
Overview
OWASP AIVSS(Agentic AI Vulnerability Scoring System), AIUC-1, OWASP AI Exchange, OWASP Citizen Development Top 10가 공동 발행한 v0.8 리포트. Agentic AI 시스템의 핵심 보안 위험 10가지를 정의하는 Part 1과, 이 위험들을 정량적으로 채점하는 AIVSS-Agentic scoring methodology를 다루는 Part 2로 구성.
Key Points
- Agentic AI는 자율적으로 목표를 설정/추구하고, tool을 사용하며, memory와 context를 활용해 행동한다는 실용적 정의를 채택.
- CSA MAESTRO(7-layer 아키텍처)로 위험이 시스템 내 어디서 발생하는지 구조적으로 파악하고, AIVSS는 그 위험을 채점.
- 핵심 개념은 Agentic Risk Amplification: agent의 autonomy, tool 사용, memory 등 능력이 기존 기술적 취약점(CVSS)의 "force multiplier" 역할을 함.
- 최종 점수(AIVSS) = 기술적 심각도(CVSS_Base) + Agentic Uplift(AARS), 여기에 Mitigation Factor 적용.
- 10개 위험 각각에 대해 example attack scenario와 CVSS v4.0 기반 채점 예시 제공.
Details
Part 1. OWASP Agentic AI Core Security Risks (10개 카테고리, 심각도순)
- Agentic AI Tool Misuse: agent의 tool/API 상호작용에서 발생하는 오작동. Tool squatting(가짜 tool 등록), insecure tool interface, tool output 오해석, monitoring/kill switch 부재 등이 핵심 위험. 예: malicious code execution via tool, MCP server를 이용한 backdoor 주입.
- Agent Access Control Violation: agent가 인가 범위를 넘어 동작. Permission escalation, role inheritance exploitation, credential/token mismanagement, confused deputy pattern 등. 예: GitHub Copilot의 EchoLeak(zero-click 데이터 유출).
- Agent Cascading Failures: 한 agent의 compromise가 연결된 여러 시스템으로 확산. Cross-system exploitation, lateral movement, hallucination propagation 등. Tool Misuse/Goal Manipulation/Access Control Violation과 자주 중첩.
- Agent Orchestration and Multi-Agent Exploitation: 여러 agent 간 통신/조율 메커니즘을 노리는 공격. Inter-agent communication exploitation, shared knowledge(RAG/memory) poisoning, session fixation/replay, rogue autonomy.
- Agent Identity Impersonation: agent가 다른 agent 또는 human을 사칭(반대도 포함). Deepfake 기반 CEO fraud, agent-in-the-middle, shared identity pool 악용, DID/VC 부재로 인한 attribution gap.
- Agent Memory and Context Manipulation: agent의 저장된 context/memory 오염. Context amnesia, cross-session leakage, cross-user contamination, RAG data poisoning, missing TTL 등. Agent별 "cognitive resilience" 편차가 취약성에 영향.
- Insecure Agent Critical Systems Interaction: agent가 물리적 인프라/IoT/critical system과 상호작용할 때 발생. SSRF, CI/CD pipeline tampering, agent misconfiguration exploitation. 예: 상수도 처리 시설 sabotage, 데이터센터 물리 침입.
- Agent Supply Chain and Dependency Risk: agent의 pre-trained model, 라이브러리, third-party tool/MCP server 등 구성요소 오염. Package hallucination(존재하지 않는 패키지명을 공격자가 등록), capability creep(vendor의 조용한 권한 확장) 등.
- Agent Untraceability: agent 행동의 sequence/identity/authorization을 추적 불가능한 상태. 동적 role 상속, 분산 로그의 상관관계 부재로 "forensic black hole" 발생. Explainability artifact(SHAP/LIME 등) 조작도 포함.
- Agent Goal and Instruction Manipulation: prompt injection 등으로 agent의 핵심 목표/의사결정 로직 subversion. Semantic ambiguity exploitation, direct/indirect instruction injection, dynamic goal steering, resource exhaustion via goal looping.
Part 2. AIVSS-Agentic Scoring System and Application
이론적 기반: 전통적 취약점은 static impact ceiling을 갖지만, agent의 autonomy/tool 사용/memory 지속성은 기술적 결함의 영향 범위를 증폭시킴("force multiplier"). Core agency, environmental permeability, probabilistic behavior 3가지가 이 증폭을 정당화.
