SlowMist × Bitget AI 보안 보고서: “랍스터(Lobster)” 등의 AI 에이전트에게 자금을 맡기는 것이 정말 안전한가?
작성: SlowMist 및 Bitget
일, 배경
대규모 언어 모델(Large Language Model, LLM) 기술의 급속한 발전과 함께, AI 에이전트(AI Agent)는 단순한 지능형 어시스턴트에서 점차 자율적으로 작업을 수행하는 자동화 시스템으로 진화하고 있다. 특히 Web3 생태계에서는 이러한 변화가 더욱 두드러지게 나타나고 있다. 점차 더 많은 사용자들이 AI 에이전트를 시장 분석, 전략 수립 및 자동 거래에 활용하려는 시도를 하고 있으며, ‘7×24시간 자동 실행되는 거래 어시스턴트’라는 개념은 점차 현실로 다가오고 있다. 바이낸스(Binance)와 OKX가 여러 개의 AI Skills를 출시했으며, Bitget은 Skills 리소스 스테이션인 Agent Hub와 설치 없이 바로 사용 가능한 로브스터(GetClaw)를 선보이면서, 에이전트는 이제 거래 플랫폼 API, 체인상 데이터, 시장 분석 도구 등에 직접 접속할 수 있게 되었다. 이로 인해 기존에는 사람이 수행해야 했던 거래 의사결정 및 실행 업무의 상당 부분을 대신 수행할 수 있게 되었다.
기존의 자동화 스크립트와 비교할 때, AI 에이전트는 훨씬 높은 수준의 자율적 의사결정 능력과 복잡한 시스템 간 상호작용 능력을 갖추고 있다. 이들은 시장 데이터에 접근하고, 거래 API를 호출하며, 계좌 자산을 관리할 수 있을 뿐만 아니라, 플러그인 또는 Skill을 통해 기능 생태계를 확장할 수도 있다. 이러한 능력 향상은 자동 거래의 사용 장벽을 크게 낮추었으며, 일반 사용자들도 자동 거래 도구를 보다 쉽게 접하고 사용할 수 있게 되었다.
그러나 능력의 확장은 곧 공격 면적(attack surface)의 확대를 의미하기도 한다.
기존 거래 환경에서는 보안 위험 요소가 주로 계정 자격 증명, API 키 유출, 피싱 공격 등에 집중되어 있었다. 반면 AI 에이전트 아키텍처에서는 새로운 위협 요소가 등장하고 있다. 예를 들어, 프롬프트 주입(Prompt Injection) 공격은 에이전트의 의사결정 로직에 영향을 줄 수 있으며, 악성 플러그인 또는 Skill은 새로운 공급망 공격 진입점이 될 수 있다. 또한 실행 환경 구성이 부적절할 경우 민감한 데이터나 API 권한이 악용될 가능성도 있다. 이러한 문제가 자동 거래 시스템과 결합되면, 잠재적 영향은 정보 유출에 그치지 않고 실제 자산 손실로 이어질 수 있다.
동시에, 점차 더 많은 사용자들이 AI 에이전트를 거래 계정에 연결함에 따라 공격자들도 이 변화에 신속히 적응하고 있다. 에이전트 사용자를 대상으로 한 신종 사기 수법, 악성 플러그인 오염(poisoning), API 키 남용 등의 문제는 점차 새로운 보안 위협으로 자리 잡고 있다. Web3 환경에서는 자산 조작이 고가치이며 불가역적인 특성을 지니고 있어, 자동화 시스템이 악용되거나 오도될 경우 위험 영향 역시 더욱 확대될 수 있다.
이러한 배경 하에, SlowMist와 Bitget은 본 보고서를 공동 작성하였다. 본 보고서는 보안 연구 및 거래 플랫폼 실무라는 두 가지 관점에서, 다양한 시나리오에서 발생할 수 있는 AI 에이전트의 보안 문제를 체계적으로 정리하였다. 본 보고서가 사용자, 개발자, 플랫폼 운영자들에게 유용한 보안 참고 자료가 되어, AI 에이전트 생태계가 혁신과 보안 사이에서 더욱 안정적이고 건강하게 성장하는 데 기여하기를 기대한다.
이, AI 에이전트의 실제 보안 위협|SlowMist
AI 에이전트의 등장으로 소프트웨어 시스템은 ‘사람 중심 조작’에서 점차 ‘모델이 의사결정 및 실행에 참여’하는 방향으로 전환되고 있다. 이러한 아키텍처 변화는 자동화 능력을 크게 향상시키지만, 동시에 공격 면적도 확대시킨다. 현재 기술 구조를 기준으로 볼 때, 전형적인 AI 에이전트 시스템은 일반적으로 사용자 인터페이스 계층, 애플리케이션 로직 계층, 모델 계층, 도구 호출 계층(Tools / Skills), 메모리 시스템(Memory), 하위 실행 환경 등 여러 구성 요소로 이루어진다. 공격자는 단일 모듈만을 표적으로 삼는 것이 아니라, 여러 계층을 통한 다단계 경로를 통해 에이전트의 동작 제어권을 점차적으로 침해하려 한다.
