일, 배경

대형 모델 기술의 빠른 발전과 함께 AI 에이전트는 단순한 스마트 어시스턴트에서 점차 자율적으로 작업을 수행할 수 있는 자동화 시스템으로 진화하고 있습니다. Web3 생태계에서 이러한 변화는 특히 두드러집니다. 점점 더 많은 사용자가 AI 에이전트를 시장 분석, 전략 생성 및 자동 거래에 참여시키려 하고 있으며, "7×24 시간 자동으로 운영되는 거래 어시스턴트"라는 개념이 점차 현실로 다가오고 있습니다. 바이낸스와 OKX가 여러 AI 스킬을 출시하고, Bitget이 스킬 리소스 사이트인 에이전트 허브와 설치가 필요 없는 롱샤 GetClaw를 출시함에 따라, 에이전트는 거래 플랫폼 API, 체인 상 데이터 및 시장 분석 도구에 직접 연결할 수 있게 되어, 일정 부분 인간이 수행해야 했던 거래 결정 및 실행 작업을 맡을 수 있게 되었습니다.

전통적인 자동화 스크립트와 비교할 때, AI 에이전트는 더 강력한 자율 결정 능력과 더 복잡한 시스템 상호 작용 능력을 갖추고 있습니다. 이들은 시장 데이터를 수집하고, 거래 API를 호출하며, 계좌 자산을 관리할 수 있으며, 심지어 플러그인이나 스킬을 통해 기능 생태계를 확장할 수 있습니다. 이러한 능력의 향상은 자동화 거래의 사용 장벽을 크게 낮추었고, 더 많은 일반 사용자가 자동화 거래 도구에 접근하고 사용할 수 있게 되었습니다.

그러나 능력의 확장은 공격 표면의 확대를 의미하기도 합니다.

전통적인 거래 환경에서는 보안 위험이 주로 계좌 인증서, API 키 유출 또는 피싱 공격과 같은 문제에 집중되어 있습니다. 그러나 AI 에이전트 구조에서는 새로운 위험이 나타나고 있습니다. 예를 들어, 프롬프트 주입(Prompt Injection)은 에이전트의 결정 논리에 영향을 미칠 수 있으며, 악의적인 플러그인이나 스킬은 새로운 공급망 공격의 진입점이 될 수 있습니다. 실행 환경의 잘못된 구성은 민감한 데이터나 API 권한이 남용될 수 있는 원인이 될 수 있습니다. 이러한 문제들이 자동화 거래 시스템과 결합되면, 잠재적인 영향은 정보 유출에 그치지 않고 실제 자산 손실로 이어질 수 있습니다.

동시에 점점 더 많은 사용자가 AI 에이전트를 거래 계좌에 연결함에 따라 공격자들도 이러한 변화에 빠르게 적응하고 있습니다. 에이전트 사용자에 대한 새로운 유형의 사기 모델, 악의적인 플러그인 주입 및 API 키 남용 문제는 점차 새로운 보안 위협으로 자리잡고 있습니다. Web3 환경에서는 자산 조작이 종종 높은 가치와 비가역성을 가지므로, 자동화 시스템이 남용되거나 잘못된 방향으로 유도될 경우 위험의 영향이 더욱 확대될 수 있습니다.

이러한 배경을 바탕으로 SlowMist와 Bitget은 본 보고서를 공동 작성하였으며, 보안 연구와 거래 플랫폼 실무 두 가지 관점에서 AI 에이전트의 여러 시나리오에서의 보안 문제를 체계적으로 정리하였습니다. 본 보고서가 사용자, 개발자 및 플랫폼에 보안 참고자료를 제공하여 AI 에이전트 생태계가 안전성과 혁신 사이에서 더욱 견고하게 발전할 수 있도록 돕기를 바랍니다.

이, AI 에이전트의 실제 보안 위협 ｜SlowMist

AI 에이전트의 출현은 소프트웨어 시스템이 "인간 주도 작업"에서 "모델 참여 결정 및 실행"으로 점차 전환되고 있음을 보여줍니다. 이러한 구조 변화는 자동화 능력을 크게 향상시켰지만 동시에 공격 표면을 확대했습니다. 현재의 기술 구조에서 전형적인 AI 에이전트 시스템은 일반적으로 사용자 상호작용 계층, 응용 논리 계층, 모델 계층, 도구 호출 계층(Tools / Skills), 메모리 시스템(Memory) 및 하위 실행 환경 등 여러 구성 요소를 포함합니다. 공격자는 일반적으로 단일 모듈에만 집중하지 않고 여러 경로를 통해 에이전트의 행동 제어권에 영향을 미치려 합니다.

1. 입력 조작 및 프롬프트 주입 공격

AI 에이전트 구조에서 사용자 입력 및 외부 데이터는 일반적으로 모델 컨텍스트에 직접 포함되며, 이는 프롬프트 주입(Prompt Injection)을 중요한 공격 방식으로 만듭니다. 공격자는 특정 지시를 구성하여 에이전트가 원래 트리거되지 않아야 할 작업을 수행하도록 유도할 수 있습니다. 예를 들어, 특정 사례에서는 단순한 채팅 지시만으로도 에이전트를 유도하여 고위험 시스템 명령을 생성하고 실행하게 할 수 있습니다.

