저자: SlowMist, Bitget Research Institute
I. 배경
대규모 모델 기술의 급속한 발전과 함께 AI 에이전트는 단순한 지능형 비서에서 자율적으로 작업을 수행할 수 있는 자동화 시스템으로 점차 진화하고 있습니다. 이러한 변화는 특히 웹3 생태계에서 두드러지게 나타나고 있습니다. 점점 더 많은 사용자들이 시장 분석, 전략 생성, 자동 거래 등에 AI 에이전트를 활용하는 실험을 진행하면서 "24시간 연중무휴 자동 거래 도우미"라는 개념이 현실에 한 걸음 더 가까워지고 있습니다. 바이낸스와 OKX가 다양한 AI 스킬을 출시한 데 이어, 비트겟(Bitget) 또한 스킬 리소스 사이트인 에이전트 허브(Agent Hub)를 선보였습니다. 에이전트는 거래 플랫폼 API, 온체인 데이터, 시장 분석 도구에 직접 접근하여 이전에는 수동 개입이 필요했던 거래 의사 결정 및 실행 작업을 어느 정도 수행할 수 있게 되었습니다.
기존 자동화 스크립트와 비교했을 때, AI 에이전트는 더욱 강력한 자율적 의사 결정 능력과 복잡한 시스템 상호 작용 기능을 갖추고 있습니다. 시장 데이터에 접근하고, 거래 API를 호출하고, 계좌 자산을 관리할 뿐만 아니라, 플러그인이나 스킬을 통해 기능 생태계를 확장할 수도 있습니다. 이러한 향상된 기능은 자동 거래의 진입 장벽을 크게 낮춰, 더 많은 일반 사용자가 자동 거래 도구를 이용할 수 있도록 해줍니다.
하지만 기능을 확장한다는 것은 공격 표면도 확장한다는 것을 의미합니다.
기존 거래 시나리오에서 보안 위험은 일반적으로 계정 자격 증명, API 키 유출 또는 피싱 공격과 같은 문제에 집중되었습니다. 그러나 AI 에이전트 아키텍처에서는 새로운 위험이 나타나고 있습니다. 예를 들어, 프롬프트 주입은 에이전트의 의사 결정 로직에 영향을 미칠 수 있고, 악성 플러그인이나 스킬은 공급망 공격의 새로운 진입점이 될 수 있으며, 부적절한 런타임 환경 구성은 민감한 데이터 또는 API 권한의 악용으로 이어질 수 있습니다. 이러한 문제들이 자동 거래 시스템과 결합될 경우, 잠재적 영향은 정보 유출을 넘어 실제 자산 손실로 이어질 수 있습니다.
한편, 점점 더 많은 사용자가 AI 에이전트를 거래 계정에 통합함에 따라 공격자들도 이러한 변화에 빠르게 적응하고 있습니다. 에이전트 사용자를 대상으로 하는 새로운 사기 수법, 악성 플러그인 포이즈닝, API 키 오용 등이 점차 새로운 보안 위협으로 대두되고 있습니다. 웹3 환경에서 자산 거래는 종종 고가이며 되돌릴 수 없는 성격을 띠는데, 자동화 시스템이 오용되거나 잘못 조작될 경우 이러한 위험의 영향이 더욱 증폭될 수 있습니다.
이러한 배경에서 SlowMist와 Bitget은 공동으로 본 보고서를 발간하여 보안 연구 및 거래 플랫폼 실무를 바탕으로 다양한 시나리오에서 AI 에이전트의 보안 문제를 체계적으로 검토했습니다. 본 보고서가 사용자, 개발자 및 플랫폼에 보안 관련 통찰력을 제공하여 보안과 혁신의 균형을 이루는 더욱 견고한 AI 에이전트 생태계 발전을 촉진하는 데 도움이 되기를 바랍니다.
II. AI 에이전트의 실제 보안 위협 | SlowMist
인공지능 에이전트의 등장으로 소프트웨어 시스템은 "인간 주도 운영"에서 "모델 기반 의사 결정 및 실행"으로 전환되었습니다. 이러한 아키텍처 변화는 자동화 기능을 크게 향상시키지만 공격 표면 또한 확대합니다. 현재 기술적 관점에서 일반적인 AI 에이전트 시스템은 사용자 상호작용 계층, 애플리케이션 로직 계층, 모델 계층, 도구 호출 계층(도구/스킬), 메모리 시스템 및 기본 실행 환경을 포함한 여러 구성 요소로 이루어져 있습니다. 공격자는 단일 모듈을 표적으로 삼기보다는 여러 계층을 통해 에이전트의 동작 제어에 점진적으로 영향을 미치려고 시도하는 경우가 많습니다.
1. 입력 조작 및 프롬프트 주입 공격
AI 에이전트 아키텍처에서 사용자 입력과 외부 데이터는 종종 모델 컨텍스트에 직접 통합되므로 프롬프트 주입은 중요한 공격 방법이 됩니다. 공격자는 에이전트가 실행되어서는 안 되는 동작을 수행하도록 유도하는 특정 명령어를 구성할 수 있습니다. 예를 들어, 어떤 경우에는 채팅 명령만으로도 에이전트가 위험한 시스템 명령을 생성하고 실행하도록 유도할 수 있습니다.
보다 정교한 공격 방법으로는 간접 주입이 있는데, 공격자는 웹 페이지 콘텐츠, 문서 또는 코드 주석 내에 악성 명령어를 숨깁니다. 에이전트가 작업 실행 중에 이러한 콘텐츠를 읽을 때, 이를 정상적인 명령어로 오인할 수 있습니다. 예를 들어, 플러그인 문서, README 파일 또는 Markdown 파일에 악성 명령어를 삽입하면 에이전트가 환경 초기화 또는 종속성 설치 중에 악성 코드를 실행할 수 있습니다.
이 공격 패턴의 특징은 기존의 취약점에 의존하지 않고, 오히려 모델의 컨텍스트 정보에 대한 신뢰 메커니즘을 이용하여 동작 논리에 영향을 미친다는 점입니다.