1. 입력 조작 및 프롬프트 주입 공격
AI 에이전트 아키텍처에서 사용자 입력 및 외부 데이터는 일반적으로 모델의 컨텍스트에 직접 포함된다. 이는 프롬프트 주입(Prompt Injection) 공격이 중요한 공격 수단이 되게 만든다. 공격자는 특정 명령어를 조작하여 에이전트가 원래 실행되어서는 안 될 작업을 유도할 수 있다. 일부 사례에서는 단순한 채팅 명령어만으로도 에이전트가 고위험 시스템 명령어를 생성하고 실행하도록 유도할 수 있었다.
보다 복잡한 공격 형태는 간접 주입(indirect injection)이다. 즉, 공격자가 악성 명령어를 웹페이지 내용, 문서 설명, 코드 주석 등에 은닉하는 방식이다. 에이전트가 작업 수행 중 이러한 콘텐츠를 읽게 되면, 이를 합법적인 명령어로 오인할 수 있다. 예를 들어, 플러그인 문서, README 파일 또는 Markdown 파일 내에 악성 명령어를 삽입하면, 에이전트가 환경 초기화 또는 종속성 설치 과정에서 공격 코드를 실행하게 될 수 있다.
이 공격 방식의 특징은 전통적인 취약점을 의존하지 않으며, 오히려 모델이 컨텍스트 정보에 대해 갖는 신뢰 메커니즘을 이용해 그 동작 로직을 조작한다는 점이다.
2. Skills / 플러그인 생태계의 공급망 오염(poisoning)
현재 AI 에이전트 생태계에서, 플러그인 및 기능 시스템(Skills / MCP / Tools)은 에이전트의 기능을 확장하는 핵심 수단이다. 그러나 이러한 플러그인 생태계는 새로운 공급망 공격 진입점으로도 부상하고 있다.
SlowMist는 OpenClaw 공식 플러그인 센터 ClawHub를 모니터링한 결과, 개발자 수 증가에 따라 악성 Skill이 이미 혼입되기 시작했다는 사실을 발견하였다. SlowMist는 400개 이상의 악성 Skill에 대한 IOC(Indicators of Compromise)를 집계·분석한 결과, 다수의 샘플이 소수의 고정 도메인 또는 동일 IP 하의 여러 무작위 경로를 가리키며, 자원 재사용 특성이 뚜렷하게 나타났다. 이는 조직화된, 대량 생산 방식의 공격 행위임을 시사한다.
OpenClaw의 Skill 체계에서 핵심 파일은 일반적으로 SKILL.md이다. 전통적인 코드와 달리, 이 Markdown 파일은 ‘설치 안내서’ 및 ‘초기화 진입점’ 역할을 담당한다. 그러나 에이전트 생태계에서는 사용자가 이를 직접 복사해 실행하는 경우가 많아, 완전한 실행 체인(execution chain)을 형성하게 된다. 공격자는 의존성 설치 단계처럼 보이도록 악성 명령어를 위장하여 curl | bash나 Base64 인코딩을 통해 실제 명령어를 숨기면, 사용자가 악성 스크립트를 실행하도록 유도할 수 있다.
실제 샘플에서는 일부 Skill이 전형적인 ‘2단계 로딩(two-stage loading)’ 전략을 채택하고 있다. 첫 번째 단계 스크립트는 단지 두 번째 단계 페이로드(payload)를 다운로드하고 실행하는 역할만 수행함으로써 정적 탐지 성공률을 낮춘다. 다운로드 수가 높은 ‘X(Twitter) 트렌드’ Skill의 경우, SKILL.md 파일 내에 Base64 인코딩된 명령어가 은닉되어 있었다.
디코딩 후 확인해보면, 이 명령어는 원격 스크립트를 다운로드하여 실행하는 명령어임을 알 수 있다.
두 번째 단계 프로그램은 시스템 팝업 창을 가장해 사용자의 비밀번호를 탈취하며, 시스템 임시 디렉토리, 데스크톱 문서, 다운로드 폴더 내 파일들을 수집한 후, 최종적으로 이를 압축해 공격자가 통제하는 서버로 업로드한다.
이 공격 방식의 핵심 강점은, Skill 외피 자체는 비교적 안정적으로 유지하면서도, 공격자는 원격 페이로드만 교체함으로써 공격 로직을 지속적으로 업데이트할 수 있다는 점이다.