더 복잡한 공격 방식은 간접 주입으로, 공격자가 악의적인 지시를 웹 페이지 내용, 문서 설명 또는 코드 주석에 숨기는 것입니다. 에이전트가 작업을 수행하는 과정에서 이러한 내용을 읽을 때, 이를 합법적인 지시로 잘못 인식할 수 있습니다. 예를 들어, 플러그인 문서, README 파일 또는 Markdown 파일에 악의적인 명령을 삽입하면 에이전트가 환경을 초기화하거나 종속성을 설치할 때 공격 코드를 실행할 수 있습니다.

이러한 공격 방식의 특징은 전통적인 취약점에 의존하지 않고, 모델이 컨텍스트 정보에 대한 신뢰 메커니즘을 이용하여 행동 논리에 영향을 미친다는 점입니다.

2. 스킬 / 플러그인 생태의 공급망 주입

현재 AI 에이전트 생태에서 플러그인과 스킬 시스템(Skills / MCP / Tools)은 에이전트의 능력을 확장하는 중요한 방법입니다. 그러나 이러한 플러그인 생태는 새로운 공급망 공격의 진입점이 되고 있습니다.

SlowMist는 OpenClaw 공식 플러그인 센터 ClawHub를 모니터링하면서 개발자 수의 증가와 함께 일부 악의적인 스킬이 섞여 들어오기 시작했음을 발견했습니다. SlowMist는 400개 이상의 악의적인 스킬의 IOC를 통합 분석한 결과, 많은 샘플이 소수의 고정 도메인 또는 동일한 IP 하의 여러 무작위 경로를 가리키며, 명백한 자원 재사용 특성을 보였습니다. 이는 집단화, 대량화된 공격 행동과 유사합니다.

OpenClaw의 스킬 시스템에서 핵심 파일은 일반적으로 SKILL.md입니다. 전통적인 코드와는 달리, 이러한 Markdown 파일은 종종 "설치 설명" 및 "초기화 진입점"의 역할을 하지만, 에이전트 생태에서는 사용자에 의해 직접 복사되어 실행되는 경우가 많아 완전한 실행 체인을 형성합니다. 공격자는 악의적인 명령을 종속성 설치 단계로 위장하기만 하면 됩니다. 예를 들어 curl | bash 또는 Base64 인코딩을 사용하여 실제 지시를 숨기면 사용자가 악의적인 스크립트를 실행하도록 유도할 수 있습니다.

실제 샘플에서 일부 스킬은 전형적인 "2단계 로딩" 전략을 사용합니다: 첫 번째 단계 스크립트는 단순히 두 번째 단계 페이로드를 다운로드하고 실행하는 역할만 하여 정적 탐지의 성공률을 낮춥니다. 다운로드 수가 많은 "X (Twitter) Trends" 스킬을 예로 들면, 그 SKILL.md에는 Base64 인코딩된 명령이 숨겨져 있습니다.

디코딩 후 그 본질은 원격 스크립트를 다운로드하고 실행하는 것입니다:

두 번째 단계 프로그램은 시스템 팝업을 위장하여 사용자 비밀번호를 얻고, 시스템 임시 디렉토리에서 로컬 정보, 바탕화면 문서 및 다운로드 디렉토리의 파일을 수집하여 최종적으로 공격자가 제어하는 서버로 패키징하여 업로드합니다.

이러한 공격 방식의 핵심 장점은 스킬 껍질 자체가 상대적으로 안정적으로 유지될 수 있으며, 공격자는 원격 페이로드만 변경하여 공격 논리를 지속적으로 업데이트할 수 있다는 점입니다.

3. 에이전트 결정 및 작업 조정 계층 위험

AI 에이전트의 응용 논리 계층에서 작업은 일반적으로 모델에 의해 여러 실행 단계로 분해됩니다. 공격자가 이 분해 과정을 영향을 미칠 수 있다면, 에이전트가 합법적인 작업을 수행할 때 비정상적인 행동을 초래할 수 있습니다.

예를 들어, 다단계 작업이 포함된 비즈니스 프로세스(예: 자동화 배포 또는 체인 상 거래)에서 공격자는 주요 매개변수를 변조하거나 논리 판단을 방해하여 에이전트가 실행 과정에서 목표 주소를 교체하거나 추가 작업을 수행하도록 만들 수 있습니다.

이전 SlowMist의 보안 감사 사례에서는 MCP에 악의적인 프롬프트를 반환하여 컨텍스트를 오염시켜 에이전트가 지갑 플러그인을 호출하여 체인 상 송금을 수행하도록 유도한 적이 있습니다.

이러한 공격의 특징은 오류가 모델 생성 코드에서 발생하는 것이 아니라 작업 조정 논리가 변조되었다는 점입니다.

