AI 에이전트 소유권은 신뢰의 기본 요소입니다
2026년 5월 15일, 네게브 벤구리온 대학교, 노스이스턴 대학교, 암리타 비슈와 비디야피탐 연구진은 에이전트 귀속을 관찰된 AI 에이전트 상호작용을 호스팅 공급업체의 책임 계정과 연결하는 문제로 정의했습니다.1
표현만 보면 좁은 문제처럼 들립니다. 하지만 실제 문제는 전혀 좁지 않습니다. 에이전트는 사용자에게 스팸을 보내고, 시스템을 스크래핑하고, 지원 담당자를 사칭하고, 사이버 작업을 실행하고, 도구를 호출하고, 비용을 쓰고, 인프라를 변경할 수 있습니다. 피해를 입은 쪽은 그 행동을 보지만, 그 에이전트를 배포한 운영자가 누구인지는 알 수 없습니다.1
AI 에이전트 소유권은 빠져 있던 신뢰의 기본 요소입니다. 모든 자율 행동은 책임 계정, 실행 회차, 권한 범위, 사람 또는 조직 소유자, 중지 경로에 연결되어야 합니다. 로그는 무슨 일이 일어났는지를 알려줍니다. 소유권은 누가 그 일에 답할 수 있는지를 알려줍니다.
요약
에이전트 보안은 도구 권한, 실행 중 후크, 최종 답변의 증거에서 멈출 수 없습니다. 이런 통제는 중요하지만, 책임의 핵심 질문에는 답하지 못합니다. 실행 중인 에이전트는 누가 소유하나요?
새 에이전트 귀속 논문은 카나리아를 사용해 관찰된 유해 상호작용을 공급업체의 실행 회차와 계정에 연결하는 공급업체 매개 프로토콜을 제안합니다.1 이 연구는 악용 대응과 법적 책임을 겨냥합니다. 제품 팀에는 자기 시스템 안에서 매일 쓸 수 있는 더 작은 버전이 필요합니다. 모든 에이전트 실행은 계정, 실행 회차, 권한 범위, 도구 활동, 검토 경로, 비상 중지 장치를 연결하는 소유권 기록을 가져야 합니다.
핵심 내용
에이전트 플랫폼 팀에게: - 소유권을 청구 뒤처리 항목이 아니라 실행 중 필드로 다루세요. - 모든 에이전트 실행에 소유자, 계정, 실행 회차, 도구 범위, 중지 제어를 붙이세요.
보안 팀에게: - 소유권 없는 로그는 사고 대응을 늦춥니다. 로그 없는 소유권은 증거를 약하게 만듭니다. - 둘 다 요구하세요. 행동 추적 기록과 책임 계정 경로가 함께 있어야 합니다.
제품 팀에게: - 사용자를 대신해 누가 또는 무엇이 행동하는지 사용자에게 보여주세요. - 위임된 행동과 위임된 책임을 분리하세요.
정책 및 신뢰 팀에게: - 귀속은 무분별한 신원 노출이 아니라 승인된 대응을 위해 설계하세요. - 피해를 멈추고, 악용을 검토하며, 적법 절차를 존중할 수 있을 만큼 기록하세요.
소유권은 프로필 이름이 아닙니다
대부분의 제품은 이미 어떤 형태의 정체성을 보여줍니다. 채팅 창에는 작업 공간, 사용자 아바타, 봇 이름, API 키 라벨, 조직이 표시될 수 있습니다. 이런 표면 정보는 사람이 상황을 이해하는 데 도움이 되지만, 소유권을 증명하지는 못합니다.