3. 에이전트 의사결정 및 작업 편성(task orchestration) 계층의 위험
AI 에이전트의 애플리케이션 로직 계층에서는 작업이 일반적으로 모델에 의해 여러 실행 단계로 분해된다. 만약 공격자가 이 분해 과정을 조작할 수 있다면, 에이전트는 합법적인 작업을 수행하는 과정에서도 비정상적인 동작을 일으킬 수 있다.
예를 들어, 자동 배포 또는 체인상 거래와 같은 다단계 작업이 포함된 업무 프로세스에서, 공격자는 핵심 매개변수를 변조하거나 논리 판단을 방해함으로써, 에이전트가 실행 중 목표 주소를 교체하거나 추가 작업을 수행하도록 유도할 수 있다.
SlowMist의 이전 보안 감사 사례에서는, MCP가 반환한 악성 프롬프트로 컨텍스트를 오염시켜, 에이전트가 지갑 플러그인을 호출해 체인상 송금을 실행하도록 유도한 바 있다.
이 유형의 공격은 모델이 생성한 코드에 오류가 있는 것이 아니라, 작업 편성 로직 자체가 조작되었기 때문에 발생한다는 점이 특징이다.
4. IDE / CLI 환경에서의 프라이버시 및 민감 정보 유출
AI 에이전트가 개발 보조 및 자동 운영 지원 도구로 널리 사용되게 된 이후, 많은 에이전트가 IDE, CLI 또는 로컬 개발 환경에서 실행되고 있다. 이러한 환경은 일반적으로 .env 설정 파일, API 토큰, 클라우드 서비스 자격 증명, 개인 키 파일, 각종 액세스 키 등 민감한 정보를 다량 포함한다. 에이전트가 작업 수행 중 이러한 디렉토리나 프로젝트 파일을 읽을 수 있다면, 무의식적으로 민감 정보를 모델 컨텍스트에 포함시킬 가능성이 있다.
일부 자동 개발 프로세스에서는, 에이전트가 디버깅, 로그 분석 또는 종속성 설치 과정에서 프로젝트 디렉토리 내 설정 파일을 읽는 경우가 있다. 명확한 무시 정책(ignore policy)이나 액세스 제어가 부족할 경우, 이러한 정보는 로그에 기록되거나 원격 모델 API로 전송되며, 심지어 악성 플러그인을 통해 외부로 유출될 수도 있다.
또한, 일부 개발 도구는 에이전트가 코드 저장소를 자동 스캔하여 컨텍스트 메모리(Memory)를 구축하도록 허용하는데, 이로 인해 민감 데이터 노출 범위가 더욱 확대될 수 있다. 예를 들어, 개인 키 파일, 복구 문구(마nemonic phrase), 데이터베이스 연결 문자열, 타사 API 토큰 등이 인덱싱 과정에서 읽힐 수 있다.
Web3 개발 환경에서는 이러한 문제가 특히 두드러지는데, 개발자들이 로컬 환경에 테스트용 개인 키, RPC 토큰, 배포 스크립트 등을 저장하는 경우가 많기 때문이다. 이러한 정보가 악성 Skill, 플러그인 또는 원격 스크립트에 의해 획득되면, 공격자는 개발자 계정이나 배포 환경을 추가로 장악할 수 있다.
따라서 AI 에이전트가 IDE / CLI와 통합되는 상황에서는, 민감 디렉토리 무시 정책(예: .agentignore, .gitignore와 유사한 메커니즘) 및 권한 격리 조치를 명확히 설정하는 것이 데이터 유출 위험을 낮추는 데 매우 중요하다.
5. 모델 계층의 불확실성 및 자동화 관련 위험
AI 모델 자체는 완전히 결정론적인 시스템이 아니며, 출력에 일정 수준의 불안정성이 존재한다. 이른바 ‘모델 환각(model hallucination)’은 정보 부족 상황에서 모델이 보기에는 타당해 보이지만 실제로는 잘못된 결과를 생성하는 현상을 말한다. 전통적인 응용 분야에서는 이러한 오류는 보통 정보 품질에만 영향을 미쳤으나, AI 에이전트 아키텍처에서는 모델 출력이 직접 시스템 작동을 유발할 수 있다.
예를 들어, 일부 사례에서는 모델이 실제 파라미터를 조회하지 않고 잘못된 ID를 생성한 후 배포 프로세스를 계속 진행하였다. 비슷한 상황이 체인상 거래나 자산 조작 시나리오에서 발생한다면, 잘못된 의사결정으로 인해 되돌릴 수 없는 자금 손실이 초래될 수 있다.
6. Web3 시나리오에서의 고가치 작업 위험
전통적인 소프트웨어 시스템과 달리, Web3 환경에서는 많은 작업이 불가역적이다. 예를 들어, 체인상 송금, 토큰 스왑, 유동성 추가, 스마트 계약 호출 등은 일단 서명되어 네트워크에 브로드캐스트되면 일반적으로 철회하거나 롤백하기 어렵다. 따라서 AI 에이전트가 체인상 작업을 수행하도록 사용될 경우, 그 보안 위험 역시 더욱 확대된다.
