부제 : LLM Top 10 (2025)과 Agentic Top 10 (2026)을 활용한 체크리스트 들어가며 생성형 AI(Generative AI) 워크로드의 양상이 빠르게 변화하고 있습니다. 현재 많은 프로덕션 환경에서 이미 멀티 에이전트 기반의 AI 워크로드가 수행되고 있으며, 이는 AI 애플리케이션의 주요 특징으로 자리잡아 가고 있습니다. 여러 에이전트가 목표를 분담하고, 도구를 호출하며, 서로 협업하고, 독립적으로 의사결정을 내리는 환경에서는 기존 단일 […] ||
부제 : LLM Top 10 (2025)과 Agentic Top 10 (2026)을 활용한 체크리스트
들어가며
생성형 AI(Generative AI) 워크로드의 양상이 빠르게 변화하고 있습니다. 현재 많은 프로덕션 환경에서 이미 멀티 에이전트 기반의 AI 워크로드가 수행되고 있으며, 이는 AI 애플리케이션의 주요 특징으로 자리잡아 가고 있습니다. 여러 에이전트가 목표를 분담하고, 도구를 호출하며, 서로 협업하고, 독립적으로 의사결정을 내리는 환경에서는 기존 단일 LLM 애플리케이션과는 다른 보안 과제가 생겨납니다.
이에 OWASP GenAI Security Project는
OWASP Top 10 for LLM Applications 2025 외에, 에이전트 환경에 주목한
OWASP Top 10 for Agentic Applications 2026을 핵심 프레임워크로 추가 발표했습니다(2025년 12월 공개, Black Hat Europe 기간에 맞춰 런던 OWASP 행사에서 소개). 전자가 프롬프트 인젝션, 민감정보 노출, 출력 검증 등 LLM 계층의 기본 위험을 다룬다면, 후자는 에이전트 목표 탈취, 메모리 오염, 연쇄 장애, 에이전트 간 통신 보안 등 자율성에서 비롯되는 위험을 다룹니다.
이 블로그에서는 위 두 프레임워크를 기반으로, GenAI 애플리케이션의 보안 수준을 체계적으로 평가할 수 있는 100개의 어세스먼트 질문을 제시합니다. LLM 계층의 기본 보안부터 멀티 에이전트 환경의 자율성 보안까지, 보안팀과 개발팀이 함께 활용하여 현재 시스템의 보안 갭을 식별하고 우선순위에 따라 개선할 수 있도록 구성했습니다.
GenAI 전용 보안 어세스먼트의 필요성
기존 애플리케이션 보안 어세스먼트(OWASP Top 10 for Web Applications 등)만으로는 GenAI 시스템의 고유한 위험을 충분히 다룰 수 없습니다. 그 이유는 다음과 같습니다.
첫째, LLM은 지시(instruction)와 데이터(data)를 구조적으로 분리하지 못합니다. 이로 인해 프롬프트 인젝션이라는 새로운 유형의 공격이 가능해집니다. OWASP는 이를 LLM01:2025 Prompt Injection으로 분류하며, 직접 인젝션과 간접 인젝션 모두를 포함합니다.
둘째, 자율형 멀티 에이전트 시스템은 단일 LLM 호출과는 근본적으로 다른 위협 모델을 요구합니다. 에이전트들이 팀 단위로 목표를 분담하고, 독립적으로 도구를 호출하며, 공유 메모리를 통해 협업하고, 다른 에이전트에게 작업을 위임하는 환경에서는 한 에이전트의 손상이 전체 워크플로로 전파됩니다. OWASP Agentic Top 10은 이러한 현실을 반영하여 에이전트 목표 탈취(ASI01), 도구 오용(ASI02), 메모리 오염(ASI06), 연쇄 장애(ASI08), 로그 에이전트(ASI10) 등을 별도로 정의합니다.
셋째, GenAI 시스템의 공급망은 정적 구성요소(모델 가중치, 라이브러리)를 넘어 런타임에 동적으로 구성되는 요소(MCP 서버, 외부 에이전트, 도구 디스크립터)까지 포함합니다. 에이전트가 런타임에 도구를 탐색하고 연결하는 환경에서는 공급망 공격의 범위가 실시간으로 변화합니다.
OWASP 매핑 참조표
아래 표는 OWASP 프레임워크의 각 항목이 본 어세스먼트의 어느 영역에 매핑되는지를 보여줍니다.
OWASP Top 10 for LLM Applications 2025
코드
명칭
질문지 영역
OWASP 기반 GenAI 보안 실무 점검 가이드
생성 일시
2026/04/01 07:06
최종 편집 일시
2026/04/01 07:06
태그
AWS
파일과 미디어