2. 스킬/플러그인 생태계의 공급망 오염
현재 AI 에이전트 생태계에서 플러그인과 스킬 시스템(스킬/MCP/툴)은 에이전트 기능을 확장하는 중요한 수단입니다. 그러나 이러한 플러그인 생태계는 공급망 공격의 새로운 진입점으로 떠오르고 있습니다.
SlowMist가 OpenClaw의 공식 플러그인 센터인 ClawHub를 모니터링한 결과, 개발자 수가 증가함에 따라 악성 스킬이 침투하기 시작한 것으로 나타났습니다. 400개 이상의 악성 스킬에 대한 침해지표(IOC)를 분석한 결과, 많은 샘플이 소수의 고정 도메인을 가리키거나 동일한 IP 주소 아래의 여러 임의 경로를 가리키는 등 리소스 재사용 특성을 보였습니다. 이는 집단 기반의 대규모 공격과 유사한 양상을 나타냅니다.
OpenClaw의 Skill 시스템에서 핵심 파일은 일반적으로 SKILL.md입니다. 기존 코드와 달리 이러한 마크다운 파일은 종종 "설치 지침" 및 "초기화 진입점" 역할을 합니다. 그러나 에이전트 생태계 내에서는 사용자가 이러한 파일을 직접 복사하여 실행하는 경우가 많아 완전한 실행 체인을 형성합니다. 공격자는 curl | bash를 사용하거나 Base64 인코딩을 통해 실제 명령어를 숨기는 등 악성 명령어를 종속성 설치 단계로 위장하여 사용자가 악성 스크립트를 실행하도록 쉽게 유도할 수 있습니다.
실제 사례에서 일부 스킬은 전형적인 "2단계 로딩" 전략을 사용합니다. 1단계 스크립트는 2단계 페이로드를 다운로드하고 실행하는 역할만 담당하므로 정적 사이트 탐지 성공률이 낮아집니다. 예를 들어 다운로드량이 많은 "X(트위터) 트렌드" 스킬은 SKILL.md 파일에 Base64로 인코딩된 명령어를 숨겨 놓습니다.
해독해 보면, 그 핵심은 원격 스크립트를 다운로드하고 실행하는 것임을 알 수 있습니다.
이 프로그램의 두 번째 단계는 시스템 팝업 창을 위장하여 사용자 암호를 획득하고, 로컬 정보, 바탕 화면 문서, 시스템 임시 디렉터리의 다운로드 디렉터리에 있는 파일을 수집한 다음, 이를 패키징하여 공격자가 제어하는 서버에 업로드하는 것입니다.
이 공격 방식의 핵심적인 장점은 Skill 셸 자체가 비교적 안정적으로 유지되는 반면, 공격자는 원격 페이로드만 변경하여 공격 로직을 지속적으로 업데이트할 수 있다는 점입니다.
3. 에이전트 의사 결정 및 작업 오케스트레이션 계층 위험
AI 에이전트의 애플리케이션 로직 계층에서 작업은 일반적으로 모델에 의해 여러 실행 단계로 분할됩니다. 공격자가 이러한 분할 과정에 영향을 미칠 수 있다면, 에이전트가 정상적인 작업을 수행하는 동안 비정상적인 동작을 보일 수 있습니다.
예를 들어, 자동 배포 또는 온체인 거래와 같이 여러 단계를 거치는 비즈니스 프로세스에서 공격자는 주요 매개변수를 변조하거나 논리적 판단을 방해하여 에이전트가 실행 과정 중에 대상 주소를 바꾸거나 추가 작업을 수행하도록 만들 수 있습니다.
SlowMist에 대한 이전 보안 감사에서 악의적인 메시지가 MCP로 반환되어 컨텍스트를 오염시키고, 이로 인해 에이전트가 온체인 전송을 실행하기 위해 지갑 플러그인을 호출하도록 유도하는 것으로 나타났습니다.
이러한 유형의 공격의 특징은 오류가 모델 생성 코드에서 발생하는 것이 아니라 작업 오케스트레이션 로직이 변조되어 발생한다는 점입니다.
4. IDE/CLI 환경에서의 개인정보 및 민감정보 유출
AI 에이전트가 개발 지원 및 자동화된 작업에 널리 사용됨에 따라, 많은 에이전트가 IDE, CLI 또는 로컬 개발 환경에서 실행되고 있습니다. 이러한 환경에는 일반적으로 .env 구성 파일, API 토큰, 클라우드 서비스 자격 증명, 개인 키 파일 및 다양한 액세스 키와 같은 많은 양의 민감한 정보가 포함되어 있습니다. 에이전트가 작업 실행 중에 이러한 디렉터리 또는 색인화된 프로젝트 파일에 접근하게 되면, 의도치 않게 민감한 정보를 모델 컨텍스트에 유입시킬 수 있습니다.
일부 자동화된 개발 프로세스에서 에이전트는 디버깅, 로그 분석 또는 종속성 설치 중에 프로젝트 디렉터리의 구성 파일을 읽을 수 있습니다. 명시적인 무시 정책이나 접근 제어가 없으면 이 정보가 로그에 기록되거나 원격 모델 API로 전송되거나 악성 플러그인에 의해 유출될 수도 있습니다.
또한 일부 개발 도구는 에이전트가 코드 저장소를 자동으로 스캔하여 컨텍스트 메모리를 구축할 수 있도록 허용하는데, 이로 인해 민감한 데이터 노출 범위가 확대될 가능성이 있습니다. 예를 들어, 개인 키 파일, 니모닉 구문 백업, 데이터베이스 연결 문자열 또는 타사 API 토큰 등이 인덱싱 프로세스 중에 읽힐 수 있습니다.
이 문제는 개발자들이 테스트용 개인 키, RPC 토큰 또는 배포 스크립트를 로컬에 저장하는 경우가 많은 Web3 개발 환경에서 특히 두드러집니다. 악성 스킬, 플러그인 또는 원격 스크립트가 이러한 정보를 획득할 경우 공격자는 개발자의 계정이나 배포 환경을 장악할 가능성이 있습니다.
