Agentic AI 시대의 보안 패러다임 전환: Kill Chain에서 Intent 기반으로

AI Agent 시대: Kill Chain이 무너지는 이유

기존 Kill Chain 모델의 전제 (왜 잘 동작했나)

기존 Cyber Kill Chain은 아래와 같은 선형 공격 모델을 가정합니다.

Recon → Initial Access → Execution → Persistence → Lateral Movement → Exfiltration

✔ 공격자는 “외부에서 침투”
✔ 단계별로 점진적 권한 상승
✔ 탐지 포인트가 명확 (각 단계별 이벤트 존재)

👉 그래서 SIEM / EDR / IDS가 단계별 탐지 & 차단 가능했음

AI Agent 등장으로 깨진 전제

“공격자는 더 이상 kill chain을 밟을 필요가 없다… 이미 내부에 있는 AI agent를 장악하면 된다”

내부자 공격 모델로 변질

• AI Agent는 이미 내부 시스템 접근 권한 보유
• API / DB / SaaS / 파일 접근 가능

300x250

👉 공격자가 해야 할 일

Agent를 속이거나 → Agent를 오염시키거나 → Agent를 탈취

👉 결과

Initial Access 단계 자체가 사라짐

공격이 “비선형”으로 변함

기존

단계 순차 진행

AI Agent

목표 기반 행동 (Goal-driven)
→ 중간 단계 생략
→ 동시에 여러 행동 수행

✔ 공격 흐름이 랜덤/동적
✔ 탐지 룰 기반 correlation 실패

👉 실제 분석

• “agentic behavior is not linear”

공격 속도가 인간을 초월

• 정찰, exploit 생성, lateral movement 자동 수행
• reinforcement learning 기반 최적화

👉 결과

탐지 전에 이미 공격 완료

“정상 행위 기반 공격”

가장 위험한 포인트입니다.

예

• 정상 API 호출
• 정상 DB 쿼리
• 정상 SaaS 접근

👉 하지만

• 목적이 공격 (데이터 재조합 / 유출)

✔ EDR/로그 상에서는 이상 없음

👉 실제 사례

• “AI가 정상 동작처럼 보이지만 내부자 공격 역할 수행”

권한 모델 붕괴 (Contextual Privilege Escalation)

AI Agent 특징

• 직접 접근하지 않고 “추론”으로 정보 생성
• 여러 데이터 조합 → 민감 정보 재구성

👉 결과

권한 위반 없이 데이터 유출

✔ 기존 IAM (RBAC/ABAC) 무력화
✔ 접근통제가 아니라 “의도(intent)”가 문제

“Kill Chain 기반 탐지는 구조적으로 실패할 수밖에 없음”

실제 공격 시나리오

시나리오 1: Prompt Injection → 내부 시스템 접근

공격자 → AI Agent에 악성 지시
→ 내부 API 호출
→ 데이터 수집
→ 외부 전송

✔ 로그

• 정상 API 호출만 존재

시나리오 2: Vector DB Poisoning

공격자 → 학습 데이터 오염
→ Agent가 잘못된 판단
→ 내부 권한 확대

시나리오 3: Agent Supply Chain 공격

외부 plugin / skill 삽입
→ Agent 권한 탈취
→ 데이터 탈취

시나리오 4: Multi-Agent 공격 (Swarm)

Agent A → 정찰
Agent B → 데이터 수집
Agent C → 외부 전송

✔ 각각은 정상 행동
✔ 전체는 공격

👉 탐지 난이도 극상

보안 대응 전략 (실무 가이드)

Kill Chain → Intent Chain으로 전환

기존

이벤트 기반 탐지

변경

“왜 이 행동을 했는가?” 추적

👉 핵심 기술

• Intent Tracking
• Context Graph

Agent 행동 통제 (Pre-Execution Control)

예시 (AEGIS 개념)

def validate_tool_call(request):
    if contains_sensitive_data(request):
        require_human_approval()
    if abnormal_pattern(request):
        block()

✔ 실행 전 차단 필수
✔ 실행 후 로그는 의미 없음

Zero Trust for AI Agents

기존

User 중심 Zero Trust

확장

Agent 중심 Zero Trust

체크 포인트

• Agent identity 관리
• Agent 권한 최소화
• Agent 간 호출 제한

Agent Activity Monitoring (행동 기반)

필수 로그

• 어떤 Agent가
• 어떤 데이터 접근했고
• 어떤 목적(context)으로 사용했는지

Prompt / Memory 보안

점검 항목

• Prompt Injection 필터링
• Vector DB 무결성 검증
• Memory poisoning 탐지

Human-in-the-loop 전략

• 금전 처리
• 고객 데이터 접근
• 시스템 변경

👉 반드시 승인 프로세스 필요

“Agent Inventory” 구축 (중요)

반드시 해야 할 것

✔ 조직 내 Agent 목록
✔ 권한 범위
✔ 연결된 시스템
✔ 데이터 접근 범위

이유

• “어떤 Agent가 있는지 모르면 방어 불가”

기존 vs AI Agent 보안 비교

항목	기존 보안	AI Agent 보안
공격 시작	외부	내부
공격 흐름	선형	비선형
탐지 방식	이벤트	의도
권한 모델	RBAC	Context 기반
공격 속도	인간	머신
탐지 가능성	높음	매우 낮음

👉 AI Agent는 단순한 “새로운 공격 도구”가 아니라

보안 모델 자체를 무력화하는 구조적 변화

입니다.

 

특히 보안팀 관점에서 가장 중요한 메시지는

“더 이상 침입을 막는 것이 아니라,
이미 내부에 있는 ‘지능’을 통제해야 한다”