OpenClaw PRISM: A Zero-Fork, Defense-in-Depth Runtime Security Layer for Tool-Augmented LLM Agents

이 논문은 도구 기반 LLM 에이전트의 런타임 보안 위험을 해결하기 위해, 기존 모델을 변경하지 않고 메시지 유입부터 툴 실행 및 아웃바운드 통신에 이르는 10 가지 생명주기 훅을 통해 다층적 방어, 하이브리드 스캐닝, 정책 기반 제어 및 감사 기능을 제공하는 'OpenClaw PRISM'이라는 런타임 보안 계층을 제안합니다.

핵심

이 논문은 **"OpenClaw PRISM"**이라는 새로운 시스템을 소개합니다. 이 시스템을 쉽게 이해하기 위해, **거대한 쇼핑몰 (LLM 에이전트)**과 그 안에 들어온 **보안 요원 (PRISM)**의 이야기를 상상해 보세요.

🏢 배경: 쇼핑몰 (LLM 에이전트) 의 새로운 위험

과거의 쇼핑몰은 고객 (사용자) 이 직접 들어와서 물건을 고르는 것만 신경 썼습니다. 하지만 요즘 쇼핑몰은 훨씬 더 복잡해졌습니다.

• 도구 사용: 쇼핑몰 직원이 고객 대신 인터넷을 검색하고, 은행 계좌를 확인하고, 다른 가게와 대화할 수 있게 되었습니다.
• 새로운 위험: 이제 해커는 고객에게 직접 나쁜 말을 하는 것뿐만 아니라, 직원이 가져온 **인터넷 뉴스 기사 (검색 결과)**나 다른 가게의 편지 (도구 결과) 속에 나쁜 지시를 숨겨 넣을 수 있습니다. 직원이 그걸 보고 "아, 이걸로 은행 계좌를 털어야지!"라고 착각하게 만들 수 있는 거죠.

기존 보안 시스템은 주로 **입구 (사용자 입력)**에서만 감시했습니다. 하지만 직원이 밖으로 나가서 돌아온 뒤에는 아무도 감시하지 않아서, 해커는 그 틈을 타서 쇼핑몰을 장악할 수 있었습니다.

🛡️ 해결책: PRISM (보안 요원 팀)

이 논문이 제안하는 PRISM은 쇼핑몰을 폐쇄하거나 직원을 해고하는 것이 아닙니다. 대신, 쇼핑몰 운영 방식 (코드) 을 건드리지 않고도 들어설 수 있는 특별한 보안 요원 팀을 고용하는 것입니다.

이 팀은 다음과 같은 독특한 특징이 있습니다:

1. "이중 보안" (Zero-Fork)

보통 새로운 보안 시스템을 도입하려면 쇼핑몰의 구조를 완전히 뜯어고쳐야 (Fork) 합니다. 하지만 PRISM 은 기존 구조를 건드리지 않고 문 앞에 작은 감시 카메라와 요원들을 배치합니다. 쇼핑몰이 업그레이드되어도 이 요원들은 계속 일할 수 있습니다.

2. "10 개의 감시 지점" (Lifecycle Hooks)

PRISM 요원들은 쇼핑몰의 10 개의 핵심 지점을 24 시간 감시합니다.

• 입구: 고객이 들어오자마자 이상한 말투를 확인합니다.
• 준비실: 직원이 고객에게 답변을 작성하기 전에, "혹시 인터넷에서 가져온 글에 나쁜 지시가 숨어 있나?"를 확인합니다.
• 작업대: 직원이 도구를 사용할 때 (예: "이 명령어를 실행해"), "이건 위험한 명령어야!"라고 막습니다.
• 출구: 직원이 밖으로 보내는 메시지나 파일을 내보내기 전에, "비밀번호가 섞여 있진 않나?"를 다시 한번 검사합니다.
• 기타: 직원이 새로 팀을 꾸리거나, 쇼핑몰이 재시작될 때도 감시합니다.

3. "스마트한 위험 점수제" (Risk Accumulation)

PRISM 은 한 번의 실수로 바로 해고하지 않습니다.

• 직원이 아주 작은 실수를 하면 **"주의"**를 줍니다.
• 하지만 같은 직원이 계속 이상한 행동을 하거나, 여러 번의 작은 실수가 쌓이면 **"위험 점수"**가 올라갑니다.
• 점수가 임계치를 넘으면, 그 직원은 더 이상 중요한 작업 (비밀번호 확인, 은행 접근 등) 을 할 수 없게 제한됩니다.
• 시간이 지나면 점수가 서서히 줄어들어, 직원이 정상적으로 돌아오면 다시 일할 수 있게 합니다.

4. "2 단계 검사 시스템" (Hybrid Scanning)

PRISM 은 모든 것을 다 검사하는 게 아니라, 효율적으로 일합니다.