에이전트 소유권에는 더 엄격한 계약이 필요합니다.
| 필드 | 답해야 하는 질문 |
|---|---|
| 계정 | 어떤 고객, 작업 공간, 또는 공급업체 계정이 이 실행 비용을 부담했나요? |
| 실행 회차 | 어떤 구체적인 실행이 이 행동을 만들었나요? |
| 운영자 | 어떤 사람, 서비스, 또는 정책이 작업을 위임했나요? |
| 권한 범위 | 에이전트가 어떤 도구, 키, 예산, 리소스를 사용할 수 있었나요? |
| 행동 추적 기록 | 어떤 프롬프트, 승인, 도구 호출, 출력, 네트워크 결정이 있었나요? |
| 중지 경로 | 누가 이 실행을 일시 중지, 취소, 제한, 종료할 수 있나요? |
| 검토 경로 | 불만이나 경고가 들어온 뒤 누가 조사할 수 있나요? |
이 목록이 운영적으로 보이는 이유는 소유권 자체가 운영적인 개념이기 때문입니다. 에이전트가 나쁜 메시지 2,000개를 보내거나 서드파티 엔드포인트를 과도하게 두드리는 상황에서는 라벨이 도움이 되지 않습니다. 대응 팀에는 실행 회차, 계정, 권한 범위, 중지 경로가 필요합니다.
에이전트 키에는 위험 예산이 필요합니다는 권한 쪽을 다룹니다. 키는 좁고 서버가 강제하는 기능만 부여해야 합니다. 소유권은 책임 쪽을 다룹니다. 그 권한의 모든 사용은 책임 기록으로 되돌아갈 수 있어야 합니다.
귀속 논문이 더하는 것
이 논문은 에이전트 운영자라면 금방 알아볼 빈틈을 정식으로 다룹니다. 피해자는 에이전트의 행동을 봅니다. 공급업체는 모델 호출과 계정 로그를 봅니다. 어느 한쪽도 혼자서는 두 시야를 모두 보지 못합니다.1
제안된 프로토콜은 카나리아로 두 시야를 연결합니다. 승인된 주체가 의심 에이전트가 소비할 가능성이 큰 콘텐츠에 표지를 심습니다. 에이전트가 그 콘텐츠를 공급업체가 호스팅하는 모델 호출로 전달하면, 공급업체는 좁은 시간대의 실행 로그를 검색해 카나리아를 찾고, 실행 회차를 복구한 뒤, 그 실행 회차를 계정에 연결할 수 있습니다.1
논문은 쉬운 경우와 어려운 경우를 구분합니다.
| 환경 | 실용적인 카나리아 형태 | 작동하는 이유 |
|---|---|---|
| 비적대적 오용 | 어휘 표지, 식별자, 또는 고유 문자열 | 에이전트가 콘텐츠를 걸러내지 않고 모델에 전달합니다. |
| 적대적 악용 | 효용을 가진 어휘 또는 의미 카나리아 | 카나리아를 제거하면 에이전트가 필요로 하는 콘텐츠도 함께 제거됩니다. |
| 공급업체 대응 | 좁은 시간대 로그 검색 | 공급업체는 모든 과거 로그가 아니라 주입 시점 근처의 실행 회차만 검색합니다. |
효용을 가진다는 발상이 중요합니다. 사기 에이전트는 대상의 감정 단서가 필요할 수 있습니다. 웹 에이전트는 눈에 보이는 페이지 콘텐츠가 필요할 수 있습니다. 사이버 에이전트는 파일 이름과 응답 산출물이 필요할 수 있습니다. 운영자가 너무 공격적으로 걸러내면, 귀속 증거와 함께 에이전트의 작업 성능도 떨어집니다.1
이 논문의 사이버 에이전트 실험은 그 절충을 구체적으로 보여줍니다. 카나리아를 의식한 공격자가 작업 관련 산출물을 제거하는 방식으로 억제를 적용했을 때, 에이전트의 해결률은 51%에서 9%로 떨어졌습니다. 파일 이름과 눈에 보이는 본문 식별자는 각각 77%와 70%의 귀속 증거를 보존했고, 의미 카나리아는 적대적 의미 추적에서 최소 98%의 참양성률에 도달했습니다.1
이 숫자를 제품 홍보 문구로 삼으면 안 됩니다. 논문은 특정 에이전트, 래퍼, 카나리아 계열을 테스트했습니다. 그래도 교훈은 남아야 합니다. 귀속은 에이전트가 실제로 필요로 하는 콘텐츠 위에 신호가 올라탈 때 가장 잘 작동합니다.
