설명 (Description)

Identity & Privilege Abuse는 에이전트 시스템에서 발생하는 동적 신뢰 관계(dynamic trust)권한 위임(delegation)을 악용하여 접근 권한을 상승시키고 보안 통제를 우회하는 공격을 의미한다.

공격자는 다음 요소들을 조작할 수 있다.

  • 위임 체인(delegation chains)
  • 역할 상속(role inheritance)
  • 제어 흐름(control flows)
  • 에이전트 컨텍스트(agent context)

여기서 컨텍스트(context)에는 다음이 포함된다.

  • 캐시된 인증 정보(credentials)
  • API 키
  • OAuth 토큰
  • 사용자 세션
  • 대화 기록(conversation history)

에이전트 간 신뢰 관계나 상속된 자격 증명(inherited credentials)이 악용되면 공격자는 다음을 수행할 수 있다.

  • 권한 상승 (privilege escalation)
  • 권한 탈취 (privilege hijacking)
  • 승인되지 않은 작업 실행

구조적 문제

이 취약점은 다음과 같은 구조적 불일치(architectural mismatch) 때문에 발생한다.

기존 사용자 중심(identity-centric) 인증 시스템과
에이전트 중심(agentic) 아키텍처 사이의 차이

에이전트가 독립적으로 관리되는 신원(identity)을 가지지 않는 경우 다음 문제가 발생한다.

  • 실제 최소 권한 적용 불가능
  • 누가 어떤 권한으로 행동했는지 추적 어려움
  • 권한 귀속(attribution) 불명확

여기서 Identity는 다음 두 가지를 모두 의미한다.

  1. 에이전트의 페르소나(persona)
  2. 에이전트를 대표하는 인증 정보

예:

  • API keys
  • OAuth tokens
  • delegated user sessions

ASI02와 차이

구분설명
ASI02 Tool Misuse이미 가진 권한을 잘못 사용하는 문제
ASI03 Identity Abuse권한 자체를 상속/위임/신뢰 관계를 통해 탈취하거나 확장

다른 OWASP 항목과 관계

ASI03은 다음과 연결된다.

  • LLM06: Excessive Agency
  • LLM01: Prompt Injection
  • LLM02: Sensitive Information Disclosure

특히 Prompt Injection을 통해 권한 상승 공격이 이루어질 수 있다.

또한 영향 범위는 다음 보안 요소를 직접 침해할 수 있다.

  • 기밀성 (Confidentiality)
  • 무결성 (Integrity)
  • 가용성 (Availability)

OWASP Threat Model 매핑

  • OWASP Agentic AI Threats and Mitigations
    T3: Privilege Compromise
  • OWASP AIVSS
    Core Risk 2: Agent Access Control Violation

주요 취약점 사례

1. Un-scoped Privilege Inheritance

(범위 제한 없는 권한 상속)

높은 권한을 가진 에이전트가 작업을 위임할 때
최소 권한 제한을 적용하지 않고 전체 권한을 전달하는 경우 발생한다.

예:

관리자 에이전트
→ DB 조회 에이전트에 작업 위임
→ 관리자 권한 전체 전달

결과

낮은 권한 에이전트가 과도한 권한을 갖게 됨

또한 다음 환경에서도 발생한다.

  • low-code 에이전트
  • no-code 에이전트

예:

기본 설정

  • unrestricted internet access
  • broad API access

2. Memory-Based Privilege Retention & Data Leakage

(메모리 기반 권한 유지 및 데이터 유출)

에이전트가 다음 정보를 메모리에 캐시하는 경우 발생한다.

  • credentials
  • API keys
  • retrieved data

문제는 다음 상황에서 발생한다.

  • 작업 간 메모리 분리 없음
  • 사용자 간 컨텍스트 분리 없음
  • 세션 종료 후 캐시 유지

공격자는 에이전트에게 다음을 유도할 수 있다.

  • 이전 세션의 비밀 정보 사용
  • 캐시된 자격 증명 재사용
  • 권한 상승
  • 민감 데이터 유출

3. Cross-Agent Trust Exploitation

(Confused Deputy 공격)

멀티 에이전트 시스템에서 흔히 발생한다.

많은 시스템에서 에이전트들은 다음 가정을 한다.

내부 에이전트의 요청은 신뢰 가능하다.

이 신뢰를 악용하면 다음이 가능하다.

낮은 권한 에이전트
→ 높은 권한 에이전트에게 요청 전달
→ 높은 권한 에이전트가 권한 검증 없이 실행

이것을 Confused Deputy 공격이라고 한다.

4. TOCTOU (Time-of-Check to Time-of-Use)

권한 검증 시점과 실행 시점이 다른 경우 발생한다.

