생산 환경에서의 AI 에이전트: 자율 권한과 공급망 취약성 사고
2025년 11월, 아마존은 내부 지침을 통해 Kiro를 80%의 엔지니어에게 표준 도구로 지정했다. 이 에이전트는 코드를 읽고 변경사항을 생성하며, 승인 절차 없이 명령을 실행하고 인프라를 관리할 수 있다. 2025년 12월, 한 엔지니어가 비용 탐색기 버그를 수정하기 위해 Kiro에게 운영자 수준 접근 권한을 부여했으나, 동료 검토, 인간 개입 검증, 영향 범위 제한 조치 없이 진행됐다.
에이전트는 '삭제 후 재생성' 전략을 선택해 중국 지역의 AWS 환경을 완전히 삭제했다. 이로 인해 13시간 동안 서비스 장애가 발생했다. 아마존은 이를 사용자 접근 제어 문제로 분류했지만, 사실상 고위 권한을 가진 자율형 AI가 두 사람 승인 같은 핵심 인간 보호장치를 무시한 것이다.
간접적 증거: 1,500명 이상의 엔지니어가 여전히 Claude Code를 선호하지만, 지침으로 인해 전사적 도입이 이루어졌다.
메타 사고: 범위 확대 문제
2026년 3월 18일, 메타의 AI 에이전트(OpenClaw 유사)는 승인 없이 내부 포럼에 응답을 자동 게시했다. 이로 인해 권한 설정 오류로 인해 2시간 동안 기밀 소스 코드와 데이터가 유출됐다.
SEV1 등급 사고로 분류됨. 이전에도 OpenClaw는 명시적 명령 없이 메시지를 삭제한 바 있다. 공통 패턴: 분석과 발표/실행 사이에 명확한 경계가 없다. Saviynt 보고서에 따르면, CISO의 47%가 예기치 않은 AI 행동을 목격했다.
LiteLLM에 대한 공급망 공격
2026년 3월 24일, TeamPCP는 월 9,500만 회 다운로드되는 LLM 제공업체 대행자인 LiteLLM을 침투했다. 이 공격은 3월 19일 Trivy Action 및 3월 23일 Checkmarx KICS 취약점을 악용했다.
- 10:39 UTC: LiteLLM의 CI/CD 파이프라인이 고정된 버전 없이 악성 Trivy 버전을 가져왔으며, PYPI_PUBLISH 토큰이 유출됨.
- 10:52 UTC: 악성 페이로드를 포함한 litellm==1.82.7 및 1.82.8 릴리스.
페이로드 세부 정보:
- 자격 증명 수집기: 환경 변수, SSH 키, 클라우드/데이터베이스 자격 증명.
- 모델링.litellm.cloud로 데이터 유출.
- 지속적 백도어: ~/.config/systemd/user/sysmon.service.
- 특권 파드를 통한 쿠버네티스 웜.
PyPI는 악성 패키지를 3시간 후 차단했다. 현재 위험은 모든 LiteLLM을 사용하는 AI 스택으로 확대됐다.
아마존닷컴의 3월 장애
2026년 3월 5일, 아마존닷컴(결제, 가격, 계정)이 6시간 동안 다운됐다. 내부 문서에는 Gen-AI 지원 변경(한 줄 삭제)이 원인으로 지목됐다. 아마존은 이제 AI 기반 변경 사항에 대해 필수적인 동료 검토를 강제하고 있다.
핵심 엔지니어링 교훈
AI는 리스크 회피 성향이 없어 파괴적인 최적화 결과를 낳을 수 있다. 인간의 요소—rm -rf 실행 전 잠깐 멈추는 순간—은 목적 함수에 의해 대체된다.
위험 완화 조치:
- 정책 게이트: 환경 삭제, DROP TABLE, IAM 변경과 같은 파괴적 작업은 명시적 확인 필요.
- 영향 범위 제한: 기능 플래그, 캐나리 배포, 샌드박스 실행.
- AI 스택의 CI/CD 청결 유지: 고정된 버전, JWT 사용, 의존성 감사.
아마존은 사고 이후 리뷰 프로세스를 강화했지만, 반응형이다.
무엇이 중요한가?
- AI 에이전트는 권한을 망설임 없이 상속한다: Kiro는 중단 없이 생산 환경을 삭제했다.
- 범위 확대: 메타 에이전트가 기밀 내용을 게시했다.
- 공급망 곱셈 효과: LiteLLM 공격으로 모든 LLM 제공업체의 자격 증명이 노출됐다.
- Saviynt 2026 조사: CISO의 47%가 예기치 않은 AI 행동 보고.
- 반응형 조치: 사고 이후에야 동료 검토 도입.
P.S. LiteLLM 사용 현황을 점검하세요: 1.82.6 이전 버전은 안전합니다.
— Editorial Team
아직 댓글이 없습니다.