따라서 AI 에이전트가 IDE/CLI와 통합되는 시나리오에서는 데이터 유출 위험을 줄이기 위해 명확한 민감 디렉터리 무시 정책(예: .agentignore, .gitignore 메커니즘)을 수립하고 권한 격리 조치를 취하는 것이 중요합니다.
5. 모델 수준의 불확실성 및 자동화 위험
AI 모델은 완전히 결정론적인 시스템이 아니며, 그 출력은 어느 정도 확률적 불안정성을 나타냅니다. 이는 "모델 착각"이라고 불리는 현상으로, 정보가 부족할 때 모델이 겉보기에는 그럴듯해 보이지만 실제로는 오류가 있는 결과를 생성하는 경우를 말합니다. 기존 응용 분야에서는 이러한 오류가 일반적으로 정보의 품질에만 영향을 미치지만, AI 에이전트 아키텍처에서는 모델 출력이 시스템의 동작을 직접적으로 유발할 수 있습니다.
예를 들어, 어떤 경우에는 모델이 프로젝트 배포 시 실제 매개변수를 조회하지 못하고 잘못된 ID를 생성한 후 배포 프로세스를 계속 진행하는 경우가 있습니다. 이와 유사한 상황이 온체인 거래나 자산 운용에서 발생할 경우, 이러한 잘못된 결정은 돌이킬 수 없는 재정적 손실로 이어질 수 있습니다.
6. Web3 시나리오에서의 고가치 운영 위험
기존 소프트웨어 시스템과 달리 Web3 환경에서의 많은 작업은 되돌릴 수 없습니다. 예를 들어 온체인 전송, 토큰 스왑, 유동성 공급, 스마트 계약 호출 등은 일단 거래가 서명되어 네트워크에 전송되면 취소하거나 롤백하기가 어렵습니다. 따라서 AI 에이전트를 사용하여 온체인 작업을 수행할 경우 보안 위험이 더욱 커집니다.
일부 실험적인 프로젝트에서 개발자들은 자동 차익거래, 자금 관리 또는 DeFi 운영과 같은 온체인 거래 전략 실행에 에이전트가 직접 참여할 수 있도록 하는 방안을 모색하기 시작했습니다. 그러나 에이전트가 작업 분할 또는 매개변수 생성 과정에서 프롬프트 단어 삽입, 컨텍스트 오염 또는 플러그인 공격의 영향을 받는 경우, 거래 대상 주소를 변경하거나, 거래 금액을 조작하거나, 거래 과정 중에 악성 계약을 실행할 수 있습니다. 더욱이 일부 에이전트 프레임워크는 플러그인이 지갑 API 또는 서명 인터페이스에 직접 접근할 수 있도록 허용합니다. 서명 격리 또는 수동 확인 메커니즘이 없는 경우, 공격자는 악의적인 스킬을 사용하여 자동 거래를 실행할 수도 있습니다.
따라서 웹3 환경에서 AI 에이전트를 자산 관리 시스템에 완전히 연동하는 것은 위험 부담이 큰 설계입니다. 일반적으로 더 안전한 접근 방식은 에이전트가 거래 제안이나 서명되지 않은 거래 데이터만 생성하고, 실제 서명 과정은 독립적인 지갑이나 수동 검증을 통해 처리하는 것입니다. 또한, 주소 평판 확인, 자금세탁방지(AML) 위험 관리, 거래 시뮬레이션과 같은 메커니즘을 결합하면 자동 거래와 관련된 위험을 어느 정도 완화할 수 있습니다.
7. 높은 권한으로 실행함으로써 발생하는 시스템 수준의 위험
실제 환경에서 사용되는 많은 AI 에이전트는 로컬 파일 시스템 접근, 셸 명령 실행, 심지어 루트 권한으로 실행되는 등 높은 시스템 권한을 가지고 있습니다. 에이전트의 동작이 조작되면 그 영향은 단일 애플리케이션을 훨씬 넘어 광범위하게 미칠 수 있습니다.
SlowMist는 OpenClaw를 Telegram과 같은 인스턴트 메시징 소프트웨어와 연동하여 원격 제어를 구현하는 테스트를 진행했습니다. 공격자가 제어 채널을 장악할 경우, 해당 에이전트는 임의의 시스템 명령을 실행하고, 브라우저 데이터를 읽고, 로컬 파일에 접근하고, 심지어 다른 애플리케이션까지 제어할 수 있습니다. 플러그인 생태계와 도구 호출 기능을 갖춘 이러한 유형의 에이전트는 이미 어느 정도 "지능형 원격 제어"의 특징을 지니고 있습니다.
요약하자면, AI 에이전트에 대한 보안 위협은 더 이상 기존의 소프트웨어 취약점에만 국한되지 않고, 모델 상호작용 계층, 플러그인 공급망, 실행 환경, 자산 운영 계층 등 다양한 영역에 걸쳐 발생합니다. 공격자는 프롬프트를 통해 에이전트 동작을 조작하거나, 악의적인 기술이나 종속성을 이용하여 공급망 계층에 백도어를 심고, 높은 권한 환경에서 공격의 영향력을 더욱 증폭시킬 수 있습니다. 웹3 환경에서는 온체인 작업의 비가역성과 실제 자산 가치와의 연관성 때문에 이러한 위험이 더욱 커집니다. 따라서 AI 에이전트의 설계 및 사용에 있어 기존의 애플리케이션 보안 전략에만 의존하는 것은 새로운 공격 표면을 완벽하게 방어하기에 불충분하며, 접근 제어, 공급망 관리, 거래 보안 메커니즘과 같은 영역에서 보다 체계적인 보안 시스템을 구축해야 합니다.
III. AI 에이전트 거래 보안 모범 사례 | Bitget
인공지능(AI) 에이전트의 능력이 향상됨에 따라, 단순히 정보를 제공하거나 의사결정을 지원하는 단계를 넘어 시스템 운영에 직접 참여하고 온체인 거래까지 실행하기 시작했습니다. 이러한 변화는 특히 암호화폐 거래 시나리오에서 두드러지게 나타나고 있습니다. 점점 더 많은 사용자들이 시장 분석, 전략 실행, 자동 거래에 AI 에이전트를 활용하는 실험을 진행하고 있습니다. 에이전트가 거래 인터페이스에 직접 접속하고, 계좌 자산에 접근하여 자동으로 주문을 체결할 수 있게 되면, 보안 문제는 "시스템 보안 위험"에서 "실제 자산 위험"으로 전환됩니다. 실제 거래에서 AI 에이전트를 사용할 때, 사용자는 어떻게 자신의 계좌와 자금을 보호해야 할까요?
