우리에게 답은 '새로운 것이 없음'이었고, 그 점이 핵심이었다

이 요약은 AI가 원문을 분석해 생성했습니다. 정확한 내용은 원문 기준으로 확인하세요.

TL;DR

대화형 AI 에이전트를 기존 제품에 통합할 때 새 권한 키를 발급하는 대신 에이전트가 기존 REST API와 동일한 권한 경계를 사용하도록 구성하면 보안 위험을 크게 줄일 수 있다. 핵심은 에이전트 세션이 JWT로부터 사용자의 조직·역할 컨텍스트를 이어받고, 모든 툴 호출이 공통 도메인 서비스(예: AccessScopeService)를 거쳐 where-clause 수준에서 조직·역할 필터를 적용받도록 하는 것이다. 이 접근 방식은 프롬프트 인젝션 방어에서 중요한 차이를 만든다. 모델에게 '다른 조직을 보지 말라'고 지시하는 시스템 프롬프트에 의존하는 대신, 쿼리 레이어가 이미 조직 격리를 보장하므로 모델 입력이 우회해도 데이터 접근 권한을 넘어설 수 없다. 또한 읽기와 쓰기를 분리해 읽기는 자동 스코핑으로 처리하고, 삭제·재할당 등 민감한 쓰기는 사용자 확인을 거쳐 실행하도록 인간 검증 루프를 적용한다. 그 결과 동일한 권한 서비스를 중심으로 내부 직원용, 고객용, 익명 프리세일즈용 등 서로 다른 신뢰 레벨의 에이전트를 하나의 엔진으로 운영할 수 있어 권한 로직 중복을 피하고 유지보수 부담을 줄인다. 다만 쓰기 작업의 경우 사람 확인이 필요해 자동화의 속도·편의성과 책임성 사이의 트레이드오프가 존재한다.

실용적 조언

에이전트 세션마다 JWT로 사용자의 조직·역할 컨텍스트를 스레딩해 에이전트가 '사용자처럼' 행동하게 구성하면 권한 범위를 벗어나는 데이터 접근을 방지할 수 있다.
툴 호출은 직접 DB 접근이 아니라 공통 도메인 서비스(예: AccessScopeService)를 통해 라우팅하고, 그곳에서 WHERE 절 수준의 조직·역할 필터를 주입해 데이터 레이어에서 권한을 강제할 것.
삭제·재할당·설정 변경 같은 민감한 쓰기 작업은 에이전트 제안 → 사용자 승인 → 도메인 서비스 실행 순으로 인간 확인을 요구하도록 워크플로를 설계할 것.

섹션별 상세

대화형 에이전트를 별도 권한 집합으로 운영하면 권한 오용·보안 버그 범주가 새로 생긴다는 문제를 제기하며, 이를 해결하기 위해 에이전트 세션이 JWT로부터 서명된 사용자 컨텍스트를 이어받아 실행되도록 설계했다. 내부적으로는 로그인된 사용자의 조직·역할·부서 정보가 에이전트의 모든 툴 호출에 전파되어, 호출 시점에 해당 사용자 컨텍스트가 도구들로 주입된다. 원문은 'the agent acts as you'를 근거로 들며 실제 호출 예시로 'show me my open leads' 같은 툴 호출이 사용자의 범위로 스코핑된다고 적시했다. 이렇게 하면 에이전트가 사용자 권한을 넘어선 데이터를 조회할 수 없으므로 권한 위반 위험이 실무적으로 제거된다.

툴 호출은 데이터베이스를 직접 조회하는 방식이 아니라 기존 도메인 서비스(예: AccessScopeService)를 경유하게 설계해 권한 필터를 한곳에서 적용하도록 했다. 구체적으로 도구가 실행되면 도메인 서비스가 역할 기반 필터를 삽입해 쿼리의 WHERE organizationId = … 같은 절을 주입하고, 결과적으로 모델이나 프롬프트가 임의로 데이터를 조합해 접근 범위를 넓힐 수 없게 한다. 게시물은 이 아키텍처가 프롬프트 인젝션을 막는 근거라고 명시하며, 데이터 레이어에서의 권한 강제화가 효과적임을 근거로 제시한다. 결과적으로 권한 로직의 중복을 피하고 유지보수성을 높이는 실무적 효과가 발생한다.