일부 실험적 프로젝트에서는, 개발자들이 이미 에이전트를 체인상 거래 전략 실행(예: 자동 아비트리지, 자금 관리, DeFi 작업 등)에 직접 활용하기 시작하였다. 그러나 에이전트가 작업 분해 또는 매개변수 생성 과정에서 프롬프트 주입, 컨텍스트 오염, 플러그인 공격 등의 영향을 받는다면, 거래 중 목표 주소를 교체하거나 거래 금액을 수정하거나 악성 계약을 호출할 수 있다. 또한, 일부 에이전트 프레임워크는 플러그인이 지갑 API나 서명 인터페이스에 직접 접근할 수 있도록 허용한다. 서명 격리 또는 수동 확인 메커니즘이 부족할 경우, 공격자는 악성 Skill을 통해 자동 거래를 유발할 수도 있다.
따라서 Web3 시나리오에서 AI 에이전트를 자산 제어 시스템과 완전히 연동하는 것은 고위험 설계이다. 보다 안전한 방식은 에이전트가 거래 제안 또는 서명되지 않은 거래 데이터만 생성하도록 하고, 실제 서명 과정은 독립된 지갑 또는 수동 확인을 통해 완료하는 것이다. 또한, 주소 신뢰도 검사, AML(자금세탁방지) 리스크 관리, 거래 시뮬레이션 등과 같은 메커니즘을 병행하면, 자동 거래로 인한 위험을 어느 정도 완화할 수 있다.
7. 고권한 실행으로 인한 시스템 수준의 위험
실제 배포 환경에서 많은 AI 에이전트는 높은 시스템 권한을 보유한다. 예를 들어, 로컬 파일 시스템에 접근하거나 쉘 명령어를 실행하거나 심지어 Root 권한으로 실행하는 경우도 있다. 에이전트의 동작이 조작되면, 그 영향 범위는 단일 애플리케이션을 넘어서 전체 시스템으로 확대될 수 있다.
SlowMist는 OpenClaw를 텔레그램(Telegram)과 같은 실시간 메시징 소프트웨어와 연동하여 원격 제어를 구현한 바 있다. 제어 채널이 공격자에게 장악될 경우, 에이전트는 임의의 시스템 명령어 실행, 브라우저 데이터 읽기, 로컬 파일 접근, 다른 애플리케이션 제어 등 다양한 악의적 행위에 악용될 수 있다. 플러그인 생태계 및 도구 호출 기능과 결합되면, 이러한 에이전트는 어느 정도 ‘지능형 원격 제어(Remote Access Trojan, RAT)’의 특성을 갖추게 된다.
종합적으로 볼 때, AI 에이전트의 보안 위협은 전통적인 소프트웨어 취약점에 국한되지 않으며, 모델 상호작용 계층, 플러그인 공급망, 실행 환경, 자산 조작 계층 등 여러 차원에 걸쳐 있다. 공격자는 프롬프트를 통해 에이전트의 동작을 조작할 수도 있고, 악성 Skills 또는 종속성 패키지를 통해 공급망 계층에 백도어를 심을 수도 있으며, 이를 고권한 실행 환경에서 더욱 확대시킬 수도 있다. Web3 시나리오에서는 체인상 조작이 불가역적이며 실제 자산 가치를 수반하기 때문에, 이러한 위험은 더욱 심화될 수 있다. 따라서 AI 에이전트의 설계 및 사용 과정에서 전통적인 애플리케이션 보안 전략만으로는 새로운 공격 면적을 완전히 커버하기 어렵다. 권한 제어, 공급망 관리, 거래 보안 메커니즘 등 다양한 측면에서 보다 체계적인 보안 방호 체계를 구축해야 한다.
삼, AI 에이전트 거래 보안 실무|Bitget
AI 에이전트의 기능이 지속적으로 강화됨에 따라, 이제 단순한 정보 제공이나 보조 의사결정을 넘어 시스템 조작, 심지어 체인상 거래까지 직접 수행하게 되었다. 암호화폐 거래 시나리오에서는 이러한 변화가 특히 두드러진다. 점차 더 많은 사용자들이 AI 에이전트를 시장 분석, 전략 실행, 자동 거래에 활용하고 있다. 에이전트가 거래 인터페이스를 직접 호출하고 계좌 자산에 접근하며 자동 주문을 내릴 수 있게 되면, 그 보안 문제는 ‘시스템 보안 위험’에서 ‘실제 자산 위험’으로 전환된다. AI 에이전트를 실제 거래에 사용할 때, 사용자는 어떻게 자신의 계좌 및 자금을 보호해야 할까?
이에 따라 본 소절은 Bitget 보안팀이 거래 플랫폼의 실무 경험을 바탕으로, 계좌 보안, API 권한 관리, 자금 격리, 거래 모니터링 등 다양한 관점에서 AI 에이전트를 활용한 자동 거래 시 반드시 주의해야 할 보안 전략을 체계적으로 소개한다.
