Overlaying Governance: A Compositional Authorization Framework for Delegation and Scope in Agentic AI

본 논문은 에이전트형 AI의 복잡하고 자율적인 특성을 관리하는 데 있어 기존 권한 부여 시스템의 한계를 극복하기 위해, 재귀적 위임, 맥락적 경계, 그리고 동적 스코핑을 위한 정형 프리미티브를 도입하는 구성적 거버넌스 프레임워크를 제안한다.

핵심

큰 그림: "열쇠"에서 "스마트 계약"으로

당신에게 집(당신의 디지털 삶)이 있고, 당신은 집을 청소하기 위해 인간 조수를 고용했다고 상상해 보세요. 당신은 그에게 열쇠를 줍니다. 그 열쇠는 당신이 돌려받기 전까지 영원히 작동합니다. 이것이 기존의 컴퓨터 보안이 작동하는 방식입니다. 사용자에게 "앞문을 열 수 있다"라고 말해주는 "토큰"이나 "열쇠"를 주는 것이죠.

이제 당신이 아주 똑똑한 로봇 조수(AI 에이전트)를 고용했다고 상상해 보세요. 이 로봇은 단순히 청소만 하는 것이 아니라, 다른 로봇을 고용할 수도 있고, 냉장고나 차고 또는 금고를 열기로 결정할 수도 있으며, 당신이 잠든 사이에도 이 모든 일을 할 수 있습니다.

문제점:
기존의 "열쇠" 시스템은 여기서 무너집니다.

1. 과도한 권한: 만약 로봇에게 마스터 키를 준다면, 로봇은 실수로 금고를 열어 당신의 사진을 삭제할 수도 있습니다.
2. 너무 경직됨: 만약 로봇이 배관 수리를 위해 하위 로봇을 고용해야 한다면, 기존 시스템은 "배관 허가"를 체인 아래로 어떻게 전달해야 하는지 알지 못합니다.
3. 정적임: 기존의 열쇠는 언제, 어디서 사용되는지 알지 못합니다. 그저 문을 열 뿐입니다.

해결책:
이 논문은 이러한 AI 로봇을 관리하는 새로운 방법을 제안합니다. 그들에게 정적인 열쇠를 주는 대신, 동적이고 살아있는 계약을 주는 것입니다. 상황에 따라 규칙이 변하는 스마트 팔찌를 생각해보세요.

---

핵심 개념 (방법론)

저자들은 이것이 작동하게 만들기 위한 세 가지 주요 재료를 제안합니다.

1. 계약으로서의 위임 (단순한 열쇠가 아님)

과거의 세상에서 위임은 누군가에게 여분의 열쇠를 건네주는 것과 같았습니다. 이 새로운 세상에서 위임은 일시적이고 구체적인 계약에 서명하는 것과 같습니다.

• 비유: 당신이 지붕을 수리하기 위해 계약업자를 고용했다고 상상해 보세요. 당신은 그에게 집 전체의 열쇠를 주지 않습니다. 대신 "지붕 구역에 출입할 수 있지만, 오전 9시에서 오후 5시 사이에만 가능하며, 반드시 안전 벨트를 착용해야 한다"라는 계약을 줍니다.
• 논문 내용: 이것을 **위임(Delegation)**이라고 부릅니다. 이는 "에이전트 A는 사용자 B를 대신하여 행동할 수 있지만, 오직 이러한 특정 조건 하에서만 가능하다"라는 규칙입니다.

2. 엔벨로프로서의 스코프 (거품/버블)

로봇이 사방을 돌아다니게 둘 수는 없습니다. 당신은 로봇을 거품 안에 넣어야 합니다.

• 비유: 로봇이 홀로그램 거품 안에 있다고 상상해 보세요. 거품 안에서 로봇은 물건을 만질 수 있습니다. 하지만 거품 밖에서는 할 수 없습니다. 만약 로봇이 거품 밖으로 손을 뻗으려고 하면, 시스템은 "범위를 벗어났습니다"라고 말합니다.
• 논문 내용: 이것을 **스코프(Scope)**라고 부릅니다. 이는 에이전트가 무엇을 만질 수 있는지를 제한합니다. 만약 사용자가 "문서 편집"에 대한 권한을 위임했다면, 에이전트의 거품은 문서만을 포함하며 "예산 삭제"는 포함하지 않습니다.

3. 오버레이 (마법의 레이어)

가장 어려운 점은 기업들이 이미 보안 시스템(인간 직원을 위해 사용하는 것들)을 가지고 있다는 것입니다. 그들은 이를 버리고 처음부터 다시 시작하고 싶어 하지 않습니다.

• 비유: 당신의 집에 매우 튼튼하고 오래된 경보 시스템이 있다고 상상해 보세요. 당신은 로봇 보안을 설치하기 위해 벽을 허물고 싶지 않습니다. 대신, 기존 시스템 위에 새로운 투명 스마트 글래스 레이어를 **오버레이(중첩)**합니다. 기존 경보는 인간을 위해 여전히 작동하지만, 새로운 유리 레이어가 그 위의 "로봇 규칙"을 추가합니다.
• 논문 내용: 이것이 **합성 연산자(Compositional Operator)**입니다. 이것은 기존의 보안 규칙을 깨뜨리지 않으면서 새로운 에이전트 규칙을 기존 규칙 위에 "풀칠"하여 결합합니다. 이는 누가 무엇을 할 수 있는지에 대한 새로운 "그래프"(지도)를 생성합니다.