• 1 단계 (빠른 감시): 요원들이 눈으로 빠르게 훑어보며 "이건 의심스러워"라고 판단합니다. (휴리스틱)
• 2 단계 (전문가 상담): 1 단계에서 의심스러운 것이 나오면, **AI 전문가 (LLM)**에게 전화해서 "이게 진짜 나쁜 말인가?"를 물어봅니다.
• 이렇게 하면 모든 것을 AI 에게 물어보는 데 드는 시간과 비용을 아끼면서도, 중요한 것은 꼼꼼히 검사합니다.

5. "변조 방지 기록장" (Tamper-Evident Audit)

만약 해커가 보안 요원들의 기록을 지우거나 바꾸려고 하면, PRISM 은 **"이 기록은 변조되었습니다!"**라고 알립니다. 마치 은행 금고의 도장처럼, 한 번 기록되면 누구도 함부로 바꿀 수 없게 만들어 운영자가 나중에 사건을 재조사할 때 증거를 확보할 수 있습니다.

🎯 결론: 왜 이것이 중요한가요?

이 논문은 **"보안은 한 번의 검사로 끝나는 게 아니라, 과정 전체를 감시하는 것"**이라고 말합니다.

PRISM 은 쇼핑몰 (AI 에이전트) 을 폐쇄하지 않으면서도, 해커가 숨어든 틈을 막아줍니다.

• 사용자: 더 안전한 쇼핑을 즐길 수 있습니다.
• 운영자: 쇼핑몰 구조를 뜯어고치지 않아도 되며, 언제든 보안 정책을 업데이트하고 상황을 확인할 수 있습니다.
• 시스템: 해커가 한 번에 모든 것을 장악하는 것을 막아주어, 작은 실수라도 바로 잡을 수 있습니다.

즉, **PRISM 은 AI 에이전트가 안전하게 일할 수 있도록 돕는, 지능적이고 유연한 '보안 경비 시스템'**이라고 생각하시면 됩니다.

기술 요약

1. 문제 정의 (Problem Statement)

도구 연동 (Tool-augmented) LLM 에이전트는 사용자 입력 필터링을 넘어선 광범위한 공격 표면을 가지고 있습니다. 기존 방어 방식은 주로 입력 단계의 프롬프트 주입 (Prompt Injection) 만을 차단하는 데 초점을 맞추고 있지만, 현대 에이전트 런타임에서는 다음과 같은 분산된 위협이 존재합니다.

• 간접 프롬프트 주입 (Indirect Prompt Injection): 검색된 웹 콘텐츠나 도구 반환 텍스트를 통해 유입되는 악성 지시.
• 불안전한 도구 실행: 쉘 명령어 실행, 민감한 파일 접근 등 권한 남용.
• 자격 증명 유출: 토큰이나 비밀 키가 도구 결과나 외부 메시지로 유출되는 것.
• 제어 파일 조작: 로컬 설정 파일이나 감사 로그를 변조하여 시스템 무결성을 해치는 행위.

기존의 단일 경계 (Boundary) 중심 방어는 이러한 런타임 전체에 걸쳐 발생하는 공격을 효과적으로 막기 어렵습니다. 또한, 기존 솔루션의 대부분은 상위 프레임워크를 포크 (Fork) 하거나 수정해야 하므로 유지보수 부담이 크고, 실시간 운영 환경에서의 배포가 어렵다는 문제가 있습니다.

2. 방법론 (Methodology)

저자들은 OpenClaw PRISM을 제안합니다. 이는 OpenClaw 기반 에이전트 게이트웨이에 대한 제로-포크 (Zero-Fork) 런타임 보안 레이어입니다. 핵심 아키텍처와 방어 메커니즘은 다음과 같습니다.

A. 아키텍처: 제로-포크 및 사이드카 모델

• 인-프로세스 플러그인: 게이트웨이 내부에서 생명주기 (Lifecycle) 를 가로채는 플러그인을 사용하여 소스 코드 수정 없이 보안 로직을 주입합니다.
• 선택적 사이드카 (Sidecar) 서비스: 무거운 운영 기능 (스캐너, 정책 관리, 파일 모니터링 등) 을 게이트웨이 프로세스 외부의 독립 서비스로 분리하여 안정성을 확보합니다.
• 10 가지 생명주기 훅 (Hooks): 메시지 유입, 프롬프트 구성, 도구 실행 전/후, 결과 저장, 외부 메시지 발송, 서브 에이전트 생성, 게이트웨이 시작 등 10 가지 단계에서 보안을 적용합니다.

B. 하이브리드 스캐닝 파이프라인

단일 검출 모델에 의존하지 않고 다음과 같은 2 단계 방식을 사용합니다.

1. 1 단계 (휴리스틱): 빠른 로컬 휴리스틱 점수 매기기를 통해 일반적인 주입 패턴, 역할 오버라이드, 자격 증명 유출 언어 등을 탐지합니다.
2. 2 단계 (LLM 보조): 의심스러운 도구 반환 콘텐츠의 경우, 외부 스캐너 서비스 (Ollama 등) 를 통해 LLM 기반 분류기를 호출하여 심층 분석을 수행합니다.