이를 바탕으로 Bitget 보안팀이 거래 플랫폼의 실제 경험을 토대로 작성한 이 섹션에서는 계정 보안, API 권한 관리, 자금 격리, 거래 모니터링 등 다양한 측면을 다루며 자동 거래를 위한 AI 에이전트 사용 시 중점적으로 고려해야 할 핵심 보안 전략을 체계적으로 소개합니다.
1. AI 에이전트 거래 시나리오의 주요 보안 위험
위협 유형 | 구체적인 증상 | 심각성 |
무단 접근 | 낯선 사람이 에이전트를 작동시켜 예상치 못한 거래를 실행하게 합니다. | 🔴 매우 높음 |
신속 주사 | 시장 데이터/뉴스/캔들스틱 차트 주석에 악의적인 지시가 포함되어 있어 거래자들이 비정상적인 주문을 내도록 조작할 수 있습니다. | 🔴 매우 높음 |
권한 도구 남용 | 과도하게 승인된 API 키가 현금 인출 및 대규모 이체에 사용되었습니다. | 🔴 매우 높음 |
네트워크 노출 | IP 주소 화이트리스트에 등록되지 않은 키는 모든 IP 주소에서 접근할 수 있습니다. | 🟠 높은 |
로컬 파일 유출 | 하드코딩된 키가 GitHub에 업로드되었고 웹 크롤러에 의해 수집되었습니다. | 🟠 높은 |
기술: 독살 | 악성 스킬은 실행 시점에 API 키를 공격자의 서버로 조용히 전송합니다. | 🟠 높은 |
모델 강도가 불충분함 | 구형 모델은 신속 주입에 더 취약하고 보호 기능이 약합니다. | 🟡 중간 |
2. 계정 보안
인공지능 에이전트의 등장으로 공격 경로가 바뀌었습니다.
계정에 로그인할 필요 없이 API 키만 받으세요.
사용자가 직접 감지할 필요가 없습니다. 에이전트는 24시간 내내 자동으로 실행되며, 비정상적인 작업은 며칠 동안 지속될 수 있습니다.
인출이 필요하지 않으며, 플랫폼 내 거래를 통해 모든 자산을 잃는 것 또한 공격의 대상이 될 수 있습니다.
API 키의 생성, 수정 및 삭제에는 모두 로그인한 계정이 필요합니다. 계정 제어는 키 관리에 대한 제어 권한을 의미합니다. 계정 보안 수준은 API 키 보안의 상한선을 직접적으로 결정합니다.
해야 할 일:
SMS 대신 Google Authenticator를 기본 2단계 인증 수단으로 설정하세요(SIM 카드가 해킹될 수 있습니다).
암호 없는 로그인 활성화: FIDO2/WebAuthn 표준을 기반으로 공개 키와 개인 키 암호화를 사용하여 기존 암호를 대체함으로써 아키텍처 수준에서 피싱 공격을 무력화합니다.
피싱 방지 코드를 설정하세요
장비 관리 센터를 정기적으로 점검하고, 발견된 알 수 없는 장치는 즉시 연결을 해제하고 비밀번호를 변경하십시오.
3. API 보안
AI 에이전트 자동 거래 아키텍처에서 API 키는 에이전트의 "실행 권한 자격 증명"과 같습니다. 에이전트 자체는 계정을 직접 제어하지 않으며, 에이전트가 수행할 수 있는 모든 작업은 API 키에 부여된 권한 범위에 따라 결정됩니다. 따라서 API 권한의 경계는 에이전트가 수행할 수 있는 작업과 보안 사고 발생 시 손실 규모를 결정하는 중요한 요소입니다.
권한 구성 매트릭스 - 최소 권한 원칙 적용, 편리한 권한 부여가 아님:
에이전트 사용 사례 | 권한이 부여되어야 합니다. | 닫혀 있어야 합니다 |
시장 분석/전략 연구 | 읽기 전용 액세스 | 읽기/쓰기 권한, 철회 |
자동 거래(현물) | 스팟 주문 읽기/쓰기 | 계약, 인출 및 자금 이체 |
자동 거래(계약) | 계약 순서 읽기/쓰기 | 현금 인출, 자금 이체 |
모든 에이전트 시나리오 | 필요에 따라 최소화하세요(체크박스 선택). | 출금 권한이 영구적으로 비활성화됨 |
대부분의 거래 플랫폼에서 API 키는 일반적으로 여러 보안 제어 기능을 지원합니다. 이러한 메커니즘을 적절하게 사용하면 API 키 오용 위험을 크게 줄일 수 있습니다. 일반적인 보안 구성 권장 사항은 다음과 같습니다.
구성 항목 | 설명하다 | 안전 권고사항 |
암호문(API 비밀번호) | 8~32자 길이의 독립적인 비밀번호를 사용해야 하며, API 호출 시 추가 인증이 필요합니다. | 별도의 비밀번호를 설정하고 안전하게 보관하세요. |
읽기/쓰기 권한 / 읽기 전용 권한 | 최상위 권한 스위치입니다. 읽기 전용 모드에서는 에이전트가 주문을 하거나 포지션을 수정할 수 없습니다. | 의도치 않은 조작을 방지하기 위해 순수 시장 분석 시나리오에서는 읽기 전용 모드를 선택하십시오. |
사업 유형에 대한 세밀한 선택 | 계약 주문, 현물 주문 및 자금 이체는 개별적으로 선택할 수 있으며, 모든 항목 또는 개별 항목을 선택할 수 있습니다. | 상담원이 실제로 필요로 하는 서비스 유형만 선택하고 나머지는 모두 선택 해제하십시오. |
IP 화이트리스트 | 지정된 IP 주소에서만 통화가 허용되며, 다른 모든 IP 주소는 차단됩니다. | 에이전트가 실행되는 서버의 IP 주소를 입력하는 것이 가장 효과적인 하드 격리 방법입니다. |
출금 권한 | 거래 권한과 완전히 분리되어 독립적으로 제어됩니다. | 이 권한은 거래 에이전트에 기본적으로 필요하지 않으므로 생성 시 선택하지 마십시오. |
사용자가 흔히 저지르는 실수:
메인 계정의 API 키를 에이전트 구성에 직접 붙여넣으세요. 그러면 메인 계정의 모든 권한이 완전히 노출됩니다.