4. IDE / CLI 환경에서의 개인 정보 및 민감 정보 유출

AI 에이전트가 개발 보조 및 자동화 운영에 널리 사용됨에 따라 많은 에이전트가 IDE, CLI 또는 로컬 개발 환경에서 실행되고 있습니다. 이러한 환경은 일반적으로 .env 구성 파일, API 토큰, 클라우드 서비스 인증서, 개인 키 파일 및 각종 접근 키와 같은 많은 민감한 정보를 포함하고 있습니다. 에이전트가 작업 실행 과정에서 이러한 디렉토리나 인덱스 프로젝트 파일을 읽을 수 있다면, 의도치 않게 민감한 정보를 모델 컨텍스트에 포함시킬 수 있습니다.

일부 자동화 개발 프로세스에서 에이전트는 디버깅, 로그 분석 또는 종속성 설치 과정에서 프로젝트 디렉토리의 구성 파일을 읽을 수 있습니다. 명확한 무시 전략이나 접근 제어가 부족하다면, 이러한 정보는 로그에 기록되거나 원격 모델 API로 전송되거나 심지어 악의적인 플러그인에 의해 외부로 유출될 수 있습니다.

또한 일부 개발 도구는 에이전트가 코드 저장소를 자동으로 스캔하여 컨텍스트 메모리(Memory)를 구축할 수 있도록 허용하는데, 이로 인해 민감한 데이터 노출 범위가 확대될 수 있습니다. 예를 들어, 개인 키 파일, 니모닉 백업, 데이터베이스 연결 문자열 또는 제3자 API 토큰 등이 인덱스 과정에서 읽힐 수 있습니다.

Web3 개발 환경에서는 이 문제가 특히 두드러지는데, 개발자는 종종 로컬 환경에 테스트 개인 키, RPC 토큰 또는 배포 스크립트를 저장합니다. 이러한 정보가 악의적인 스킬, 플러그인 또는 원격 스크립트에 의해 획득되면, 공격자는 개발자 계정이나 배포 환경을 추가로 제어할 수 있습니다.

따라서 AI 에이전트와 IDE / CLI 통합 시, 명확한 민감한 디렉토리 무시 전략(예: .agentignore, .gitignore와 같은 메커니즘) 및 권한 분리 조치를 설정하는 것이 데이터 유출 위험을 줄이는 중요한 전제 조건입니다.

5. 모델 계층의 불확실성과 자동화 위험

AI 모델 자체는 완전히 결정론적인 시스템이 아니며, 그 출력에는 일정 확률의 불안정성이 존재합니다. 이른바 "모델 환각"은 모델이 정보가 부족할 때 합리적으로 보이지만 실제로는 잘못된 결과를 생성하는 것을 의미합니다. 전통적인 응용 시나리오에서는 이러한 오류가 일반적으로 정보 품질에만 영향을 미치지만, AI 에이전트 구조에서는 모델 출력이 시스템 작업을 직접 트리거할 수 있습니다.

예를 들어, 특정 사례에서 모델이 프로젝트를 배포할 때 실제 매개변수를 조회하지 않고 잘못된 ID를 생성하여 배포 프로세스를 계속 진행한 경우가 있습니다. 이러한 상황이 체인 상 거래나 자산 조작 시나리오에서 발생하면, 잘못된 결정은 되돌릴 수 없는 자금 손실로 이어질 수 있습니다.

6. Web3 환경에서의 고가치 작업 위험

전통적인 소프트웨어 시스템과 달리 Web3 환경의 많은 작업은 비가역적입니다. 예를 들어, 체인 상 송금, 토큰 스왑, 유동성 추가 및 스마트 계약 호출은 거래가 서명되고 네트워크에 방송되면 일반적으로 취소하거나 롤백하기 어렵습니다. 따라서 AI 에이전트가 체인 상 작업을 수행하는 데 사용될 때, 그 보안 위험은 더욱 확대됩니다.

일부 실험적 프로젝트에서 개발자는 에이전트가 체인 상 거래 전략 실행에 직접 참여하도록 시도하기 시작했습니다. 예를 들어 자동화된 차익 거래, 자금 관리 또는 DeFi 작업 등이 있습니다. 그러나 에이전트가 작업 분해 또는 매개변수 생성 과정에서 프롬프트 주입, 컨텍스트 오염 또는 플러그인 공격의 영향을 받는다면, 거래 과정에서 목표 주소를 교체하거나 거래 금액을 수정하거나 악의적인 계약을 호출할 수 있습니다. 또한 일부 에이전트 프레임워크는 플러그인이 지갑 API 또는 서명 인터페이스에 직접 접근할 수 있도록 허용합니다. 서명 분리 또는 인적 확인 메커니즘이 부족하다면, 공격자는 악의적인 스킬을 통해 자동 거래를 촉발할 수 있습니다.

따라서 Web3 환경에서 AI 에이전트를 자산 제어 시스템과 완전히 결합하는 것은 고위험 설계입니다. 더 안전한 방식은 에이전트가 거래 제안이나 서명되지 않은 거래 데이터 생성만 담당하고, 실제 서명 과정은 독립 지갑이나 인적 확인을 통해 완료되도록 하는 것입니다. 또한 주소 신뢰도 검증, AML 리스크 관리 및 거래 시뮬레이션 등의 메커니즘을 결합하면 자동화 거래로 인한 위험을 어느 정도 줄일 수 있습니다.