C. 세션 기반 위험 누적 및 정책 응답

• 위험 누적 (Risk Accumulation): 단일 메시지가 아닌 대화 (Conversation) 및 세션 (Session) 단위로 위험 신호를 누적합니다.
• TTL 기반 감쇠: 위험 상태는 시간 제한 (TTL) 을 가지고 있어 오래된 신호는 자연스럽게 감쇠되도록 설계되었습니다.
• 단계적 응답 (Graduated Response): 위험 수준에 따라 경고 삽입, 고위험 도구 차단, 서브 에이전트 생성 차단 등 점진적인 제재를 가합니다.

D. 거버넌스 및 감사 (Governance & Audit)

• 도구 및 네트워크 거버넌스: 실행 가능한 명령어, 보호된 파일 경로, 사설 네트워크, 도메인 계층, 외부 비밀 패턴 (DLP) 을 정책으로 통제합니다.
• 변조 방지 감사 (Tamper-Evident Audit): HMAC 기반 무결성 검증과 연결된 해시 체인을 사용하여 감사 로그의 변조를 탐지할 수 있으며, 운영자가 정책을 실시간으로 재로드 (Hot-reload) 할 수 있습니다.

3. 주요 기여 (Key Contributions)

1. 제로-포크 런타임 방어 아키텍처: 상류 프레임워크 코드를 수정하지 않고 플러그인과 사이드카를 결합하여 배포 가능한 보안 레이어를 구현했습니다.
2. 생명주기 전체의 단계적 위험 대응: 10 가지 런타임 훅을 통한 포괄적 감시와 휴리스틱-LLM 하이브리드 검출, 그리고 누적된 위험에 따른 단계적 차단 메커니즘을 도입했습니다.
3. 통합 도구 및 네트워크 거버넌스: 도구 실행, 경로 보호, 네트워크 제어, 외부 유출 방지를 단일 보안 레이어에서 통합 관리합니다.
4. 변조 방지 감사 및 운영 플레인: 무결성 검증이 가능한 감사 로그, 구성 재로드, 운영자 승인 워크플로우를 제공하여 실제 운영 환경에서의 가용성을 높였습니다.
5. 평가 방법론 및 벤치마크: 보안 효과, 오탐 (False Positive), 레이어별 기여도, 런타임 오버헤드, 운영 복구 능력을 측정하는 체계적인 평가 방법론과 벤치마크 도구를 제시했습니다.

4. 실험 결과 (Results)

논문에 제시된 예비 벤치마크 (80 개 사례 기반) 결과는 다음과 같습니다.

• 보안 효과 (Attack Block Rate):
  • PRISM 없음: 0.0%
  • 휴리스틱만: 40.9%
  • 플러그인만: 45.5%
  • 플러그인 + 스캐너: 54.5%
  • Full PRISM (전체 구성): 95.5% (가장 높은 차단율 달성)
• 오탐률 (False Positive Rate):
  • Full PRISM 구성에서 13.9% 로 유지되며, 공격 차단율과 오탐률 간의 균형을 잘 유지하고 있음을 보여줍니다.
• 성능 오버헤드:
  • 지연 시간 (Latency): LLM 스캐너가 활성화된 경우, 일부 사례에서 지연 시간이 증가 (약 12~15 초) 하지만, 이는 외부 모델 호출에 의한 것으로 휴리스틱 처리 자체의 오버헤드는 미미합니다.
  • 메모리: 피크 RSS 증가는 1.4 MiB 이하로 매우 경량화되어 있습니다.
• 운영 복구성: 감사 로그 체인 검증 및 정책 재로드가 수 밀리초 (ms) 단위로 빠르게 수행되어 운영 효율성을 입증했습니다.

5. 의의 및 결론 (Significance)

OpenClaw PRISM 은 LLM 에이전트 보안을 단순한 '텍스트 분류' 문제에서 '시스템 및 운영 문제' 로 재정의했다는 점에서 의의가 있습니다.

• 실용적 배포 가능성: 기존 프레임워크를 포크하지 않고도 기존 게이트웨이에 부착하여 즉시 사용할 수 있는 실용적인 솔루션을 제시했습니다.
• 방어 심층 (Defense-in-Depth): 단일 지점이 아닌 런타임의 모든 단계 (입력, 실행, 저장, 출력) 에서 보안을 적용함으로써 공격자의 진입 경로를 차단합니다.
• 운영 중심의 접근: 탐지만이 아닌 정책 강제, 감사, 복구 워크플로우를 통합하여 실제 운영 환경 (Production) 에서의 신뢰성을 높였습니다.

이 연구는 에이전트 보안을 위한 새로운 패러다임을 제시하며, 추후 더 넓은 벤치마크 커버리지와 다른 에이전트 프레임워크로의 확장, 그리고 형식적 안전성 (Formal Safety) 과의 결합을 통해 발전할 수 있는 방향을 제시합니다.