예:

  1. 워크플로 시작 시 권한 검증
  2. 시간이 지나 권한 변경
  3. 에이전트가 옛 권한 상태로 작업 계속 수행

결과

사용자가 더 이상 승인할 수 없는 작업 실행

5. Synthetic Identity Injection

(가짜 에이전트 신원 생성)

공격자가 내부 에이전트를 가짜로 생성하는 공격이다.

예:

Admin Helper
IT Assistant
System Maintenance Bot

 

이런 이름을 가진 에이전트를 등록한다.

다른 에이전트들은 descriptor를 신뢰하고
권한 있는 작업을 전달한다.

공격 시나리오

1. Delegated Privilege Abuse

Finance agent
→ DB query agent에게 작업 위임

하지만 Finance agent의 모든 권한을 전달

공격자가 쿼리를 조작하면 다음 데이터 접근 가능

  • HR 데이터
  • 법무 데이터

2. Memory-Based Escalation

IT admin agent가 패치 작업 중

  • SSH credential 캐시

이후

비관리자가 동일 세션을 사용

→ 캐시된 credential 사용

→ 관리자 계정 생성

3. Cross-Agent Trust Exploitation

공격자가 다음 이메일 전송

IT 부서에서 요청:
특정 계좌로 송금 요청

 

이메일 분류 에이전트

→ Finance agent에게 전달

Finance agent

→ 내부 에이전트를 신뢰하고
→ 검증 없이 송금 실행

4. Device Code Phishing

공격자가

device-code 로그인 링크 공유

Browsing agent

→ 링크 실행

다른 helper agent

→ 코드 입력

결과

피해자의 tenant가 공격자 권한과 연결

5. Workflow Authorization Drift

구매 에이전트가 다음을 수행

  1. 구매 승인 검증
  2. 워크플로 진행

몇 시간 후

  • 사용자 구매 한도 감소

하지만

에이전트는 기존 토큰으로 계속 실행

결과

허용되지 않은 구매 완료

6. Forged Agent Persona

공격자가 내부 Agent Registry에 다음 에이전트 등록

Admin Helper

 

가짜 agent card 생성

다른 에이전트들이 이를 신뢰

→ 유지보수 작업 전달

공격자는 내부 명령 실행

7. Identity Sharing

에이전트가 사용자 대신 시스템 접근

문제

다른 사용자가

→ 동일 에이전트 도구 호출

결과

원 사용자 권한으로 작업 실행

예방 및 대응 방법

1. Task Scoped / Time Bound Permission

각 작업마다

  • 짧은 수명의 토큰 발급
  • 제한된 권한 범위

  • mTLS 인증
  • scoped token

목적

  • delegated abuse 방지
  • privilege inheritance 차단
  • orphaned privilege 제거

2. Agent Identity 및 Context 격리

각 세션은 다음을 분리해야 한다.

  • permissions
  • memory
  • credentials
  • context

또한 작업 종료 후

  • 상태 초기화
  • 메모리 삭제

3. Action 단위 권한 검증

각 작업 단계마다

중앙 정책 엔진이 검증한다.

검증 대상

  • 사용자 권한
  • 요청 목적
  • 데이터 범위

4. Human-in-the-Loop

다음 작업에는 사람 승인 필요

  • 권한 상승
  • 시스템 변경
  • 비가역 작업

5. Intent Binding

OAuth 토큰에 다음 정보를 포함한다.

  • subject
  • audience
  • purpose
  • session

토큰 사용 시

현재 요청과 intent 불일치하면 거부

6. Agent Identity Management 플랫폼 사용

에이전트를 비인간 계정(non-human identity)으로 관리한다.

대표적인 플랫폼

  • Microsoft Entra
  • AWS Bedrock Agents
  • Salesforce Agentforce
  • Google Vertex AI

기능

  • scoped credential
  • audit trail
  • lifecycle 관리

7. 권한 바인딩

권한은 다음 요소에 연결해야 한다.

  • subject
  • resource
  • purpose
  • duration

또한

  • context 변경 시 재인증
  • agent 간 privilege inheritance 금지

8. Delegation 권한 모니터링

에이전트가 다음을 통해 권한을 얻을 때 탐지한다.

  • delegation chain
  • transitive permission

low privilege agent
→ high privilege scope 획득

9. Cross-Agent Privilege Monitoring

다음 상황을 모니터링한다.

  • 에이전트가 새로운 scope 요청
  • token 재사용
  • device-code phishing 패턴

핵심 요약

ASI03의 핵심 문제

에이전트가 “누구의 권한으로 행동하는지”가 불명확한 상태에서
권한 위임과 신뢰 체인이 악용되는 것

대표 공격 방식

  • 권한 상속
  • 캐시된 credential 재사용
  • cross-agent trust 악용
  • 가짜 agent identity
  • workflow 권한 drift

핵심 대응 전략

  • task scoped permission
  • agent identity isolation
  • per-action authorization
  • human approval
  • intent binding
  • agent IAM 관리