로그는 필요하지만 충분하지 않습니다
OpenAI의 Codex 안전 글은 성숙한 통제 형태를 설명합니다. 제한된 실행, 승인, 관리되는 네트워크 정책, 자격 증명 저장소, 규칙, 관리형 설정, 에이전트 네이티브 원격 측정이 그것입니다.2 원격 측정에는 사용자 프롬프트, 승인 결정, 도구 실행 결과, MCP 서버 사용, 네트워크 프록시 허용 또는 거부 이벤트에 대한 OpenTelemetry 기록이 포함됩니다.2
OpenAI는 의심스러운 엔드포인트 경고 주변에서 원래 요청, 도구 활동, 승인 결정, 도구 결과, 네트워크 정책 결정을 살피기 위해 Codex 로그를 사용하는 보안 분류 작업 흐름도 설명합니다.2
이 증거는 필요합니다. 그래도 소유권이 필요합니다.
도구 추적 기록은 이렇게 말할 수 있습니다.
| 추적 증거 | 빠져 있는 소유권 질문 |
|---|---|
| 에이전트가 셸 도구를 호출했습니다 | 어떤 계정이 실행을 승인했나요? |
| 에이전트가 네트워크 차단에 걸렸습니다 | 어떤 정책 소유자가 이 차단을 검토할 수 있나요? |
| 에이전트가 승인을 요청했습니다 | 누가 승인을 부여, 거절, 또는 위임했나요? |
| 에이전트가 MCP 서버를 사용했습니다 | 어떤 작업 공간이 그 서버를 설정했나요? |
| 에이전트가 출력을 만들었습니다 | 어떤 운영자가 릴리스 책임을 받아들이나요? |
에이전트 실행 추적 기록은 실행 중 계약입니다는 추적 기록이 경로를 증명한다고 주장합니다. 소유권은 그 경로 뒤의 책임 주체를 증명합니다. 강한 시스템에는 실행 회차 수준에서 결합된 두 기록이 모두 필요합니다.
Codex는 이 문제가 더 이상 이론이 아님을 보여줍니다
OpenAI의 5월 14일 Codex 발표는 400만 명이 넘는 사람이 매주 Codex를 사용한다고 말하며, 사용자가 휴대폰에서 출력을 검토하고, 명령을 승인하고, 모델을 바꾸고, 작업을 시작하고, 스크린샷, 터미널 출력, 차이점, 테스트 결과, 승인을 따라갈 수 있는 모바일 작업 흐름을 설명합니다.3 같은 발표는 Remote SSH가 정식 출시되어 Codex가 원격 머신과 관리형 환경 안에서 스레드를 실행할 수 있게 되었다고 말합니다.3
이 제품 형태는 에이전트 작업을 기기, 머신, 스레드, 승인, 자격 증명, 로컬 도구 전반으로 밀어냅니다. 하나의 에이전트 실행에는 노트북, 휴대폰 승인, 원격 호스트, 프로젝트, 플러그인, 브라우저, 셸, 버전 관리 작업이 함께 들어갈 수 있습니다.
소유권 기록은 실행과 함께 이동해야 합니다. 그렇지 않으면 시스템은 “어떤 명령이 실행되었나?”에는 답하면서도 “그 명령이 실행될 때 누가 그 실행을 소유했나?”를 잃어버릴 수 있습니다.
Codex 후크는 하네스를 현실로 만듭니다는 후크, 승인, git 관리 원칙, 증거, 판단력을 에이전트 작업 주변의 운영 계층으로 보았습니다. 소유권도 같은 계층에 속합니다. 후크는 위험한 행동을 막을 수 있습니다. 추적 기록은 완료된 행동을 설명할 수 있습니다. 소유권은 두 결과 모두에 답할 수 있는 계정과 운영자에게 실행을 연결합니다.