테넌시(조직 분리)와 관련해서는 프롬프트 수준의 안내문이나 시스템 프롬프트에 의존하지 않고 구조적(코드)으로 격리하는 접근을 택했다. 작동 방식은 요청이 도메인 서비스로 전달될 때 이미 조직 스코프가 적용된 쿼리만 내려가도록 하는 것으로, 모델에게 '다른 조직을 보지 말라'고 말하는 대신 데이터 접근 자체를 차단한다. 글에서는 이 차이가 프롬프트 인젝션의 우회 가능성을 사실상 제거한다고 지적하며, 실무적으로는 더 강한 신뢰 경계를 제공한다고 의미를 부여했다. 따라서 보안은 모델 입력이 아니라 데이터 쿼리 레이어에서 확보된다는 결론이 도출된다.

민감한 쓰기 작업은 자동 실행을 멈추고 사용자 확인을 요구하는 인간 개입 루프를 두어 위험을 낮췄다. 판독(read) 요청은 자동으로 역할 스코프가 적용되지만 삭제·재할당·퍼블리시 같은 쓰기 작업은 에이전트가 제안한 변경을 사용자에게 명시적으로 승인받은 뒤에 도메인 서비스에서 적용한다. 이 방식은 에이전트가 권한 범위를 넘어서 의도치 않은 변경을 일으킬 가능성을 줄이며, 감사·검증 로그를 남겨 규정 준수를 돕는 실무적 장점이 있다. 따라서 읽기·쓰기별 신뢰 정책을 분리하는 트레이드오프가 형성된다.

하나의 권한 중심 아키텍처로 내부 직원용, 로그인 고객용, 익명 프리세일즈용 등 서로 다른 신뢰 레벨의 에이전트를 동일 코드베이스로 지원할 수 있다는 점을 제시했다. 구현은 공통 도메인 서비스에 역할·정책을 주입하는 방식으로, 내부에서는 폭넓은 RBAC을 적용하고 고객 콘시어지는 CUSTOMER 역할로 잠그며, 익명 봇은 플랫폼의 읽기 전용 합성 신원을 사용해 퍼블릭 데이터만 제공한다. 이 구조는 권한 로직을 포크하지 않으므로 권한 정책의 일관성과 유지보수 비용 절감이라는 실무적 이익을 만든다. 결과적으로 에이전트 확장 시 보안 규칙 재검토와 중복 구현을 피할 수 있다.

실무 Takeaway

에이전트를 별도 권한 집합으로 구성하지 말고 JWT로 사용자 컨텍스트를 이어받아 동일한 권한 경계를 적용하면 권한 오남용 위험이 구조적으로 제거된다.
데이터 레이어(예: 도메인 서비스의 WHERE절)에서 조직·역할 필터를 주입하면 프롬프트 인젝션으로 인한 데이터 유출을 방지할 수 있으므로 권한 검사는 UI·프롬프트가 아니라 쿼리 레이어에서 수행해야 한다.
민감한 쓰기 작업은 에이전트가 제안한 변경을 사용자 확인 후 실행하도록 인간 검증 루프를 넣어 자동화의 리스크를 낮출 것.
공유 가능한 AccessScopeService 같은 단일 권한 서비스에 의존하면 내부·고객·익명 등 서로 다른 신뢰 레벨의 에이전트를 하나의 엔진으로 운영할 수 있어 권한 로직 중복을 피한다.

언급된 도구

AccessScopeService추천

도메인 서비스 레벨에서 역할·조직 스코프 필터를 주입해 모든 툴 호출에 동일한 권한을 적용

JWT추천

세션과 툴 호출에 사용자의 조직·역할·부서 같은 컨텍스트를 서명된 토큰으로 전달해 에이전트가 사용자 권한을 상속하도록 함

Prisma중립

쿼리 레이어에서 where-clause를 통해 조직 필터를 적용하는 ORM 도구(본문에서 쿼리 수준 권한 주입의 예로 언급)