7. 높은 권한 실행으로 인한 시스템 수준 위험

많은 AI 에이전트는 실제 배포에서 높은 시스템 권한을 가지고 있으며, 예를 들어 로컬 파일 시스템에 접근하거나 셸 명령을 실행하거나 심지어 루트 권한으로 실행할 수 있습니다. 에이전트의 행동이 조작되면 그 영향 범위는 단일 응용 프로그램을 훨씬 초과할 수 있습니다.

SlowMist는 OpenClaw를 텔레그램과 같은 즉시 통신 소프트웨어와 연결하여 원격 제어를 구현하는 테스트를 수행했습니다. 만약 제어 채널이 공격자에게 장악된다면, 에이전트는 임의의 시스템 명령을 실행하거나 브라우저 데이터를 읽거나 로컬 파일에 접근하거나 다른 응용 프로그램을 제어하는 데 사용될 수 있습니다. 플러그인 생태계 및 도구 호출 능력과 결합하면, 이러한 에이전트는 어느 정도 "스마트 원격 제어"의 특성을 갖추게 됩니다.

종합적으로 볼 때, AI 에이전트의 보안 위협은 더 이상 전통적인 소프트웨어 취약점에 국한되지 않고, 모델 상호작용 계층, 플러그인 공급망, 실행 환경 및 자산 조작 계층 등 여러 차원에 걸쳐 있습니다. 공격자는 프롬프트를 통해 에이전트의 행동을 조작할 수 있을 뿐만 아니라, 악의적인 스킬이나 종속성 패키지를 통해 공급망 계층에 백도어를 심고, 높은 권한의 실행 환경에서 공격 영향을 확대할 수 있습니다. Web3 환경에서는 체인 상 작업이 비가역적이며 실제 자산 가치를 포함하고 있기 때문에 이러한 위험은 종종 더욱 확대됩니다. 따라서 AI 에이전트의 설계 및 사용 과정에서 전통적인 응용 보안 전략에만 의존하는 것은 새로운 공격 표면을 완전히 커버하기 어렵고, 권한 제어, 공급망 관리 및 거래 보안 메커니즘 등에서 보다 체계적인 보안 방어 체계를 구축해야 합니다.

삼, AI 에이전트 거래 보안 실천｜Bitget

AI 에이전트의 능력이 지속적으로 강화됨에 따라, 이들은 더 이상 정보 제공이나 의사 결정을 보조하는 역할에 그치지 않고, 시스템 작업에 직접 참여하고 심지어 체인 상 거래를 실행하기 시작했습니다. 암호화 거래 환경에서 이러한 변화는 특히 두드러집니다. 점점 더 많은 사용자가 AI 에이전트를 시장 분석, 전략 실행 및 자동 거래에 참여시키려 하고 있습니다. 에이전트가 거래 인터페이스를 직접 호출하고 계좌 자산에 접근하여 자동으로 주문을 내릴 수 있을 때, 그 보안 문제는 "시스템 보안 위험"에서 "실제 자산 위험"으로 더욱 전환됩니다. AI 에이전트가 실제 거래에 사용될 때, 사용자는 자신의 계좌와 자산 안전을 어떻게 보호해야 할까요?

이에 따라, 본 소절에서는 Bitget 보안 팀이 거래 플랫폼의 실무 경험을 바탕으로, 계좌 보안, API 권한 관리, 자금 분리 및 거래 모니터링 등 여러 관점에서 AI 에이전트를 사용하여 자동화 거래를 수행할 때 주의해야 할 보안 전략을 체계적으로 소개합니다.

1. AI 에이전트 거래 시나리오의 주요 보안 위험

2. 계좌 보안

AI 에이전트가 등장한 이후 공격 경로가 변경되었습니다:

• 당신의 계정에 로그인할 필요가 없습니다 ------ 단지 당신의 API 키를 얻기만 하면 됩니다.

• 당신이 알아차릴 필요가 없습니다 ------ 에이전트는 7×24 시간 자동으로 운영되며, 비정상적인 작업은 며칠 동안 지속될 수 있습니다.

• 출금할 필요가 없습니다 ------ 플랫폼 내에서 거래하여 자산을 모두 잃게 만드는 것도 공격 목표입니다.

API 키의 생성, 수정 및 삭제는 로그인된 계정을 통해 완료해야 합니다 ------ 계정이 통제되면 키 관리 권한도 통제됩니다. 계정 보안 수준은 API 키의 보안 한계를 직접 결정합니다.

당신이 해야 할 일:

• Google Authenticator를 주요 2FA로 활성화하십시오. 문자 메시지가 아닌 (SIM 카드가 탈취될 수 있습니다).

• 패스키 무비밀번호 로그인을 활성화하십시오: FIDO2/WebAuthn 표준을 기반으로 공개/비공개 키 암호화가 전통적인 비밀번호를 대체하며, 피싱 공격이 구조적으로 무효화됩니다.

• 피싱 방지 코드를 설정하십시오.

