아마존 베드록 에이전트코어의 보안 강화 전략

주장기업이 인공지능 에이전트를 업무에 도입할 때 가장 큰 과제는 에이전트의 도구 접근을 안전하게 관리하는 일입니다. 거대언어모델 기반 에이전트는 실행 시점에 도구 호출 순서와 인자를 스스로 결정하므로 사전 감사가 어렵습니다.

팩트아마존 베드록 에이전트코어 게이트웨이는 정책과 람다 인터셉터라는 두 가지 상호 보완적 메커니즘을 제공합니다. 정책은 시더 언어를 사용해 결정론적 접근 제어를 수행하며, 람다 인터셉터는 동적 검증과 페이로드 변환을 담당합니다.

팩트시더 정책은 주체와 동작, 자원을 기반으로 요청을 평가해 허용 여부를 결정합니다. 이 결정은 자동으로 감사 로그에 기록되어 보안 준수 사항을 충족합니다.

팩트람다 인터셉터는 도구 호출 전후에 실행되는 사용자 정의 코드입니다. 기업은 이를 통해 토큰 교환과 응답 필터링, 데이터 보강 등 유연한 보안 로직을 구현합니다.

교차검증게이트웨이는 람다 인터셉터를 정책 엔진보다 먼저 평가합니다. 이는 인터셉터를 통해 요청 컨텍스트를 먼저 보강한 뒤, 그 결과를 바탕으로 정책을 평가하는 계층적 보안 구조를 설계하기 위함입니다.

팩트레이크하우스 데이터 에이전트 사례에서 보험사 직원은 청구 데이터를 조회할 때 세 가지 사용자 역할을 부여받습니다. 보험 계약자와 조정자, 관리자로 역할을 나누어 데이터 접근 권한을 차등 적용합니다.

팩트레이크하우스 에이전트는 아마존 S3 테이블과 아마존 아테나를 통해 데이터를 조회합니다. AWS 레이크 포메이션은 쿼리 시점에 행과 열 수준의 보안을 강제해 사용자가 권한이 있는 데이터만 확인하도록 합니다.

주장시더 정책은 기본적으로 거부 원칙을 따릅니다. 명시적으로 허용된 요청이 아니면 모두 차단하므로, 기본 허용 정책을 먼저 설정한 뒤 특정 제한 사항을 금지 규칙으로 추가하는 방식이 효율적입니다.

팩트금지 규칙은 허용 규칙보다 우선순위가 높습니다. 보험 계약자가 전체 청구 요약 도구를 호출하지 못하도록 설정하려면 금지 규칙을 사용해 특정 그룹의 접근을 차단합니다.

주장정책과 인터셉터를 결합한 계층적 보안 구조는 복잡한 에이전트 환경에서 데이터 유출 위험을 줄입니다. 기업은 이러한 다중 방어 체계를 통해 인공지능의 활용 범위를 안전하게 확장할 수 있습니다.

교차검증다만, 정책 엔진과 인터셉터의 설정이 복잡해질 경우 도구 호출 지연이 발생할 가능성이 있습니다. 따라서 보안 수준과 성능 사이의 균형을 고려한 설계가 필요합니다.

출처아마존 웹 서비스의 머신러닝 블로그를 통해 해당 보안 메커니즘을 교차 검증했습니다.