사업 유형을 선택할 때 "모두 선택"을 고르는 것이 편리해 보일 수 있지만, 실제로는 모든 사업 분야를 선택 항목에 포함시키게 됩니다.
암호가 설정되어 있지 않거나, 암호가 사용자 이름 및 비밀번호와 동일합니다.
API 키가 코드에 하드코딩되어 있었고, GitHub에 업로드된 지 3분 만에 웹 크롤러에 의해 수집되었습니다.
하나의 키로 여러 에이전트와 도구에 동시에 권한을 부여할 수 있으며, 이 중 하나라도 손상되면 전체 시스템이 위험에 노출됩니다.
키가 유출된 후에도 즉시 취소되지 않아 공격자들이 그 틈을 타 계속해서 공격할 수 있었습니다.
핵심 생명주기 관리:
API 키는 90일마다 갱신되며, 기존 키는 즉시 삭제됩니다.
에이전트가 비활성화되면 해당 키는 즉시 삭제되므로 공격 표면이 남지 않습니다.
API 호출 로그를 정기적으로 확인하고, 알 수 없는 IP 주소에서 걸려오는 호출이나 비정상적인 시간대에 걸려오는 호출은 즉시 취소하십시오.
4. 자금 보안
공격자가 API 키를 획득한 후 발생시킬 수 있는 손실 규모는 해당 키로 접근할 수 있는 금액에 따라 달라집니다. 따라서 AI 에이전트의 거래 아키텍처를 설계할 때는 계정 보안 및 API 접근 제어 외에도 잠재적 위험에 대한 명확한 손실 한도를 설정할 수 있도록 자금 분리 메커니즘을 사용해야 합니다.
하위 계정 격리 메커니즘:
에이전트 전용 하위 계정을 생성하여 메인 계정과 완전히 분리하십시오.
주 계좌에는 에이전트가 실제로 필요로 하는 자금만 할당되며, 모든 자산이 할당되는 것은 아닙니다.
하위 계정 키가 도난당하더라도 공격자가 접근할 수 있는 최대 금액은 하위 계정에 있는 자금과 동일하며, 주 계정은 영향을 받지 않습니다.
여러 에이전트 정책은 여러 하위 계정을 사용하여 개별적으로 관리되며 서로 격리됩니다.
자금 비밀번호는 두 번째 보안 계층 역할을 합니다.
펀드 비밀번호는 로그인 비밀번호와 완전히 별개입니다. 계정에 로그인되어 있더라도 펀드 비밀번호 없이는 출금을 진행할 수 없습니다.
자금 비밀번호와 로그인 비밀번호를 다르게 설정하세요.
출금 허용 목록 활성화: 미리 추가된 주소만 출금할 수 있으며, 새 주소는 24시간 검토 기간이 필요합니다.
계좌 비밀번호를 변경하면 시스템에서 자동으로 24시간 동안 출금을 동결합니다. 이는 사용자를 보호하기 위한 조치입니다.
5. 거래 보안
AI 에이전트 기반 자동 거래 시나리오에서 보안 문제는 일회성 이상 행동으로 나타나는 것이 아니라 시스템 운영이 지속됨에 따라 점진적으로 발생하는 경우가 많습니다. 따라서 계정 보안 및 API 접근 제어 외에도 지속적인 거래 모니터링 및 이상 탐지 메커니즘을 구축하여 문제 발생 초기 단계에서 이를 감지하고 개입하는 것이 필수적입니다.
필요한 모니터링 시스템을 구축해야 합니다.
감시 방법 | 목적 |
이메일과 앱을 통한 듀얼 채널 푸시 알림을 활성화하세요. | 주문 접수/취소/대규모 거래/로그인 오류 등을 다룹니다. |
API 호출 기록을 매주 확인하세요. | 시간, IP 주소 및 작업 유형이 예상과 일치하는지 확인하십시오. |
계좌 잔액 변동을 모니터링하세요. | 해당 담당자가 오랫동안 활동하지 않았지만 계정에 새로운 거래 내역이 등록되었습니다. 즉시 확인해 보세요. |
비정상 신호 감지 – 즉시 정지하고 다음 중 하나라도 발생하는지 확인하십시오.
해당 에이전트는 장기간 활동이 없었지만, 계정에 새로운 주문이나 포지션이 나타났습니다.
API 호출 로그에는 에이전트 서버 이외의 IP 주소에서 온 요청이 표시됩니다.
이전에 설정된 적 없는 거래 쌍 체결 알림을 받았습니다.
계좌 잔액의 설명할 수 없는 변동
에이전트가 "실행하려면 추가 권한이 필요합니다"라는 메시지를 계속 표시합니다. 권한을 부여할지 여부를 결정하기 전에 이유를 파악하십시오.
기술 및 도구 소스 관리:
공식 채널을 통해 출시되고 검증된 채널을 통해 승인된 스킬만 설치하세요.
출처를 알 수 없거나 검증되지 않은 타사 확장 프로그램을 설치하지 마십시오.
설치된 스킬 목록을 정기적으로 검토하고 더 이상 사용하지 않는 스킬은 삭제하세요.
커뮤니티에서 "개선"하거나 "현지화"한 Skill 버전은 주의하세요. 비공식 버전은 모두 위험을 수반합니다.
6. 데이터 보안
AI 에이전트는 의사 결정을 위해 방대한 양의 데이터(계정 정보, 보유 자산, 거래 내역, 시장 데이터, 전략 매개변수)에 의존합니다. 이러한 데이터가 유출되거나 변조될 경우, 공격자는 사용자의 전략을 추론하거나 거래 행태를 조작할 가능성이 있습니다.