1. AI 에이전트 거래 시나리오에서의 주요 보안 위협
2. 계좌 보안
AI 에이전트의 등장으로 공격 경로가 바뀌었다:
- 당신의 계좌에 직접 로그인할 필요가 없다—단지 당신의 API 키만 확보하면 된다
- 당신이 이를 알아차릴 필요가 없다—에이전트는 7×24시간 자동 실행되므로, 비정상적인 조작이 며칠간 지속될 수 있다
- 출금할 필요가 없다—플랫폼 내에서 직접 거래하여 자산을 모두 잃어버리는 것만으로도 공격 목표가 된다
API 키의 생성, 수정, 삭제는 모두 로그인된 계좌를 통해 완료되어야 한다—즉, 계좌가 해킹되면 키 관리 권한도 함께 상실된다. 계좌 보안 수준은 API 키의 보안 상한선을 직접 결정한다.
당신이 해야 할 일:
- SMS(단문 메시지) 대신 Google Authenticator를 주요 2단계 인증(2FA) 수단으로 활성화하라(SIM 카드는 해킹될 수 있음)
- Passkey 무비밀번호 로그인 활성화: FIDO2/WebAuthn 표준 기반으로, 공개키/개인키 암호화가 전통적인 비밀번호를 대체하므로, 피싱 공격은 아키텍처 차원에서 무효화된다
- 피싱 방지 코드 설정
- 기기 관리 센터를 정기적으로 점검하여, 미확인 기기가 발견되면 즉시 차단하고 비밀번호를 변경하라
3. API 보안
AI 에이전트 자동 거래 아키텍처에서, API 키는 에이전트의 ‘실행 권한 증명서’와 같다. 에이전트 자체는 계좌 제어권을 직접 보유하지 않으며, 수행 가능한 모든 작업은 API 키에 부여된 권한 범위에 따라 결정된다. 따라서 API 권한 경계는 단지 에이전트가 무엇을 할 수 있는지를 결정할 뿐만 아니라, 보안 사고 발생 시 손실 규모가 얼마나 확대될 수 있는지를 결정하기도 한다.
권한 구성 매트릭스—최소 권한, 편의를 위한 권한이 아니다:
대부분의 거래 플랫폼에서는 API 키에 대해 여러 가지 보안 제어 메커니즘을 지원한다. 이러한 메커니즘을 적절히 활용하면, API 키의 악용 위험을 크게 낮출 수 있다. 일반적인 보안 설정 권장 사항은 다음과 같다:
사용자들이 흔히 저지르는 실수:
- 주 계좌의 API 키를 에이전트 설정에 그대로 복사 붙여넣기—주 계좌의 전체 권한이 완전히 노출됨
- 업무 유형을 ‘전부 선택’하여 편의를 우선시함—실제로는 모든 작업 범위가 열림
- Passphrase를 설정하지 않거나, Passphrase를 계좌 비밀번호와 동일하게 설정
- API 키를 코드 내에 하드코딩하여 GitHub에 업로드—봇이 3분 이내에 크롤링하여 탈취
- 하나의 키를 여러 개의 에이전트 및 도구에 동시에 권한 부여—어느 하나라도 침해되면 전체가 노출됨
- 키 유출 후 즉시 폐기하지 않아, 공격자가 윈도우 기간을 계속 활용함
키의 수명 주기 관리:
- 90일마다 API 키를 교체하고, 이전 키는 즉시 삭제
- 에이전트를 중단할 경우 해당 키를 즉시 삭제하여 잔여 공격 면적을 제거
- API 호출 기록을 정기적으로 점검하여, 미확인 IP 또는 비정상 시간대의 호출이 발견되면 즉시 폐기
4. 자금 보안
공격자가 API 키를 확보한 후 발생시킬 수 있는 손실 규모는, 이 키가 얼마만큼의 자금을 조작할 수 있는지에 따라 달라진다. 따라서 AI 에이전트의 거래 아키텍처를 설계할 때, 계좌 보안 및 API 권한 제어 외에도 자금 격리 메커니즘을 통해 잠재적 위험에 대해 명확한 손실 상한선을 설정해야 한다.