실행 중 소유권 계약
팀이 모든 내부 작업에 전체 카나리아 귀속 프로토콜을 적용할 필요는 없습니다. 문제가 생기기 전에 귀속을 일상화하는 일차 제품 소유권 계약이 필요합니다.
에이전트 실행마다 하나의 기록부터 시작하세요.
| 소유권 기록 필드 | 최소 동작 |
|---|---|
run_id |
에이전트 실행 회차 또는 작업의 안정적인 ID입니다. |
account_id |
실행을 소유하는 고객, 작업 공간, 테넌트, 또는 조직입니다. |
operator_id |
실행을 시작한 사람, 서비스, 예약 작업, 또는 정책입니다. |
delegation_source |
UI 클릭, API 호출, 예약 규칙, 모바일 승인, 또는 자동화 토큰입니다. |
authority_bundle |
도구, 키, 범위, 예산, 쓰기 가능한 루트, 네트워크 정책, 데이터 도메인입니다. |
approval_events |
누가 무엇을 언제 어떤 정책 아래 승인했는지입니다. |
trace_pointer |
프롬프트, 도구 호출, 출력, 오류, 네트워크 결정으로 이어지는 링크입니다. |
stop_controls |
일시 중지, 취소, 제한, 격리, 종료 제어입니다. |
review_owner |
악용, 안전, 보안, 또는 품질 검토를 받는 팀이나 대기열입니다. |
retention_policy |
기록을 얼마나 오래 보관하고 누가 접근할 수 있는지입니다. |
이 기록은 채팅 기록 아래, 원시 인프라 로그 위에 있어야 합니다. 제품 지원 팀이 사용할 수 있어야 합니다. 보안 팀도 사용할 수 있어야 합니다. 컴플라이언스 팀도 사용할 수 있어야 합니다. 엔지니어링 팀은 롤백 중에 사용할 수 있어야 합니다.
필드 이름보다 중요한 것은 불변 조건입니다. 책임 있는 실행 기록 없는 에이전트 행동은 없어야 합니다.
소유권에는 개인정보 경계가 필요합니다
귀속을 기본적으로 모두의 신원을 드러내도 된다는 허가로 다루면 악용될 수 있습니다. 소유권 논문은 이 위험을 직접 언급하며, 승인되고 감사 가능한 권한 주체, 정책상 자격, 법적 절차를 중심으로 프로토콜을 구성합니다.1
제품 팀도 같은 절제를 따라야 합니다.
| 경계 | 제품 규칙 |
|---|---|
| 접근 | 승인된 검토자만 소유자 기록을 살필 수 있습니다. |
| 목적 | 악용, 안전, 보안, 지원, 컴플라이언스, 또는 사고 대응에만 사용합니다. |
| 공개 | 외부 공개에는 정책, 절차, 또는 법적 근거가 필요합니다. |
| 최소화 | 피해를 멈추고 실행을 검토할 만큼만 저장하세요. 모든 사적인 세부 정보를 영원히 저장하지 마세요. |
| 감사 | 모든 소유권 조회와 모든 공개를 로그로 남기세요. |
소유권이 무분별한 감시가 되어서는 안 됩니다. 강한 귀속은 피해자, 플랫폼, 공급업체, 운영자에게 대응 경로를 줍니다. 약한 거버넌스는 같은 기본 요소를 또 다른 신뢰 문제로 바꿉니다.
설계 원칙은 단순합니다. 모든 에이전트가 시스템에 책임을 지게 만들고, 모든 소유권 조회가 정책에 책임을 지게 만드세요.
소유권은 기존 에이전트 통제 어디에 들어가나요?
소유권은 나머지 스택을 대체하지 않습니다.