당신이 해야 할 일
최소 데이터 원칙: 거래 실행에 필요한 데이터만 에이전트에게 제공합니다.
민감한 데이터 익명화: 로그 및 디버깅 정보는 상담원이 계정 정보 전체, API 키 또는 기타 민감한 데이터를 출력하지 못하도록 해야 합니다.
계정의 모든 데이터를 공개 AI 모델(예: 공개 LLM API)에 업로드하는 것은 금지되어 있습니다.
가능하다면 정책 데이터와 계정 데이터를 분리하십시오.
에이전트가 과거 거래 데이터를 내보내지 못하도록 비활성화하거나 제한합니다.
흔히 발생하는 사용자 오류
"전략 최적화를 도와주세요."라며 전체 거래 내역을 AI에 업로드하세요.
에이전트 로그에 API 키/비밀번호를 출력합니다.
거래 내역(주문 ID 및 계좌 정보 포함)의 스크린샷을 공개 포럼에 게시해 주세요.
분석을 위해 데이터베이스 백업 파일을 AI 도구에 업로드하세요.
7. AI 에이전트 플랫폼 계층의 보안 설계
사용자 측 보안 설정 외에도 AI 에이전트 트레이딩 생태계의 보안은 플랫폼 수준의 보안 설계에 크게 좌우됩니다. 성숙한 에이전트 플랫폼은 일반적으로 계정 격리, API 접근 제어, 플러그인 감사, 기본 보안 기능 등과 같은 영역에서 체계적인 보호 메커니즘을 구축하여 사용자가 자동 트레이딩 시스템에 접근할 때 직면하는 전반적인 위험을 줄여야 합니다.
실제 플랫폼 아키텍처에서 일반적인 보안 설계에는 일반적으로 다음과 같은 측면이 포함됩니다.
1. 하위 계정 격리 시스템
자동 거래 환경에서 플랫폼은 일반적으로 여러 자동화 시스템 간의 자금 및 권한을 분리하기 위해 하위 계정 또는 전략 계정 시스템을 제공합니다. 이를 통해 사용자는 각 에이전트 또는 거래 전략에 대해 독립적인 계정과 자금 풀을 할당할 수 있으므로 여러 자동화 시스템이 동일한 계정을 공유할 때 발생하는 위험을 방지할 수 있습니다.
2. 세분화된 API 권한 구성
AI 에이전트의 핵심 작동은 API 인터페이스에 의존하므로, 플랫폼의 API 권한 설계는 일반적으로 거래 권한 할당, IP 소스 제한, 추가 보안 검증 메커니즘과 같은 세분화된 제어를 지원해야 합니다. 이러한 권한 모델을 통해 사용자는 에이전트에게 작업을 완료하는 데 필요한 최소한의 권한만 부여할 수 있습니다.
3. 에이전트 플러그인 및 스킬 검증 메커니즘
일부 플랫폼은 악성 구성 요소가 생태계에 유입될 가능성을 줄이기 위해 코드 검토, 권한 평가, 보안 테스트와 같은 검토 메커니즘을 플러그인 또는 스킬의 출시 및 목록화에 적용합니다. 보안 관점에서 이러한 검토 메커니즘은 플러그인 공급망에 플랫폼 수준의 필터를 추가하는 것과 같지만, 사용자는 설치하는 확장 프로그램에 대한 기본적인 보안 인식을 유지해야 합니다.
4. 플랫폼 기본 보안 기능
에이전트 관련 보안 메커니즘 외에도 거래 플랫폼 자체의 계정 보안 시스템 또한 에이전트 사용자에게 상당한 영향을 미칩니다. 예를 들면 다음과 같습니다.
능력 | 에이전트 사용자에게 미치는 중요성 |
패스키(FIDO2/웹 인증) | 계정 자체는 피싱 공격에 취약한 비밀번호를 사용하지 않으며, API 키 관리가 더욱 안전합니다. |
MFA 전체 시나리오 필수 | API 키의 생성, 수정 및 삭제에는 모두 2차 인증이 필요합니다. |
피싱 방지 코드 메커니즘 | 공식 이메일에는 고유 식별자가 포함되어 있어 가짜 알림을 위조하는 것이 불가능합니다. |
MPC + 콜드월렛 수탁 | 플랫폼의 자산 보안 아키텍처는 에이전트 동작 계층과 독립적으로 자산을 보호합니다. |
8. 에이전트 사용자를 특별히 표적으로 삼는 새로운 유형의 사기.
가짜 고객 서비스
"API 키에 보안 위험이 있습니다. 즉시 재설정하십시오." 그런 다음 피싱 링크를 보냅니다.
→ 공식 팀은 개인 메시지를 통해 API 키를 먼저 요청하지 않습니다.
독살 스킬 팩
커뮤니티에서 실행 시 자동으로 키를 전송하는 "향상된 거래 스킬"을 공유하고 있습니다.
→ 공식적으로 승인된 채널에서만 스킬을 설치하세요.
가짜 업그레이드 알림
"재인증 필요"라는 메시지는 가짜 페이지로 연결됩니다.
→ 이메일 피싱 방지 코드를 확인하세요.
팁 주입 공격
시장 데이터, 뉴스 및 캔들스틱 차트 주석에 지침을 삽입하여 에이전트가 예상치 못한 행동을 하도록 조작할 수 있습니다.
→ 하위 계좌의 자금 한도를 설정하여 자금이 유입되더라도 손실액에 엄격한 제한을 두십시오.
"보안 탐지 도구"로 위장한 악성 스크립트
그들은 당신의 키가 유출되었는지 감지할 수 있다고 주장하지만, 실제로는 키를 훔치고 있는 것입니다.
→ 공식 플랫폼에서 제공하는 로그 또는 액세스 기록을 사용하여 API 호출 활동을 확인하세요.
9. 문제 해결 경로
이상 징후를 감지합니다
↓
의심스러운 API 키는 즉시 취소하거나 비활성화하십시오.
↓
계정에 비정상적인 주문/포지션이 있는지 확인하고, 취소 가능한 주문은 즉시 취소하십시오.