• 정기적으로 장치 관리 센터를 확인하여 낯선 장치를 발견하면 즉시 퇴출하고 비밀번호를 변경하십시오.

3. API 보안

AI 에이전트 자동 거래 구조에서 API 키는 에이전트의 "실행 권한 증명서"와 같습니다. 에이전트 자체는 계좌 제어 권한을 직접 보유하지 않으며, 수행할 수 있는 모든 작업은 API 키가 부여된 권한 범위에 따라 달라집니다. 따라서 API 권한 경계는 에이전트가 무엇을 할 수 있는지를 결정할 뿐만 아니라, 보안 사건 발생 시 손실이 확대될 수 있는 정도도 결정합니다.

권한 구성 매트릭스 ------ 최소 권한, 편리한 권한이 아닙니다:

대부분의 거래 플랫폼에서 API 키는 일반적으로 여러 가지 보안 제어 메커니즘을 지원하며, 이러한 메커니즘을 적절히 사용하면 API 키가 남용될 위험을 크게 줄일 수 있습니다. 일반적인 보안 구성 권장 사항은 다음과 같습니다:

사용자가 자주 저지르는 실수:

• 주 계정 API 키를 에이전트 구성에 직접 붙여넣기 ------ 주 계정의 전체 권한이 완전히 노출됩니다.

• 비즈니스 유형에서 "전체 선택"을 클릭하여 편리함을 추구했지만, 실제로 모든 작업 범위를 열어버렸습니다.

• 패스프레이즈를 설정하지 않았거나 패스프레이즈가 계정 비밀번호와 동일합니다.

• API 키를 코드에 하드코딩하여 GitHub에 푸시한 후 3분 이내에 크롤러에 의해 스캔됩니다.

• 하나의 키를 여러 에이전트 및 도구에 동시에 부여하여, 그 중 하나가 침해되면 전체가 노출됩니다.

• 키가 유출된 후 즉시 철회하지 않아 공격자가 지속적으로 이용할 수 있는 창구를 남겨둡니다.

키의 생애 주기 관리:

• 90일마다 API 키를 교체하고, 이전 키는 즉시 삭제합니다.

• 에이전트를 비활성화할 때 즉시 해당 키를 삭제하여 잔여 공격 표면을 남기지 않습니다.

• 정기적으로 API 호출 기록을 확인하여 낯선 IP 또는 비정상적인 시간대가 발견되면 즉시 철회합니다.

4. 자금 안전

공격자가 API 키를 얻은 후 얼마나 큰 손실을 초래할 수 있는지는 이 키가 얼마나 많은 자금을 조작할 수 있는지에 달려 있습니다. 따라서 AI 에이전트의 거래 구조를 설계할 때, 계좌 보안 및 API 권한 제어 외에도 자금 분리 메커니즘을 통해 잠재적 위험에 대한 명확한 손실 한계를 설정해야 합니다.

서브 계정 분리 메커니즘:

• 에이전트 전용 서브 계정을 생성하여 주 계정과 완전히 분리합니다.

• 주 계정은 에이전트가 실제로 필요한 자금만 할당하며, 전체 자산이 아닙니다.

• 서브 계정 키가 도난당하더라도 공격자가 조작할 수 있는 최대 금액 = 서브 계정 내 자금이며, 주 계정은 영향을 받지 않습니다.

• 여러 에이전트 전략을 여러 서브 계정으로 각각 관리하여 서로 격리합니다.

자금 비밀번호를 두 번째 잠금 장치로 설정:

• 자금 비밀번호(Fund Password)는 로그인 비밀번호와 완전히 분리되어 있으며, 계정이 로그인되더라도 자금 비밀번호가 없으면 출금을 시작할 수 없습니다.

• 자금 비밀번호와 로그인 비밀번호를 서로 다른 비밀번호로 설정합니다.

• 출금 화이트리스트를 활성화하여 미리 추가된 주소만 출금할 수 있도록 하며, 새로운 주소는 24시간 검토 기간이 필요합니다.

• 자금 비밀번호를 변경한 후 시스템이 자동으로 출금을 24시간 동결합니다 ------ 이는 당신을 보호하는 메커니즘입니다.

5. 거래 안전

AI 에이전트 자동 거래 시나리오에서 보안 문제는 종종 일회성 비정상 행동으로 나타나지 않고, 시스템이 지속적으로 운영되는 과정에서 점진적으로 발생할 수 있습니다. 따라서 계좌 보안 및 API 권한 제어 외에도 지속적인 거래 모니터링 및 비정상 감지 메커니즘을 구축하여 문제 발생 초기 단계에서 신속하게 발견하고 개입할 수 있도록 해야 합니다.

반드시 구축해야 할 모니터링 시스템:

비정상 신호 인식 ------ 다음과 같은 상황이 발생하면 즉시 중지하고 점검합니다:

• 에이전트가 오랜 시간 동안 작업을 하지 않지만 계좌에 새로운 주문이나 포지션이 발생했습니다.

• API 호출 로그에 에이전트 서버 IP가 아닌 요청이 발생했습니다.

• 설정하지 않은 거래 쌍의 거래 알림을 받았습니다.

