에이전트는 판단력 없는 파워 유저입니다
AI 에이전트는 작업 완수에 도움이 된다고 판단되면 사용자가 주신 모든 도구를 사용합니다. 그것이 강점이자 위험입니다. 프로덕션 데이터베이스에 쓰기 권한을 가진 에이전트는 그것이 사용자께서 요청하신 일을 완수하는 가장 좋은 방법이라고 결정하면 분명히 프로덕션 데이터를 수정할 것입니다. 잠시 멈춰서 "잠깐, 누군가에게 먼저 확인해 봐야 하지 않을까"라고 생각하지 않습니다.
이는 권한 아키텍처가 가드레일이 되어야 한다는 뜻입니다. 에이전트가 스스로 한계를 두리라 의지하실 수 없습니다. 하지 말아야 할 일이라면, 그것을 할 능력이 없어야 합니다.
최소 권한, 에이전트에 적용하기
최소 권한 원칙은 새롭지 않지만, 에이전트에서는 다르게 다가옵니다. 프로덕션 데이터베이스 접근을 가진 사람 개발자는 실제로 쿼리를 실행할 때에 대해 판단을 사용하십니다. 에이전트에는 그 필터가 없습니다. 그래서 에이전트의 최소 권한은 같은 역할에 있는 사람에게 부여하실 것보다 더 엄격해야 합니다.
실용적으로는 다음을 의미합니다. 데이터를 쿼리하기만 하면 되는 에이전트에게는 읽기 전용 데이터베이스 자격 증명을, 에이전트가 실제로 필요한 엔드포인트만 접근하는 범위 지정 API 토큰을, 디스크 전체가 아니라 특정 디렉터리로 제한된 파일 시스템 접근을 부여합니다. 각 권한은 에이전트가 사용하도록 설계된 특정 능력에 대응되어야 합니다.
계층적 권한 모델
좋은 접근법은 권한을 계층화하는 것입니다. 첫 번째 계층은 에이전트가 어떤 MCP 서버에 접근할 수 있는지입니다. 두 번째 계층은 그 서버가 어떤 자격 증명을 사용하는지입니다. 세 번째 계층은 백엔드 서비스가 그 자격 증명으로 무엇을 허용하는지입니다. 각 계층은 독립적으로 제한할 수 있습니다.
예를 들어, 에이전트에게 데이터베이스 MCP 서버에 대한 접근을 주시고(계층 1), 그 서버를 읽기 전용 데이터베이스 사용자로 구성하시고(계층 2), 그 데이터베이스 사용자가 특정 테이블에 대해 SELECT 권한만 갖도록 하실 수 있습니다(계층 3). 에이전트가 어떻게든 계층 1을 우회하더라도, 계층 2와 3이 여전히 보호해 줍니다.
환경 분리
프로덕션 환경과 개발 환경은 에이전트에게 완전히 별도의 자격 증명을 사용해야 합니다. 당연하게 들리지만, 빠르게 반복하실 때 흘리기 쉽습니다. "빠른 테스트"를 위해 프로덕션 자격 증명으로 구성된 에이전트가 결코 되돌려지지 않은 것은 흔하고 위험한 패턴입니다.
개발과 프로덕션을 위한 별도의 MCP 구성을 설정해 주십시오. 명확하게 라벨링해 주십시오. 실수로 프로덕션 자격 증명으로 개발 에이전트를 실행하기 어렵게 만들어 주십시오. 오류 방지 노력은 처음으로 실수를 막은 순간 본전을 뽑습니다.
에이전트 동작 감사
로깅 없는 권한은 그림의 절반입니다. 에이전트가 접근으로 실제로 무엇을 했는지 아셔야 합니다. 모든 도구 호출, 모든 API 요청, 모든 데이터베이스 쿼리를 로깅해 주십시오. 무언가 잘못되었을 때(결국 그렇게 됩니다), 이 로그가 무슨 일이 있었는지 파악하고 그에 따라 권한을 조이는 방법입니다.