서브계좌 격리 메커니즘:
- 에이전트 전용 서브계좌를 생성하고, 주 계좌와 완전히 분리
- 주 계좌에서 에이전트가 실제로 필요한 자금만 이체—전체 자산을 이체하지 않음
- 서브계좌 키가 도난당하더라도, 공격자가 조작할 수 있는 최대 금액 = 서브계좌 내 자금이며, 주 계좌는 영향을 받지 않음
- 여러 에이전트 전략은 각각 별도의 서브계좌로 관리하여 서로 격리
자금 비밀번호를 두 번째 잠금장치로 사용:
- 자금 비밀번호(Fund Password)는 로그인 비밀번호와 완전히 분리됨—계좌에 로그인하더라도 자금 비밀번호가 없으면 출금을 시작할 수 없음
- 자금 비밀번호와 로그인 비밀번호는 서로 다른 비밀번호로 설정
- 출금 허용 주소 화이트리스트 활성화: 사전에 등록된 주소만 출금 가능—신규 주소는 24시간 심사 기간 필요
- 자금 비밀번호 변경 후 시스템이 자동으로 출금을 24시간 동안 동결—이는 당신을 보호하기 위한 메커니즘임
5. 거래 보안
AI 에이전트 자동 거래 시나리오에서는, 보안 문제는 단발성 이상 행동으로 나타나기보다는, 시스템이 지속적으로 실행되는 과정에서 점진적으로 발생하는 경우가 많다. 따라서 계좌 보안 및 API 권한 제어 외에도, 지속적인 거래 모니터링 및 이상 징후 탐지 메커니즘을 구축하여 문제 발생 초기 단계에서 신속히 발견하고 개입할 수 있어야 한다.
반드시 구축해야 할 모니터링 체계:
이상 신호 식별—다음과 같은 상황이 발생하면 즉시 중단하고 점검하라:
- 에이전트가 장기간 무작동 상태인데도 계좌에 새 주문 또는 포지션이 생성됨
- API 호출 로그에 에이전트 서버 IP가 아닌 요청이 나타남
- 설정하지 않은 거래쌍의 체결 알림을 수신함
- 계좌 잔고에 설명할 수 없는 변동이 발생함
- 에이전트가 반복적으로 ‘실행을 위해 더 많은 권한이 필요하다’고 알림—왜 그런지 먼저 파악한 후, 권한 부여 여부를 결정하라
Skill 및 도구 출처 관리:
- 공식 발표 및 검토된 채널을 통해 제공되는 Skill만 설치
- 출처가 불분명하거나 검증되지 않은 타사 확장 기능 설치 금지
- 설치된 Skill 목록을 정기적으로 검토하고, 더 이상 사용하지 않는 항목은 삭제
- 커뮤니티에서 제공하는 ‘강화판’, ‘한글화판’ Skill에 주의—공식 버전이 아닌 모든 버전은 위험함
6. 데이터 보안
AI 에이전트의 의사결정은 대량의 데이터(계좌 정보, 보유 포지션, 거래 이력, 시장 데이터, 전략 매개변수 등)에 의존한다. 이러한 데이터가 유출되거나 변조될 경우, 공격자는 당신의 전략을 추론하거나 거래 동작을 조작할 수 있다.
당신이 해야 할 일
- 최소 데이터 원칙: 에이전트에게 거래 실행에 필수적인 데이터만 제공
- 민감 데이터 익명화: 로그, 디버그 정보에는 계좌 전체 정보, API 키 등 민감 데이터를 출력하지 않도록 함
- 완전한 계좌 데이터를 공용 AI 모델(예: 공용 LLM API)에 업로드 금지
- 가능하다면 전략 데이터와 계좌 데이터를 분리
- 에이전트의 거래 이력 데이터 내보내기 기능을 비활성화하거나 제한
사용자 흔한 실수
- 완전한 거래 이력을 AI에 업로드하여 “전략을 최적화해줘”라고 요청
- 에이전트 로그에 API 키 / 시크릿 키 출력
- 공개 포럼에 주문 ID, 계좌 정보가 포함된 거래 기록 스크린샷 게시
- 데이터베이스 백업을 AI 도구에 업로드하여 분석
7. AI 에이전트 플랫폼 계층의 보안 설계
사용자 측 보안 설정 외에도, AI 에이전트 거래 생태계의 보안 수준은 상당 부분 플랫폼 계층의 보안 설계에 의존한다. 성숙한 에이전트 플랫폼은 일반적으로 계좌 격리, API 권한 제어, 플러그인 심사, 기본 보안 기능 등 다양한 측면에서 체계적인 방호 메커니즘을 구축하여, 사용자가 자동 거래 시스템에 접속할 때 직면하는 전반적인 위험을 낮춰야 한다.
실제 플랫폼 아키텍처에서는 일반적으로 다음과 같은 보안 설계가 적용된다.
1. 서브계좌 격리 체계
자동 거래 환경에서, 플랫폼은 일반적으로 서브계좌 또는 전략 계좌 체계를 제공하여 서로 다른 자동화 시스템의 자금 및 권한을 격리한다. 이를 통해 사용자는 각 에이전트 또는 거래 전략에 대해 독립적인 계좌와 자금 풀을 할당할 수 있으므로, 여러 자동화 시스템이 동일 계좌를 공유함으로써 발생할 수 있는 위험을 회피할 수 있다.
