선 루프는 주간 단위로 돌립니다. 차단·재시도·중단 이벤트를 유형별로 집계해 오탐률과 놓친 위협을 함께 추적하고, 신규 위협 지표는 탐지 규칙에 반영합니다. 의존성 인벤토리는 자동 스캔으로 신규 CVE와 대조하며, 분기마다 복구 분기를 실제로 발동시키는 격리 훈련으로 평균 대응 시간을 측정합니다.
실행 요약
2026년 에이전트 보안은 공급망이 1순위, 인젝션이 2순위입니다. LiteLLM 백도어와 ClawHub 악성 스킬 1,184건이 보여주듯, 신뢰한 의존성이 가장 큰 구멍입니다. 검증(SBOM·서명·해시 핀)과 격리(최소 권한·이그레스 허용 목록·샌드박스)를 필수 게이트로 두고, 실패마다 재시도·사람 확인·안전 축약·중단의 분기를 정의하십시오. 미검증 패키지 프로덕션 반입 0건을 유지하는 것이 출발점입니다.