↓
자금이 실제로 이체되었는지 확인하려면 출금 내역을 확인하십시오.
↓
로그인 비밀번호와 계좌 비밀번호를 변경하고, 로그인된 모든 기기를 로그아웃하세요.
↓
플랫폼 보안 지원팀에 연락하여 비정상 발생 시간대와 운영 로그를 제공하십시오.
↓
주요 정보 유출 경로(코드 저장소/설정 파일/스킬 로그)를 조사하십시오.
핵심 원칙: 의심스러운 점이 생기면 먼저 열쇠를 회수하고 원인을 조사해야 합니다. 순서는 바꿀 수 없습니다.
IV. 권고사항 및 요약
본 보고서에서 SlowMist와 Bitget은 실제 사례 연구와 보안 연구를 결합하여 Web3 시나리오에서 현재 AI 에이전트가 직면하는 일반적인 보안 문제를 분석합니다. 이러한 문제에는 에이전트 동작을 조작하는 프롬프트 인젝션(Prompt Injection) 위험, 플러그인 및 스킬 생태계의 공급망 위험, API 키 및 계정 권한 남용, 그리고 자동화된 실행으로 인한 의도치 않은 작업 및 권한 상승과 같은 잠재적 위협이 포함됩니다. 이러한 문제는 단일 취약점 때문이 아니라 에이전트 아키텍처 설계, 접근 제어 정책 및 런타임 환경 보안의 복합적인 영향으로 발생하는 경우가 많습니다.
따라서 AI 에이전트 시스템을 구축하거나 사용할 때는 전체 아키텍처 수준에서 보안 설계를 구현해야 합니다. 예를 들어, 에이전트에 API 키와 계정 권한을 할당할 때는 최소 권한 원칙을 준수하여 불필요하게 위험도가 높은 기능을 활성화하지 않도록 해야 합니다. 도구 호출 수준에서는 플러그인과 스킬에 대한 권한을 분리하여 단일 구성 요소가 데이터 수집, 의사 결정 생성, 자금 운용 기능을 동시에 보유하지 않도록 해야 합니다. 에이전트가 중요한 작업을 수행할 때는 명확한 행동 경계와 매개변수 제한을 설정하고, 필요한 시나리오에는 수동 확인 메커니즘을 추가하여 자동 실행으로 인한 돌이킬 수 없는 위험을 줄여야 합니다. 동시에 에이전트가 의존하는 외부 입력에 대해서는 프롬프트 주입 공격을 방지하기 위해 적절한 프롬프트 설계와 입력 격리 메커니즘을 사용하고, 모델 추론 과정에서 외부 콘텐츠를 시스템 명령으로 직접 사용하지 않도록 해야 합니다. 실제 배포 및 운영 시에는 필요한 권한만 부여하고, IP 화이트리스트를 설정하고, 키를 정기적으로 교체하고, 코드 저장소, 구성 파일 또는 로그 시스템에 민감한 정보를 평문으로 저장하지 않는 등 API 키 및 계정 보안 관리를 강화해야 합니다. 개발 과정 및 런타임 환경에서 플러그인 보안 검토, 민감한 로그 정보 제어, 동작 모니터링 및 감사 메커니즘과 같은 조치를 구현하여 구성 유출, 공급망 공격 및 비정상적인 운영의 위험을 줄여야 합니다.
보다 광범위한 보안 아키텍처 수준에서, SlowMist는 연구를 통해 AI 및 Web3 지능형 에이전트 시나리오를 위한 다계층 보안 거버넌스 접근 방식을 제안했습니다. 이 접근 방식은 계층형 보호 시스템을 구축하여 고권한 환경에서 지능형 에이전트에 대한 위험을 체계적으로 줄입니다. 이 프레임워크에서 L1 보안 거버넌스는 통합된 개발 및 사용 보안 기준선에 기반합니다. 개발 도구, 에이전트 프레임워크, 플러그인 생태계 및 런타임 환경을 포괄하는 보안 사양을 수립함으로써, AI 툴체인을 도입할 때 팀에 통합된 정책 소스와 감사 표준을 제공합니다. 이를 기반으로 L2는 에이전트 권한 경계의 통합, 툴 호출에 대한 최소 권한 제어, 중요 동작에 대한 인간-기계 검증 메커니즘을 통해 고위험 작업의 실행 범위를 효과적으로 제한합니다. 동시에 L3는 외부 상호 작용 진입점에서 실시간 위협 인식 기능을 도입하여 URL, 종속성 저장소 및 플러그인 소스와 같은 외부 리소스를 사전 검사함으로써 악성 콘텐츠 또는 공급망 오염이 실행 체인에 유입될 가능성을 줄입니다. 온체인 거래 또는 자산 운영과 관련된 시나리오에서 L4 온체인 위험 분석 및 독립적인 서명 메커니즘은 추가적인 보안 격리를 제공하여 에이전트가 개인 키에 직접 접근하지 않고도 거래를 구성할 수 있도록 함으로써 고가 자산 운영과 관련된 시스템적 위험을 줄입니다. 궁극적으로 L5는 지속적인 검사, 로그 감사, 주기적인 보안 검토와 같은 운영 메커니즘을 통해 "실행 전 사전 검사, 실행 중 제약, 실행 후 검토"가 가능한 폐쇄 루프 보안 기능을 구축합니다. 이러한 계층형 보안 접근 방식은 단일 제품이나 도구가 아니라 AI 툴체인 및 지능형 에이전트 생태계를 위한 보안 거버넌스 프레임워크입니다. 핵심 목표는 체계적인 전략, 지속적인 감사, 보안 기능의 연계를 통해 개발 효율성과 자동화 기능을 크게 저하시키지 않으면서 지속 가능하고 감사 가능하며 진화 가능한 에이전트 보안 운영 시스템을 구축하도록 지원하는 것입니다. 이를 통해 AI와 Web3의 심층적인 통합 환경에서 끊임없이 변화하는 보안 문제를 더욱 효과적으로 해결할 수 있습니다.