2. 세분화된 API 권한 구성
AI 에이전트의 핵심 작업은 API 인터페이스에 의존하므로, 플랫폼은 API 권한 설계에서 거래 권한 분할, IP 출처 제한, 추가 보안 검증 메커니즘 등 세분화된 제어를 지원해야 한다. 이러한 권한 모델을 통해 사용자는 에이전트에게 작업 수행에 필요한 최소 권한만 부여할 수 있다.
3. 에이전트 플러그인 및 Skill 심사 메커니즘
일부 플랫폼은 플러그인 또는 Skill의 게시 및 상점 등록 과정에 코드 심사, 권한 평가, 보안 테스트 등의 심사 메커니즘을 도입하여, 악성 구성 요소가 생태계에 유입될 가능성을 줄이려 한다. 보안 관점에서 보면, 이러한 심사 메커니즘은 플러그인 공급망에 플랫폼 차원의 필터를 추가하는 것과 같으나, 사용자는 여전히 설치하는 확장 구성 요소에 대해 기본적인 보안 인식을 유지해야 한다.
4. 플랫폼 기본 보안 기능
에이전트 관련 보안 메커니즘 외에도, 거래 플랫폼 자체의 계좌 보안 체계 역시 에이전트 사용자에게 중요한 영향을 미친다. 예를 들어:
8. 에이전트 사용자 전용 신종 사기 수법
가짜 고객센터
“귀하의 API 키에 보안 위험이 있습니다. 즉시 다시 설정해 주세요.”라며 피싱 링크를 제공
→ 공식 기관은 API 키를 요구하기 위해 직접 메시지를 보내지 않는다.
오염된 Skill 패키지
커뮤니티에서 공유되는 ‘강화된 거래 Skill’을 실행하면, 은밀히 귀하의 키를 전송함
→ 공식 심사 채널을 통해 제공되는 Skill만 설치하라.
가짜 업그레이드 알림
“재승인 필요”, 클릭하면 위조 페이지로 이동
→ 이메일의 피싱 방지 코드를 확인하라.
프롬프트 주입 공격
시장 데이터, 뉴스, 캔들차트 주석 등에 명령어를 삽입하여, 에이전트가 예상치 못한 작업을 수행하도록 조작
→ 서브계좌 자금 상한선을 설정하라. 주입 공격을 당하더라도 손실은 명확한 한계 내에 머무른다.
‘보안 검사 도구’를 가장한 악성 스크립트
귀하의 키가 유출되었는지 검사한다고 주장하며, 실제로는 키를 탈취함
→ 공식 플랫폼에서 제공하는 로그 또는 액세스 기록 기능을 통해 API 호출 상황을 직접 확인하라.
9. 문제 해결 절차
어떠한 이상 징후라도 발견하면
↓
즉시 의심스러운 API 키를 폐기하거나 비활성화
↓
계좌의 이상 주문/포지션을 점검하고, 취소 가능한 것은 즉시 취소
↓
출금 기록을 확인하여 자금이 이미 이체되었는지 확인
↓
로그인 비밀번호 및 자금 비밀번호를 변경하고, 모든 로그인된 기기를 강제 로그아웃
↓
플랫폼 보안 지원팀에 연락하여 이상 발생 시간대 및 작업 기록을 제공
↓
키 유출 경로를 조사(코드 저장소 / 설정 파일 / Skill 로그 등)
핵심 원칙: 어떤 의심이든 먼저 키를 폐기하고, 그 다음에 원인을 조사하라. 순서를 반대로 해서는 안 된다.
사, 권장 사항 및 종합
본 보고서에서 SlowMist와 Bitget은 실제 사례 및 보안 연구를 바탕으로, 현재 Web3 시나리오에서 AI 에이전트가 직면하는 대표적인 보안 문제들을 분석하였다. 여기에는 프롬프트 주입(Prompt Injection)으로 인한 에이전트 동작 조작 위험, 플러그인 및 Skill 생태계 내 공급망 위험, API 키 및 계좌 권한 악용 문제, 그리고 자동 실행으로 인한 오작동 및 권한 확대 등 잠재적 위협이 포함된다. 이러한 문제들은 단일 취약점으로 인해 발생하는 것이 아니라, 에이전트 아키텍처 설계, 권한 제어 전략, 실행 환경 보안 등이 복합적으로 작용한 결과이다.