10개 Risk Amplification Factors (각 0.0/0.5/1.0으로 채점):
- Autonomy – human 승인 없이 행동 실행 능력
- Tools – 외부 tool/API 통제 범위와 권한
- Language – 자연어가 control logic을 얼마나 직접 구동하는지
- Context – 환경 신호/데이터 활용 폭
- Non-Determinism – 동일 입력에 대한 출력 변동성
- Opacity – 내부 논리에 대한 가시성/감사 가능성 결여
- Persistence – 세션 간 memory/state 유지 능력
- Identity – 런타임에 다른 역할/권한을 취할 수 있는 능력
- Multi-Agent – 다른 자율 agent와의 조율/의존
- Self-Modification – 자신의 code/prompt/tool 설정을 변경할 수 있는 능력
계산 절차:
Factor_Sum= 10개 요소 점수 합 (최대 10.0)AARS(Agentic Uplift) = (10 - CVSS_Base) * (Factor_Sum / 10) * ThM- ThM(Threat Multiplier): Attacked=1.00, PoC=0.97(기본값), Unreported=0.50
AIVSS_raw = (CVSS_Base + AARS) * Mitigation_Factor- Mitigation_Factor: No/Weak=1.00(기본값), Partial=0.83, Strong=0.67(하한선)
AIVSS = RoundHalfUp(AIVSS_raw, 1)- CVSS 입력은 반드시 v4.0 기준(v3.1과 혼용 불가). Subsequent System Impact(SC/SI/SA) metric이 agentic 시나리오에서 특히 중요.
Severity Band: Critical(9.0-10.0), High(7.0-8.9), Medium(4.0-6.9), Low(0.1-3.9). CVSS 기준선이 낮아도 agentic 증폭으로 최종 점수가 크게 상승할 수 있음(예: Goal Manipulation CVSS 2.1 → AIVSS 7.1). 이 경우 개선 방향은 취약점 patching보다 autonomy/tool scope/memory retention 등 architectural 제약이 더 효과적.
10개 위험 채점 예시 요약 (CVSS_Base → AIVSS, Severity):
- Tool Misuse: 9.4 → 9.9 (Critical)
- Access Control Violation: 8.7 → 9.7 (Critical)
- Cascading Failures: 7.1 → 9.4 (Critical)
- Orchestration Exploitation: 9.4 → 10.0 (Critical)
- Identity Impersonation: 7.4 → 9.3 (Critical)
- Memory Manipulation: 5.8 → 8.9 (High)
- Critical Systems Interaction: 6.9 → 9.2 (Critical)
- Supply Chain Risk: 9.3 → 9.7 (Critical)
- Untraceability: 5.3 → 8.3 (High)
- Goal Manipulation: 2.1 → 7.1 (High)
Implementation Guide: 조직은 시스템 아키텍처 이해, agentic AI 개념 전문성, AI/ML 보안 지식을 사전 요건으로 갖추고, AI Security Lead/Assessor, Agent 개발자, SecOps/GRC, Risk Management/Compliance Officer, CISO, AI Reliability & Policy Engineer 등 역할을 배정해 평가 수행. 아키텍처 변경, threat landscape 변화, 정기 review cycle 발생 시 재평가 필요. AI Governance Board와 AI Risk Classification Committee를 통한 release gate/approval mechanism 권장. NIST AI RMF, ISO/IEC 27001/27002, ISO/IEC 23894 등 기존 risk framework와 연동 가능.
부록: JSON schema(Appendix A), OWASP GenAI/LLM Agentic AI Top 10 2026과의 매핑(Appendix B), CSA MAESTRO layer 매핑(Appendix C), 2025년 12월 contributor survey 결과(Appendix D) - survey에서는 Agent Access Control Violation이 가장 심각한 위험으로, Agent Untraceability와 Cascading Failures가 상대적으로 낮은 순위로 평가됨(다만 이는 downstream/compounding risk 특성 때문으로 해석).
Conclusion
- Agentic AI 시스템의 보안 위험은 agent의 autonomy, tool 접근, memory persistence 등에 의해 기존 기술적 취약점보다 훨씬 크게 증폭될 수 있음.
- AIVSS는 CVSS를 baseline으로 삼고 10개 agentic factor로 우측 보정(uplift)하는 방식으로 이를 정량화.
- 높은 uplift가 관찰되면 patch보다 architectural constraint(autonomy 축소, tool scope 제한, memory isolation, human oversight 강화)가 우선되어야 함.
- 본 문서는 living document로, 향후 지속적 업데이트와 커뮤니티 피드백을 통해 개정될 예정.
Reference
- OWASP AIVSS Project
- AIVSS-AIUC-1 Crosswalk
- CSA MAESTRO Framework
- CVSS v4.0 Specification, FIRST.org
- NIST AI Risk Management Framework
- MITRE ATLAS
- OWASP Agentic AI Top 10 for 2026
- OWASP MAS Threat Modeling
- CSA and OWASP AI Exchange Agentic AI Red Teaming Guide
- Digital Identity Rights Framework (DIRF)
'AI Agent Security' 카테고리의 다른 글
| OWASP Top 10 for Agentic Applications 2026 (0) | 2026.06.24 |
|---|---|
| AI Agent의 OAuth Token 관리 - 2 or 3 Legged OAuth (2LO, 3LO) (0) | 2026.06.17 |
| Security Implementation in Enterprise Agent Platform (0) | 2026.06.11 |
| Microsoft Multi-Agent Reference Architecture (0) | 2026.06.08 |
| Agentic Network: Gateway 디자인 패턴 (0) | 2026.06.07 |