• 계좌 잔액에 설명할 수 없는 변동이 발생했습니다.

• 에이전트가 반복적으로 "더 많은 권한이 필요합니다"라는 메시지를 표시합니다 ------ 먼저 이유를 파악한 후 권한을 부여할지 결정합니다.

스킬 및 도구 출처 관리:

• 공식적으로 발표되고 검토된 채널에서 제공된 스킬만 설치합니다.

• 출처가 불분명하거나 검증되지 않은 제3자 확장을 설치하지 않도록 합니다.

• 정기적으로 설치된 스킬 목록을 검토하고 더 이상 사용하지 않는 것을 삭제합니다.

• 커뮤니티의 "강화판", "한글화판" 스킬에 주의하십시오 ------ 비공식 버전은 모두 위험입니다.

6. 데이터 안전

AI 에이전트의 결정은 많은 데이터(계좌 정보, 포지션, 거래 이력, 시장, 전략 매개변수)에 의존합니다. 이러한 데이터가 유출되거나 변조되면 공격자는 당신의 전략을 추론하거나 거래 행동을 조작할 수 있습니다.

당신이 해야 할 일:

• 최소 데이터 원칙: 거래 실행에 필수적인 데이터만 에이전트에 제공합니다.

• 민감 데이터 탈감지: 로그, 디버깅 정보가 에이전트에 전체 계좌 정보, API 키 등의 민감 데이터를 출력하지 않도록 합니다.

• 전체 계좌 데이터를 공공 AI 모델(예: 공공 LLM API)에 업로드하는 것을 금지합니다.

• 가능하다면 전략 데이터와 계좌 데이터를 분리합니다.

• 에이전트가 과거 거래 데이터를 내보내는 것을 차단하거나 제한합니다.

사용자가 자주 저지르는 실수:

• 전체 거래 이력을 AI에게 "전략 최적화해줘"라고 업로드합니다.

• 에이전트 로그에 API 키 / 비밀을 출력합니다.

• 공개 포럼에 거래 기록 스크린샷을 게시합니다(주문 ID, 계좌 정보 포함).

• 데이터베이스 백업을 AI 도구에 업로드하여 분석합니다.

7. AI 에이전트 플랫폼 계층의 보안 설계

사용자 측의 보안 구성 외에도 AI 에이전트 거래 생태의 보안성은 플랫폼 계층의 보안 설계에 크게 의존합니다. 성숙한 에이전트 플랫폼은 일반적으로 계좌 분리, API 권한 제어, 플러그인 검토 및 기본 보안 능력 등 여러 측면에서 체계적인 방어 메커니즘을 구축하여 사용자가 자동화 거래 시스템에 접속할 때 직면하는 전체 위험을 줄입니다.

실제 플랫폼 구조에서 일반적인 보안 설계는 다음과 같은 여러 측면을 포함합니다.

1. 서브 계정 분리 시스템

자동화 거래 환경에서 플랫폼은 일반적으로 서로 다른 자동화 시스템의 자금과 권한을 분리하기 위해 서브 계정 또는 전략 계정 시스템을 제공합니다. 이러한 방식을 통해 사용자는 각 에이전트 또는 거래 전략에 독립적인 계좌 및 자금 풀을 할당하여 여러 자동화 시스템이 동일한 계좌를 공유하는 것에서 오는 위험을 피할 수 있습니다.

2. 세분화된 API 권한 구성

AI 에이전트의 핵심 작업은 API 인터페이스에 의존하므로, 플랫폼은 API 권한 설계에서 일반적으로 세분화된 제어를 지원해야 합니다. 예를 들어 거래 권한 분할, IP 출처 제한 및 추가 보안 검증 메커니즘 등을 통해 사용자는 에이전트에게 작업 완료에 필요한 최소 권한 범위만 부여할 수 있습니다.

3. 에이전트 플러그인 및 스킬 검토 메커니즘

일부 플랫폼은 플러그인 또는 스킬의 출시 및 상장 과정에 대해 코드 검토, 권한 평가 및 보안 테스트 등의 검토 메커니즘을 설정하여 악의적인 구성 요소가 생태계에 들어오는 가능성을 줄입니다. 보안 관점에서 이러한 검토 메커니즘은 플러그인 공급망에 플랫폼 수준의 필터링을 추가하는 것과 같지만, 사용자는 여전히 설치한 확장 구성 요소에 대한 기본적인 보안 인식을 유지해야 합니다.

4. 플랫폼 기본 보안 능력

에이전트 관련 보안 메커니즘 외에도 거래 플랫폼 자체의 계좌 보안 시스템은 에이전트 사용자에게도 중요한 영향을 미칩니다.

8. 에이전트 사용자에 대한 새로운 유형의 사기

가짜 고객 서비스

"당신의 API 키에 보안 위험이 있습니다. 즉시 재구성하십시오." 그런 다음 피싱 링크를 제공합니다.

→ 공식은 API 키를 요구하는 개인 메시지를 보내지 않습니다.

주입된 스킬 패키지

커뮤니티에서 "강화판 거래 스킬"을 공유하며, 실행 시 조용히 당신의 키를 전송합니다.