따라서 AI 에이전트 시스템을 구축하거나 사용할 때는 전체 아키텍처 차원에서 보안 설계를 수행해야 한다. 예를 들어, 최소 권한 원칙(minimum privilege principle)에 따라 에이전트에게 API 키 및 계좌 권한을 할당하고, 불필요한 고위험 기능을 활성화하지 않도록 해야 한다. 도구 호출 계층에서는 플러그인 및 Skill에 대해 권한 격리를 적용하여, 단일 구성 요소가 데이터 수집, 의사결정 생성, 자금 조작 기능을 동시에 갖추지 않도록 해야 한다. 또한, 에이전트가 핵심 작업을 수행할 때는 명확한 동작 경계 및 매개변수 제한을 설정하고, 필요 시 수동 확인 메커니즘을 추가하여 자동 실행으로 인한 불가역적 위험을 낮춰야 한다. 동시에, 에이전트 실행에 필요한 외부 입력에 대해서는 적절한 프롬프트 설계 및 입력 격리 메커니즘을 통해 프롬프트 주입 공격을 방어해야 하며, 외부 콘텐츠를 시스템 명령어로 직접 모델 추론 과정에 참여시키는 것을 피해야 한다. 실제 배포 및 실행 단계에서는 API 키 및 계좌 보안 관리를 강화해야 한다. 예를 들어, 필요한 권한만 활성화하고, IP 화이트리스트를 설정하며, 키를 정기적으로 교체하고, 코드 저장소, 설정 파일, 로그 시스템 등에 민감 정보를 평문으로 저장하지 않도록 해야 한다. 개발 프로세스 및 실행 환경에서는 플러그인 보안 심사, 로그 내 민감 정보 제어, 행동 모니터링 및 감사 메커니즘 등을 통해 구성 정보 유출, 공급망 공격, 비정상 조작 등으로 인한 위험을 낮춰야 한다.
더 광범위한 보안 아키텍처 관점에서, SlowMist는 AI 및 Web3 에이전트 시나리오를 위한 다층 보안 거버넌스 접근법을 제안하였다. 이는 고권한 환경에서 에이전트의 위험을 체계적으로 줄이기 위해 계층화된 방호 체계를 구축하는 것을 목표로 한다. 이 프레임워크에서 L1 보안 거버넌스는 통합된 개발 및 사용 보안 기준선(unified security baseline)을 기반으로 하며, 개발 도구, 에이전트 프레임워크, 플러그인 생태계, 실행 환경을 아우르는 보안 규범을 수립함으로써, 팀이 AI 도구 체인을 도입할 때 통일된 정책 출처 및 감사 기준을 제공한다. 이를 바탕으로 L2는 에이전트 권한 경계를 수렴하고, 도구 호출에 대한 최소 권한 제어를 시행하며, 핵심 행동에 대해 인간-기계 공동 확인(human-in-the-loop) 메커니즘을 도입함으로써, 고위험 작업의 실행 범위를 효과적으로 제한한다. 동시에 L3는 URL, 종속성 저장소, 플러그인 출처 등 외부 리소스를 사전 검사함으로써, 악성 콘텐츠 또는 공급망 오염이 실행 체인에 유입될 확률을 낮춘다. 체인상 거래 또는 자산 조작과 관련된 시나리오에서는 L4에서 체인상 리스크 분석 및 독립 서명 메커니즘을 통해 추가적인 보안 격리를 실현한다. 이를 통해 에이전트는 거래를 구성할 수 있지만, 개인 키에 직접 접근하지 않도록 하여, 고가치 자산 조작으로 인한 시스템 전체의 위험을 줄일 수 있다. 마지막으로 L5는 지속적인 점검, 로그 감사, 주기적 보안 재평가 등 운영 메커니즘을 통해 ‘실행 전에 사전 검사 가능, 실행 중에 제약 가능, 실행 후에 복기 가능’한 폐쇄형 보안 역량을 구축한다. 이러한 계층화된 보안 접근법은 단일 제품이나 도구가 아니라, AI 도구 체인 및 에이전트 생태계를 위한 보안 거버넌스 프레임워크이며, 그 핵심 목표는 개발 효율성과 자동화 능력을 크게 저하시키지 않으면서도, 체계적인 전략, 지속적인 감사, 보안 역량 연동을 통해 팀이 지속 가능하고, 감사 가능하며, 진화 가능한 에이전트 보안 운영 체계를 구축하도록 돕는 것이다. 이를 통해 AI와 Web3의 심층적 융합이라는 급변하는 보안 도전 과제에 효과적으로 대응할 수 있다.
전반적으로 볼 때, AI 에이전트는 Web3 생태계에 높은 수준의 자동화 및 지능화 능력을 가져다주었으나, 그 보안 도전 역시 간과해서는 안 된다. 시스템 설계, 권한 관리, 실행 모니터링 등 여러 측면에서 완전한 보안 메커니즘을 구축해야만, AI 에이전트 기술 혁신을 추진하는 동시에 잠재적 위험을 효과적으로 낮출 수 있다. 본 보고서가 개발자, 플랫폼 운영자, 사용자들이 AI 에이전트 시스템을 구축하고 사용할 때 유용한 참고 자료가 되기를 바라며, 기술 발전을 촉진하는 동시에 보다 안전하고 신뢰할 수 있는 Web3 생태계의 형성을 함께 이끌어가기를 기대한다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
