SkCC: 프레임워크 간 호환 가능한 LLM 에이전트 스킬을 위한 이식성 및 보안 컴파일러

LLM 에이전트가 사용하는 기술(Skill)은 프롬프트 형식에 따라 성능 차이가 최대 40%까지 발생하지만, 기존에는 각 플랫폼에 맞춰 수동으로 재작성해야 했습니다. SkCC는 이를 해결하기 위해 하나의 소스로 여러 에이전트 프레임워크에 최적화된 형식을 자동 생성하고 보안 취약점까지 사전에 차단하는 컴파일러 기반의 새로운 접근 방식을 제시합니다.

기존의 LLM 에이전트 스킬은 단순한 Markdown 파일로 관리되어, 특정 모델이 선호하는 구조적 특징을 반영하기 어려웠다. 이는 마치 고수준 언어 없이 기계어만으로 프로그래밍하는 것과 같아 유지보수가 어렵고 보안에 취약했다. SkCC는 고전적인 컴파일러 이론을 에이전트 프롬프트 공학에 도입하여 이 문제를 해결한다.

컴파일러가 소스 코드를 추상 구문 트리(AST)로 변환하듯, SkCC는 SKILL.md 파일을 파싱하여 SkIR이라는 중간 표현으로 정형화한다. 이 과정에서 각 데이터의 타입과 실행 로직이 엄격하게 구분된다. 이렇게 구조화된 데이터는 특정 모델의 '입맛'에 맞는 최종 프롬프트로 변환되는데, 예를 들어 XML 태그를 잘 이해하는 Claude에게는 XML 계층 구조로, 중첩 데이터 파싱에 강한 모델에게는 YAML 형식으로 출력한다.

결과적으로 개발자는 모델마다 프롬프트를 고칠 필요 없이 논리적 기능에만 집중할 수 있으며, 컴파일러가 모델별 최적의 '바이너리(최적화된 프롬프트)'를 생성함으로써 실행 효율과 정확도를 동시에 확보하게 된다.

SkCC는 4단계 파이프라인을 통해 스킬을 컴파일한다. 첫 번째 Frontend 단계에서는 SKILL.md 파일을 읽어 YAML 메타데이터와 Markdown 본문을 분리하고 원시 AST를 생성한다. 두 번째 IR Construction 단계에서는 이를 SkIR로 변환하며, 이때 중첩 데이터의 깊이를 감지하여 최적화 플래그를 설정한다.

세 번째 Analyzer 단계에서는 보안 및 의미론적 검증을 수행한다. Anti-Skill Injection 모듈이 작동하여 HTTP 요청, 데이터베이스 조작, 무한 루프 등 위험 패턴을 스캔한다. [위험 패턴 감지 → 대응하는 제약 조건 생성 → SkIR의 제약 조건 배열에 추가 → 모델이 실행 시 해당 지침을 강제로 따르게 함] 순으로 보안을 강화한다. 마지막 Backend 단계에서는 다형성 Emitter를 통해 각 플랫폼(Claude Code, Codex CLI 등)에 최적화된 최종 결과물을 방출한다.

특히 수치적 최적화를 위해 중첩 깊이가 3 이상인 데이터는 JSON 대신 YAML로 렌더링한다. [중첩 깊이 계산 → 임계값 비교 → YAML 변환 여부 결정 → 파싱 정확도 향상] 과정을 거치며, 이는 JSON 대비 약 8.8%p 이상의 파싱 정확도 이득을 제공한다.

SkillsBench 벤치마크 실험 결과, SkCC로 컴파일된 스킬은 원본 대비 일관된 성능 향상을 보였다. Claude Code에서는 통과율(Pass Rate)이 21.1%에서 33.3%로 상승했으며, Kimi CLI에서는 35.1%에서 48.7%로 크게 개선되었다. 이는 모델의 학습 데이터 분포와 일치하는 구조적 프롬프트가 모델의 추론 능력을 극대화함을 증명한다.

효율성 측면에서도 뛰어난 성과를 거두었다. 컴파일된 스킬은 구조적 명확성 덕분에 모델의 시행착오를 줄여 실행 단계에서 10~46%의 토큰 절감 효과를 가져왔다. 또한 전체 컴파일 과정은 스킬당 평균 10ms 미만의 지연 시간만을 발생시켜 실무 적용에 무리가 없음을 확인했다.

보안 실험에서는 233개의 커뮤니티 스킬 중 94.8%에서 잠재적 위험을 감지하고 방어 기제를 주입하는 데 성공했다. 이는 모델 자체의 판단에 의존하는 런타임 보안 방식보다 훨씬 안정적이고 선제적인 방어 수단을 제공한다.

SkCC 아키텍처의 핵심은 SkIR(Skill Intermediate Representation)이다. SkIR은 메타데이터, 인터페이스(MCP), 보안 제약, 실행 로직 등 6개 카테고리로 스킬을 정형화한다. 이는 LLVM의 IR과 유사하게 프론트엔드와 백엔드를 완전히 분리하여 확장성을 확보한다.

보안 메커니즘인 Anti-Skill Injection은 AST 순회(Traversal) 방식을 사용한다. 특정 키워드(예: DROP, DELETE)가 발견되면 IR의 제약 조건 배열에 '사용자 확인 필수'와 같은 지침을 강제로 삽입한다. 이는 LLM이 악의적인 지시를 그대로 따르는 경향을 컴파일 수준에서 차단하는 'Fail-fast' 설계를 따른다.

구현 측면에서 SkCC는 Rust 언어로 작성되어 높은 성능과 메모리 안전성을 보장한다. Arc을 활용한 제로 카피 문자열 공유와 Askama 템플릿 엔진을 통한 컴파일 타임 타입 체크를 통해 대규모 스킬 코퍼스 처리 시에도 낮은 메모리 점유율(50MB 이하)을 유지한다.

본 논문은 주로 정적인 프롬프트 형식 최적화와 보안에 집중하고 있으며, 실행 중 발생하는 동적인 피드백을 통한 의미론적 최적화는 향후 과제로 남겨두고 있다. 또한 현재 지원하는 4종의 에이전트 프레임워크 외에 더 다양한 환경에서의 검증이 필요하다.