OpenAI의 Agents SDK 발표는 같은 계층적 형태를 가리킵니다. SDK는 에이전트에게 통제된 작업 공간, 파일 및 도구 검사, MCP, 스킬, AGENTS.md, 셸, 패치 적용, 샌드박스 실행, 매니페스트 기반 작업 공간을 제공합니다.4 AgentTrust는 보완적인 보안 주장을 합니다. 도구 호출을 실행 전에 검사하고 허용, 경고, 차단, 검토 같은 구조화된 판정을 반환하라는 것입니다.5
그 시스템들은 에이전트가 다음에 무엇을 할 수 있는지 결정합니다. 소유권은 그 실행에 누가 답하는지 결정합니다.
| 통제 | 역할 | 소유권이 더하는 것 |
|---|---|---|
| 범위가 제한된 키 | 에이전트가 할 수 있는 일을 제한합니다 | 어떤 계정과 운영자가 그 범위를 부여했는지 |
| 실행 중 후크 | 위험한 행동을 가로챕니다 | 어떤 실행이 후크를 촉발했는지 |
| 승인 기준 | 사람의 판단을 더합니다 | 누가 어떤 권한 확장을 승인했는지 |
| 실행 추적 기록 | 무슨 일이 일어났는지 보여줍니다 | 누가 추적 기록을 소유하고 누가 조치할 수 있는지 |
| 검토 묶음 | 증거를 묶습니다 | 어떤 소유자가 결과를 받아들이는지 |
| 모델 도구 | 형식화된 추정값을 생성합니다 | 어떤 시스템이 모델 권한을 위임했는지 |
AI 에이전트는 모델을 호출해야 합니다는 에이전트가 추정값을 지어내지 말고 훈련된 모델을 호출해야 한다고 주장합니다. 소유권은 같은 규율을 권한으로 확장합니다. 시스템은 어떤 행동이 사람의 클릭에서 왔는지, 에이전트 실행 회차에서 왔는지, 모델 도구에서 왔는지, 예약 자동화에서 왔는지, 위임된 정책에서 왔는지 알아야 합니다.
이 구분은 사용자를 보호합니다. 사용자는 어떤 행동이 자신에게서 왔는지, 자기 계정 아래에서 동작하는 어시스턴트에게서 왔는지, 조직 정책에서 왔는지, 침해된 자동화에서 왔는지 추측해야 해서는 안 됩니다.
에이전트에는 감독 표면이 필요합니다는 이 문제의 사용자 대면 측면을 다룹니다. 소유권은 그 표면 아래의 기록을 제공합니다. 검토 묶음은 새로운 최종 답변입니다는 완료 산출물을 다룹니다. 소유권은 그 산출물을 수락, 거절, 또는 취소할 수 있는 주체를 제공합니다.
결정 규칙
다른 사람이나 외부 시스템에 영향을 줄 수 있는 에이전트를 배포하기 전에 한 가지 질문을 하세요.
내일 누군가 이 에이전트에 대해 불만을 제기한다면, 우리는 실행 회차, 계정, 권한 범위, 승인 이벤트, 그리고 그것을 멈출 수 있는 사람이나 팀을 식별할 수 있나요?
답이 아니오라면, 그 에이전트는 프로덕션에 준비되지 않은 것입니다.
제품에는 이미 로그가 있을 수 있습니다. 이미 권한이 있을 수 있습니다. 모델이 올바르게 행동하라고 말하는 프롬프트가 이미 있을 수 있습니다. 하지만 그 조각들이 하나의 책임 기록으로 결합되기 전까지는 소유권이 아닙니다.
에이전트 소유권은 요청 ID, 감사 로그, API 키만큼 자연스러워져야 합니다. 이 일이 관료적으로 들릴 수는 있습니다. 하지만 대안은 더 나쁩니다. 자율 시스템이 행동할 수 있는데, 그 행동에 아무도 답할 수 없는 상태가 되기 때문입니다.
FAQ
AI 에이전트 소유권이란 무엇인가요?
AI 에이전트 소유권은 에이전트 행동을 해당 실행에 책임이 있는 계정, 실행 회차, 운영자, 권한 범위, 추적 기록, 중지 경로와 연결하는 실행 중 기록입니다.