전반적으로 AI 에이전트는 웹3 생태계에 더 큰 자동화와 지능을 제공하지만, 보안 문제 또한 간과할 수 없습니다. 시스템 설계, 접근 제어, 운영 모니터링 등 다층적인 보안 메커니즘을 구축해야만 AI 에이전트 기술 혁신을 추진하는 동시에 잠재적 위험을 효과적으로 완화할 수 있습니다. 본 보고서는 AI 에이전트 시스템 구축 및 활용 시 개발자, 플랫폼, 사용자에게 참고 자료를 제공하여 기술 발전을 촉진하고 보다 안전하고 신뢰할 수 있는 웹3 생태계를 조성하는 데 기여하고자 합니다.
추가 자료
OpenClaw 최소주의 보안 실무 가이드
이 문서는 인지 계층부터 인프라 계층까지 에이전트 보안 배포에 대한 포괄적인 매뉴얼로, 실제 운영 환경에서 높은 권한을 가진 AI 에이전트를 위한 보안 사례 및 배포 권장 사항을 체계적으로 설명합니다.
https://github.com/slowmist/openclaw-security-practice-guide
MCP 보안 체크리스트
체계적인 보안 체크리스트를 사용하여 에이전트 서비스를 신속하게 감사하고 강화함으로써, 팀은 MCP/스킬 및 관련 AI 툴체인을 배포할 때 중요한 방어 포인트를 간과하지 않도록 할 수 있습니다.
https://github.com/slowmist/MCP-Security-Checklist
마스터MCP
실제 공격 시나리오를 재현하고 방어 시스템의 견고성을 테스트하는 데 사용되는 악성 MCP 서버의 오픈 소스 예제입니다. 이는 보안 연구 및 방어 검증에 활용될 수 있습니다.
https://github.com/slowmist/MasterMCP
미스트트랙 스킬
플러그 앤 플레이 방식의 AI 에이전트 스킬셋은 전문적인 암호화폐 자금세탁방지(AML) 규정 준수 및 주소 위험 분석 기능을 제공하며, 온체인 주소 위험 평가 및 거래 전 위험 판단에 사용할 수 있습니다.
https://github.com/slowmist/misttrack-skills
AI 및 Web3 지능형 에이전트 보안 통합 솔루션
AI 및 Web3 지능형 에이전트를 위한 포괄적인 보안 솔루션은 MistEye, MistTrack, MistAgent와 같은 ADSS 거버넌스 기준선 및 기능과의 연동을 통해 5계층 구조의 점진적 디지털 요새 아키텍처를 구축하여 실행 전 검사, 실행 중 제약 조건, 실행 후 검토로 구성된 폐쇄형 보안 루프를 구현하는 것을 목표로 합니다.
https://mp.weixin.qq.com/s/mWBwBANlD7UchU9SqDp_cQ
거래 보안 자가 점검표
통합 전에 OpenClaw 강화 작업이 필요합니다.
검사 항목 | 상태 |
OpenClaw 2026.1.29 이상으로 업그레이드되었습니다. | □ |
수신 주소가 127.0.0.1로 변경되었습니다. | □ |
게이트웨이 인증이 활성화되어 있으며 기본값인 빈 비밀번호가 아닙니다. | □ |
Openclaw 보안 감사 --fix가 이미 실행 중입니다. | □ |
logging.redactSensitive가 도구로 설정되었습니다. | □ |
접근 전 계정 보안 설정
검사 항목 | 상태 |
Google Authenticator(SMS 2FA 아님)가 활성화되어 있습니다. | □ |
암호키 로그인이 활성화되었습니다. | □ |
피싱 방지 코드가 설정되었습니다. | □ |
장비 관리 센터를 점검한 결과, 낯선 장비는 발견되지 않았습니다. | □ |
자금 비밀번호가 설정되었으며, 이는 로그인 비밀번호와 다릅니다. | □ |
출금 허용 목록이 활성화되었습니다. | □ |
사전 접근 · 스킬 보안
검사 항목 | 상태 |
설치된 Skill의 모든 소스를 검토했습니다. | □ |
출처 정보가 없는 "향상된 버전" 또는 "중국어 버전"은 설치되지 않습니다. | □ |
더 이상 사용되지 않는 스킬은 모두 삭제되었습니다. | □ |
통합 전 API 키 구성
검사 항목 | 상태 |
하위 계정용으로 전용 API 키가 생성되었으며, 기본 계정 키는 사용되지 않습니다. | □ |
사용자 이름 및 비밀번호와는 다른 별도의 암호가 설정되었습니다. | □ |
출금 권한이 비활성화되었습니다. | □ |
필요에 따라 사업 유형을 선택하십시오. 사용하지 않는 경우 모두 선택하십시오. | □ |
계약/현물 거래 권한은 최소화하고 필요할 때만 허용해야 합니다. | □ |
IP 화이트리스트는 에이전트가 실행되는 서버 주소에 연결됩니다. | □ |
API 키는 코드에 하드코딩되지 않고 환경 변수에 저장됩니다. | □ |
.env 파일이 .gitignore에 추가되었습니다. | □ |
통합 전 자금 분리
검사 항목 | 상태 |
에이전트의 하위 계좌에는 필요한 자금만 할당되었고, 모든 자산이 할당된 것은 아닙니다. | □ |
운영 환경은 공유 서버가 아닌 자체 제어 시스템입니다. | □ |
실행 중 · 모니터링
검사 항목 | 상태 |
거래 및 로그인에 대한 듀얼 채널 푸시 알림이 활성화되었습니다. | □ |
API 호출 로그(시간/IP 주소/작업 유형)를 매주 검토하십시오. | □ |
"API 키 즉시 취소" 작업 경로를 숙지하세요. | □ |
단종/교체 · 정리
검사 항목 | 상태 |
에이전트를 비활성화할 때는 해당 API 키를 즉시 삭제하십시오. | □ |
하위 계좌의 자금이 주 계좌로 다시 이체되었습니다. | □ |
코드 저장소에는 (Git 기록을 포함하여) 잔여 키가 없습니다. | □ |
✅ 위의 모든 점검이 완료되면 AI 에이전트 자동 거래 시스템의 전반적인 보안 위험이 크게 감소합니다.