→ 공식 검토 채널에서 제공된 스킬만 설치하십시오.

가짜 업그레이드 알림

"다시 권한을 부여해야 합니다." 클릭하면 모조 페이지로 이동합니다.

→ 이메일에서 피싱 방지 코드를 확인하십시오.

프롬프트 주입 공격

시장 데이터, 뉴스, K선 주석에 지시를 삽입하여 에이전트를 조작하여 비예상 작업을 수행하게 합니다.

→ 서브 계정 자금 한도를 설정하여 주입되더라도 손실에 하드 경계를 둡니다.

"보안 검사 도구"로 위장한 악의적인 스크립트

당신의 키가 유출되었는지 검사할 수 있다고 주장하지만, 실제로는 키를 훔칩니다.

→ 공식 플랫폼에서 제공하는 로그 또는 접근 기록 기능을 통해 API 호출 상황을 점검하십시오.

9. 점검 경로

어떤 비정상적인 상황이 발견되면

↓

의심스러운 API 키를 즉시 철회하거나 비활성화합니다.

↓

계좌의 비정상 주문/포지션을 점검하고, 취소할 수 있는 것은 즉시 취소합니다.

↓

출금 기록을 점검하여 자금이 이미 전송되었는지 확인합니다.

↓

로그인 비밀번호 + 자금 비밀번호를 변경하고, 모든 로그인된 장치를 퇴출합니다.

↓

플랫폼 보안 지원에 연락하여 비정상적인 시간대와 작업 기록을 제공합니다.

↓

키 유출 경로를 점검합니다(코드 저장소 / 구성 파일 / 스킬 로그).

핵심 원칙: 어떤 의심이 생기면 먼저 키를 철회하고, 그 후 이유를 조사합니다. 순서를 바꾸지 마십시오.

넷, 제안 및 요약

본 보고서에서 SlowMist와 Bitget은 실제 사례와 보안 연구를 결합하여 현재 AI 에이전트가 Web3 환경에서 직면하는 전형적인 보안 문제를 분석하였습니다. 여기에는 프롬프트 주입이 에이전트 행동에 미치는 위험, 플러그인 및 스킬 생태의 공급망 위험, API 키 및 계좌 권한 남용 문제, 자동화 실행으로 인한 잘못된 작업 및 권한 확대와 같은 잠재적 위협이 포함됩니다. 이러한 문제는 종종 단일 취약점으로 인해 발생하는 것이 아니라, 에이전트 구조 설계, 권한 제어 전략 및 실행 환경 보안의 공동 작용 결과입니다.

따라서 AI 에이전트 시스템을 구축하거나 사용할 때는 전체 구조적 관점에서 보안 설계를 진행해야 하며, 예를 들어 최소 권한 원칙을 준수하여 에이전트에 API 키 및 계좌 권한을 할당하고 불필요한 고위험 기능을 활성화하지 않도록 해야 합니다. 도구 호출 계층에서 플러그인 및 스킬에 대해 권한 분리를 설정하여 단일 구성 요소가 데이터 수집, 결정 생성 및 자산 조작 능력을 동시에 갖추지 않도록 해야 합니다. 에이전트가 중요한 작업을 수행할 때 명확한 행동 경계 및 매개변수 제한을 설정하고, 필요한 경우 인적 확인 메커니즘을 추가하여 자동화 실행으로 인한 비가역적 위험을 줄여야 합니다. 또한 에이전트 실행에 의존하는 외부 입력에 대해서는 합리적인 프롬프트 설계 및 입력 분리 메커니즘을 통해 프롬프트 주입 공격을 방지하고, 외부 콘텐츠를 시스템 지시로 직접 사용하여 모델 추론 과정에 참여하지 않도록 해야 합니다. 실제 배포 및 운영 단계에서는 API 키 및 계좌 보안 관리를 강화해야 하며, 예를 들어 필요한 권한만 활성화하고 IP 화이트리스트를 설정하며 정기적으로 키를 교체하고, 코드 저장소, 구성 파일 또는 로그 시스템에 민감한 정보를 평문으로 저장하지 않도록 해야 합니다. 개발 프로세스 및 운영 환경에서는 플러그인 보안 검토, 로그 민감 정보 제어 및 행동 모니터링 및 감사 메커니즘 등을 통해 구성 유출, 공급망 공격 및 비정상 작업으로 인한 위험을 줄여야 합니다.