에이전트 소유권은 에이전트 귀속과 어떻게 다른가요?
에이전트 소유권은 일차 제품 계약입니다. 시스템은 실행 전과 실행 중에 소유권을 기록합니다. 에이전트 귀속은 피해를 입은 쪽이 소유자를 이미 알지 못하는 상황에서, 관찰된 유해 행동을 책임 있는 공급업체 계정에 연결하는 더 어려운 사후 문제를 해결합니다.1
로그만으로는 왜 실패하나요?
로그는 명령, 도구 호출, 승인, 네트워크 결정을 보여줄 수 있습니다. 하지만 누가 실행을 위임했는지, 누가 권한 범위를 소유했는지, 누가 에이전트를 멈추거나 검토할 수 있는지 답하지 못하면 로그는 실패합니다.
공급업체는 요청하는 누구에게나 에이전트 소유자를 공개해야 하나요?
아니요. 소유권 조회에는 승인된 접근, 정책상 자격, 감사가 필요합니다. 외부 공개에는 적절한 절차가 필요합니다. 귀속은 조회 경로 자체에 거버넌스가 있을 때만 신뢰를 보호합니다.1
최소 프로덕션 요건은 무엇인가요?
외부 시스템에 영향을 줄 수 있는 모든 에이전트 실행에는 실행 ID, 계정 ID, 운영자 ID, 권한 묶음, 승인 기록, 추적 기록 포인터, 중지 제어, 검토 소유자, 보존 정책이 있어야 합니다.
참고 문헌
-
Ruben Chocron, Doron Jonathan Ben Chayim, Eyal Lenga, Gilad Gressel, Alina Oprea, and Yisroel Mirsky, “Who Owns This Agent? Tracing AI Agents Back to Their Owners,” arXiv:2605.16035v1, submitted May 15, 2026. 에이전트 귀속의 정의, 공급업체 호스팅 LLM 위협 모델, 카나리아 기반 귀속 프로토콜, 어휘 및 의미 카나리아 분류, 효용 회피 절충, 사이버 에이전트 평가 수치, 제한된 시간대 검색 속성, 한계, 승인되고 감사 가능한 권한 주체를 둘러싼 윤리적 틀의 출처입니다. ↩↩↩↩↩↩↩↩↩↩
-
OpenAI, “Running Codex safely at OpenAI,” OpenAI, May 8, 2026. Codex 샌드박스, 승인, 관리되는 네트워크 정책, 신원 및 자격 증명 제어, 관리형 설정, OpenTelemetry 이벤트, Compliance Platform 로그, 보안 분류에서 OpenAI가 Codex 로그를 사용하는 방식의 출처입니다. ↩↩↩
-
OpenAI, “Work with Codex from anywhere,” OpenAI, May 14, 2026. Codex 주간 사용량, 모바일 제어, 원격 머신 연결, 스레드와 승인 전반의 실시간 상태, 스크린샷, 터미널 출력, 차이점, 테스트 결과, Remote SSH 정식 출시, 후크 정식 출시, 프로그래밍 방식 접근 토큰의 출처입니다. ↩↩
-
OpenAI, “The next evolution of the Agents SDK,” OpenAI, April 15, 2026. Agents SDK 모델 네이티브 에이전트 루프, 통제된 작업 공간, 파일 및 도구 검사, MCP, 스킬, AGENTS.md, 셸, apply_patch, 네이티브 샌드박스 실행, 매니페스트 추상화, 에이전트 오케스트레이션과 컴퓨팅 환경 분리의 출처입니다. ↩
-
Chenglin Yang, “AgentTrust: Runtime Safety Evaluation and Interception for AI Agent Tool Use,” arXiv:2605.04785v1, submitted May 6, 2026. 실행 전 도구 호출 가로채기, 허용/경고/차단/검토 판정, 셸 난독화 해제, RiskChain 탐지, 벤치마크 범위, MCP 서버 통합의 출처입니다. ↩