Amazon Bedrock AgentCore의 Policy를 활용한 AI 에이전트 보안 강화

이 요약은 AI가 원문을 분석해 생성했습니다. 정확한 내용은 원문 기준으로 확인하세요.

핵심 요약

AI 에이전트는 자율적으로 도구를 호출하고 데이터에 접근하므로, 전통적인 소프트웨어보다 보안 위험이 크다. 특히 LLM의 환각이나 프롬프트 인젝션 취약점 때문에 에이전트 내부 로직만으로는 완벽한 보안을 보장하기 어렵다. Amazon Bedrock AgentCore의 Policy는 에이전트 외부의 Gateway 계층에서 Cedar 정책 언어를 사용하여 모든 도구 호출을 가로채고 검증한다. 이를 통해 사용자 ID 기반의 세밀한 접근 제어와 비즈니스 규칙을 결정론적으로 강제할 수 있다. 이 방식은 에이전트의 추론 능력과 보안 정책을 완전히 분리하여, 규제가 엄격한 산업군에서도 안전하고 감사 가능한 AI 에이전트 배포를 가능하게 한다.

배경

AWS 계정 및 Amazon Bedrock 서비스 접근 권한, IAM 정책 및 ARN 구조에 대한 기본 이해, 기본적인 AI 에이전트 및 도구 호출(Tool Use) 개념

대상 독자

규제 산업에서 AI 에이전트를 프로덕션에 배포하려는 보안 엔지니어 및 LLM 애플리케이션 개발자

의미 / 영향

이 기술은 AI 에이전트의 자율성과 보안 사이의 충돌을 해결하는 중요한 아키텍처적 진보를 보여준다. 보안 정책을 모델의 추론과 분리함으로써 기업은 AI의 유연성을 활용하면서도 전통적인 소프트웨어 수준의 엄격한 보안 통제와 감사 능력을 유지할 수 있게 된다.

섹션별 상세

AI 에이전트 보안의 근본적인 한계는 LLM의 비결정론적 특성에 기인한다. LLM은 신뢰할 수 있는 지침과 외부 데이터를 명확히 구분하지 못해 프롬프트 인젝션 공격에 취약하며, 이를 애플리케이션 코드 내에서만 방어하려고 하면 보안 경계가 불분명해지고 감사가 어려워진다.

Amazon Bedrock AgentCore Policy는 보안 정책을 에이전트 외부로 완전히 분리한다. 에이전트와 도구 사이의 Gateway에서 모든 요청을 가로채 Cedar 정책 엔진을 통해 평가하므로, 에이전트 코드의 버그나 모델의 오작동 여부와 상관없이 독립적인 보안 계층이 작동한다.

에이전트와 도구 사이의 Gateway에서 Policy가 트래픽을 가로채는 개념도 — Diagram에이전트가 도구를 호출할 때 Gateway를 반드시 거치게 되며, 이때 Policy 엔진이 결정론적 규칙을 적용하여 요청을 허용하거나 차단하는 구조를 보여준다. 이는 보안 경계가 에이전트 외부에서 독립적으로 작동함을 시각화한다.

Cedar 정책 언어는 기계 효율적이며 인간이 감사하기 쉬운 구조를 제공한다. 'Default Deny(기본 거부)' 원칙과 'Forbid wins over Permit(차단 우선)' 규칙을 따르며, 루프가 없는 구조 덕분에 실행 지연 시간이 매우 짧고 안전한 평가가 가능하다.

정책 작성의 편의성을 위해 세 가지 방식을 지원한다. 자연어 설명을 Cedar 코드로 자동 변환하는 기능, 폼 기반 인터페이스, 그리고 직접적인 Cedar 코드 작성을 통해 보안 전문가부터 개발자까지 요구사항에 맞는 정책을 신속하게 구현할 수 있다.

의료 예약 에이전트 사례를 통해 실질적인 보안 시나리오를 구현한다. 환자가 본인의 데이터만 조회하도록 제한하는 ID 기반 정책, 읽기 권한(fhir:read)이 있는 사용자만 접근을 허용하는 권한 분리, 특정 시간 외 작업을 차단하는 리스크 제어 등을 통해 다층적 방어 체계를 구축한다.

cedar

permit(
    principal,
    action == AgentCore::Action::"Target1___getPatient",
    resource == AgentCore::Gateway::"{gateway_arn}"
)
when {
    principal.hasTag("role") && principal.getTag("role") == "patient" &&
    context.input has patient_id &&
    principal.hasTag("patient_id") &&
    context.input.patient_id == principal.getTag("patient_id")
};

환자가 자신의 ID와 일치하는 기록만 조회할 수 있도록 허용하는 Cedar 정책 예시

의료 예약 에이전트의 전체 보안 아키텍처 — DiagramAmazon Cognito를 통한 인증, AgentCore Gateway를 통한 정책 강제, 그리고 AWS HealthLake와의 연동 과정을 상세히 보여준다. 특히 인증 정보(Identity)가 정책 평가에 어떻게 활용되는지 아키텍처 수준에서 설명한다.

정책 적용 시 'LOG_ONLY' 모드를 제공하여 실제 트래픽을 차단하지 않고 정책의 동작을 먼저 검증할 수 있다. 관찰 로그를 통해 에이전트의 동작이 예상과 일치하는지 확인한 후 'Enforce' 모드로 전환하여 실시간 차단을 활성화함으로써 운영 안정성을 확보한다.

cedar

forbid(
    principal,
    action == AgentCore::Action::"Target1___getSlots",
    resource == AgentCore::Gateway::"{gateway_arn}"
)
when {
    context.input has date_string &&
    (context.time.hour < 9 || context.time.hour > 21)
};

진료 시간(09:00-21:00) 외에는 예약 슬롯 조회를 명시적으로 차단하는 정책 예시

실무 Takeaway

에이전트 내부 로직에 보안을 의존하지 말고, AgentCore Gateway 수준에서 외부 정책을 강제하여 보안의 결정론적 신뢰성을 확보해야 한다.
자연어를 Cedar 정책으로 변환하는 기능을 활용하면 복잡한 비즈니스 규칙을 빠르게 정형화된 보안 정책으로 구현하고 검증할 수 있다.
기본 거부(Default Deny) 전략을 채택하고 민감한 작업에는 명시적 차단(Forbid) 규칙을 적용하여 에이전트가 손상되더라도 피해를 최소화하는 다층 방어 체계를 설계해야 한다.

언급된 리소스

GitHubAmazon Bedrock AgentCore Samples GitHub

문서Policy Developer Guide