보다 거시적인 보안 구조적 관점에서 SlowMist는 관련 연구에서 AI 및 Web3 지능체 시나리오를 위한 다층 보안 거버넌스 접근 방식을 제안하였습니다. 이를 통해 분층 방어 시스템을 구축하여 지능체가 높은 권한 환경에서 직면하는 위험을 체계적으로 줄일 수 있습니다. 이 프레임워크에서 L1 보안 거버넌스는 통합된 개발 및 사용 보안 기준을 기반으로 하여, 개발 도구, 에이전트 프레임워크, 플러그인 생태 및 실행 환경을 포괄하는 보안 규범을 수립하여 팀이 AI 도구 체인을 도입할 때 통합된 전략 출처 및 감사 기준을 제공합니다. 이러한 기초 위에 L2는 에이전트 권한 경계의 수렴, 도구 호출의 최소 권한 제어 및 주요 행동에 대한 인간-기계 확인 메커니즘을 통해 고위험 작업의 실행 범위를 효과적으로 제한할 수 있습니다. 동시에 L3는 외부 상호작용 진입점에서 실시간 위협 인식 능력을 도입하여 URL, 의존 저장소, 플러그인 출처 등의 외부 자원을 사전 점검하여 악의적인 콘텐츠나 공급망 주입이 실행 경로에 들어오는 확률을 줄입니다. 체인 상 거래나 자산 조작 시나리오에서는 L4 체인 상 위험 분석 및 독립 서명 메커니즘을 통해 추가적인 보안 격리를 구현하여 에이전트가 거래를 구성하되 개인 키에 직접 접근하지 않도록 하여 고가치 자산 조작으로 인한 시스템적 위험을 줄입니다. 최종적으로 L5는 지속적인 점검, 로그 감사 및 주기적인 보안 재검토 등의 운영 메커니즘을 통해 "실행 전 사전 점검, 실행 중 제약, 실행 후 복기"의 폐쇄형 보안 능력을 형성합니다. 이러한 다층 보안 접근 방식은 단일 제품이나 도구가 아니라 AI 도구 체인 및 지능체 생태를 위한 보안 거버넌스 프레임워크로, 그 핵심 목표는 개발 효율성과 자동화 능력을 크게 저하시키지 않으면서 체계적인 전략, 지속적인 감사 및 보안 능력 연계를 통해 팀이 지속 가능하고 감사 가능하며 진화 가능한 에이전트 보안 운영 시스템을 구축하도록 돕는 것입니다. 이를 통해 AI와 Web3의 깊은 융합 배경에서 변화하는 보안 도전에 보다 잘 대응할 수 있습니다.

전반적으로 AI 에이전트는 Web3 생태계에 더 높은 수준의 자동화 및 지능화 능력을 가져왔지만, 그 보안 도전 또한 간과할 수 없습니다. 시스템 설계, 권한 관리 및 운영 모니터링 등 여러 측면에서 완벽한 보안 메커니즘을 구축해야만 AI 에이전트 기술 혁신을 추진하는 동시에 잠재적 위험을 효과적으로 줄일 수 있습니다. 본 보고서가 개발자, 플랫폼 및 사용자가 AI 에이전트 시스템을 구축하고 사용할 때 참고가 되기를 바라며, 기술 발전을 촉진하는 동시에 보다 안전하고 신뢰할 수 있는 Web3 생태 환경의 형성을 함께 추진할 수 있기를 바랍니다.

부록

확장 리소스

• OpenClaw 극간단 보안 실천 가이드

인지 수준에서 인프라 수준까지의 엔드 투 엔드 에이전트 안전 배포 매뉴얼로, 높은 권한 AI 에이전트가 실제 생산 환경에서의 보안 실천 및 배포 권장 사항을 체계적으로 정리합니다.

https://github.com/slowmist/openclaw-security-practice-guide

• MCP 보안 체크리스트

에이전트 서비스를 신속하게 감사하고 강화하기 위한 체계적인 보안 점검 목록으로, 팀이 MCPs/Skills 및 관련 AI 도구 체인을 배포할 때 중요한 방어 포인트를 놓치지 않도록 돕습니다.

https://github.com/slowmist/MCP-Security-Checklist

• MasterMCP

실제 공격 시나리오를 재현하고 방어 체계의 견고성을 테스트하기 위한 오픈 소스 악의적인 MCP 서버 예제로, 보안 연구 및 방어 검증에 사용할 수 있습니다.

https://github.com/slowmist/MasterMCP

• MistTrack Skills

AI 에이전트에 전문적인 암호화폐 AML 준수 및 주소 위험 분석 능력을 제공하는 즉시 사용할 수 있는 에이전트 스킬 패키지로, 체인 상 주소 위험 평가 및 거래 전 위험 판단에 사용할 수 있습니다.

https://github.com/slowmist/misttrack-skills

• AI 및 Web3 지능체 보안 종합 솔루션

AI 및 Web3 지능체를 위한 종합 보안 솔루션으로, "5층 점진적 디지털 요새" 아키텍처와 ADSS 거버넌스 기준 및 MistEye, MistTrack, MistAgent 등의 능력 협력을 통해 실행 전 사전 점검, 실행 중 제약, 실행 후 복기의 보안 폐쇄 루프를 실현합니다.

https://mp.weixin.qq.com/s/mWBwBANlD7UchU9SqDp_cQ

거래 보안 자가 점검표

접속 전 · OpenClaw 강화

접속 전 · 계좌 보안

접속 전 · 스킬 보안

접속 전 · API 키 구성

접속 전 · 자금 분리

운영 중 · 모니터링

비활성화/교체 · 정리

✅ 위의 모든 점검 항목이 완료되면 AI 에이전트 자동 거래 시스템의 전체 보안 위험이 크게 줄어듭니다.