# Agentic SAMM: 에이전트 시스템 보안 개발 프레임워크
Agentic SAMM(ASAMM)은 OWASP SAMM을 에이전트 시스템에 확장한 것으로, SDLC가 선형 사이클에서 나선형 구조로 진화합니다. 각 나선형 반복은 설계, 구현, 검증 단계를 거치되, 도구와 환경 변화에 맞춘 업데이트된 위협 모델을 반영합니다. 이 프레임워크는 위협 분류를 다루며, 컨텍스트를 제어 평면으로(에이전트가 읽을 수 있는 모든 콘텐츠가 명령으로 변할 수 있음), 도구 호출을 보안 경계로, 자율 창을 잠재적 피해의 시간적 범위로 정의합니다.
NATO STANAG에서 영감을 받은 2축 신뢰 모델이 에이전트, 도구, MCP 서버, 컨텍스트 소스에 적용됩니다. A1(완전 권한)부터 F6(격리 실행만) 수준까지 엄격한 상호작용 규칙을 적용합니다.
설계 원칙과 17개 제어
설계는 Auftragstaktik 원칙을 따릅니다: 시스템 프롬프트는 의도(Auftrag)를 설정할 뿐, 경직된 알고리즘은 아닙니다. 이는 몰트케의 말처럼 "최초 접촉에서 계획은 무용지물"이 되는 에이전트의 적응성을 가능하게 합니다.
ASAMM은 SAMM의 5개 기능에 걸쳐 17개 제어를 제공하며, NIST AI RMF와 NCSC에 매핑됩니다. 두 가지 구현 경로가 있습니다:
- 기존 보안 프로그램에서 마이그레이션.
- 신규 프로젝트를 위한 그린필드 배포.
이 프레임워크는 오픈 소스입니다: 인간은 GitHub 이슈와 PR로 기여하고, 에이전트는 갭을 발견하면 티켓을 생성합니다.
중급/시니어 개발자를 위한 핵심 요점
ASAMM은 보안의 패러다임 전환을 강조합니다:
- 보안 경계 이동: 전통 SDLC는 코드와 아티팩트를 보호하지만 컨텍스트 흐름, 도구 호출, 위임 권한, 런타임 동작을 무시합니다.
- 컨텍스트 = 지시: 문서, 트래커 작업, CI 로그, 도구 설명이 명령으로 변할 수 있습니다. 입력 검증을 넘어 컨텍스트 출처 제어가 필요합니다.
- 권한 ≠ 작업 정렬: 완전 권한 에이전트가 목표에서 벗어날 수 있으며, 전통 제어를 우회합니다.
- 시간은 위험 요인: 자율 창이 도구 반경과 곱해 잠재적 피해 반경을 정의합니다.
- 개발 환경이 공격 표면: IDE 플러그인, MCP 서버, pre-commit 훅, CI 에이전트에 위협 모델링이 필요합니다.
실무에서의 흔한 함정
개발자들은 에이전트 시스템의 미묘함을 놓치기 쉽습니다. 전형적 실수:
- 위협 모델이 포괄적이지만 컨텍스트 소스와 도구 호출 경로를 누락.
- 코드 리뷰가 PR 100%를 커버하지만 프롬프트, 도구 스키마, 에이전트 설정은 무시.
- DAST 스캔이 깨끗하지만 적대적 컨텍스트 동작 테스트는 안 함.
- 서비스 계정 최소 권한 적용, 하지만 도구 호출 세분화 없음.
- SCA 통과하지만 프레임워크 의존성, MCP 서버, 모델 제공자를 놓침.
가장 중요한 점
- 나선형 SDLC: 시스템과 도구 진화에 위협 모델 적응.
- 위협 분류: 컨텍스트, 도구, 자율 창에 초점.
- 17개 제어: NIST AI RMF/NCSC 매핑으로 원활 통합.
- 오픈 소스: GitHub를 통한 인간·에이전트 기여.
- GOST R 56939-2024: 러시아 적응 버전과 매핑 제공.
ASAMM은 기존 프레임워크의 공백을 메우며, 에이전트 공격 표면을 커버합니다. 자율 에이전트 프로덕션 환경에서 위험을 최소화합니다.
— Editorial Team
아직 댓글이 없습니다.