---

실생활에서의 작동 방식 (시나리오)

이 "오버레이"가 어떻게 작동하는지 논문의 이야기를 통해 살펴보겠습니다.

1. 사용자: 밥(Bob)은 인간 직원입니다. 그는 디자인 문서 폴더를 볼 수 있는 권한을 가지고 있습니다.
2. 위임: 밥은 자신의 AI 비서인 "에이전트 1"에게 자신을 대신해 문서를 읽어달라고 요청합니다.
   • 계약: 밥은 에이전트 1과 디지털 계약을 체결합니다. "당신은 이 문서들을 읽을 수 있지만, 앞으로 한 시간 동안만 가능합니다."
3. 하위 위임: 에이전트 1은 너무 바쁘다는 것을 깨닫고, 두 번째 로봇인 "에이전트 2"에게 도움을 요청합니다.
   • 체인: 에이전트 1은 에이전트 2에게 더 작은 규모의 계약을 전달합니다. "당신은 문서를 읽을 수 있지만, 앞으로 10분 동안만 가능하며, '예산' 파일만 가능합니다."
4. 확인: 에이전트 2가 파일을 열려고 시냅니다.
   • 단계 A (거품): 시스템이 확인합니다: 에이전트 2가 "디자인 폴더" 거품 안에 있는가? 예.
   • 단계 B (체인): 시스템이 확인합니다: 에이전트 2가 실제로 열쇠를 가진 사람으로부터 권한을 받았는가? 예, 밥에게까지 추적됩니다.
   • 단계 C (조건): 시스템이 확인합니다: 아직 10분의 시간 범위 내에 있는가? 예.
   • 결과: 문이 열립니다.

만약 에이전트 2가 폴더 외부의 파일을 열려고 하거나, 10분이 지나면 "계약"에 의해 "거절"되며 문은 닫힌 상태를 유지합니다.

---

이것이 왜 중요한가? (시사점)

이 논문은 AI 에이전트가 자율적이 되어가고 있기 때문에 이 시스템이 필요하다고 주장합니다. 그들은 단순한 도구가 아니라, 결정을 내리고, 다른 에이전트를 고용하고, 이동할 수 있는 행위자(Actor)입니다.

• 안전성: AI가 통제를 벗어나 의도치 않은 행동을 하는 것(예: 재무 정리를 돕는다는 명목으로 은행 계좌를 삭제하는 것)을 방지합니다.
• 책임 소재: 문제가 발생했을 경우, "계약 체인"을 살펴보고 정확히 누가 누구에게 어떤 조건으로 권한을 부여했는지 확인할 수 있습니다. 이는 디지털 행동에 대한 종이 기록(Paper trail)과 같습니다.
• 유연성: 기업들이 모든 것을 처음부터 다시 구축할 필요 없이, 기존에 구축해 놓은 보안 시스템을 그대로 사용하면서 AI 규칙을 "오버레이"할 수 있게 해줍니다.

요약

이 논문은 AI 에이전트가 당신의 디지털 집에 정적인 "열쇠"를 받는 것이 아니라, 기존 보안 위에 레이어링된 동적이고, 시간 제한적이며, 맥락을 인식하는 계약을 받는 새로운 프레임워크를 제안합니다. 이를 통해 AI 에이전트가 점점 더 똑똑해지고 독립적으로 변하더라도, 그들이 당신이 설정한 경계 내에서 책임감 있는 대리인으로서 행동하도록 보장합니다.

기술 요약

기술 요약: 오버레이 거버넌스: 에이전트형 AI를 위한 위임 및 범위를 위한 구성적 권한 부여 프레임워크

1. 문제 정의

AI 시스템이 수동적인 모델에서 행동을 개시하고, 협업하며, 작업을 재귀적으로 위임할 수 있는 자율적인 "에이전트형 AI(Agentic AI)"로 진화함에 따라, 기존의 소프트웨어 경계와 권한 부여 프레임워크는 불충분해지고 있습니다. 기존의 IAM(Identity and Access Management) 시스템과 OAuth 2.0과 같은 표준은 정적 토큰, 고정된 스코프, 명시적 요청에 의존합니다. 이러한 메커니즘은 다음과 같은 역동적이고 재귀적인 에이전트 상호작용을 포착하는 데 실패합니다:

• 재귀적 위임: 에이전트가 다른 에이전트에게 하위 작업을 위임하여 정적 토큰으로는 효율적으로 표현할 수 없는 권한 체인을 생성합니다.
• 동적 컨텍스트: 에이전트는 실행 시점의 조건(예: 시간 제한, 특정 하드웨어, 네트워크 위치) 하에서 작동하며, 정적 스코프는 이에 적응할 수 없습니다.
• 스코프 감쇄(Scope Attenuation): 권한이 위임 체인을 따라 내려갈 때 점진적으로 범위를 좁히는 메커니즘(예: 에이전트가 제안서는 수정할 수 있지만 예산은 수정할 수 없음)이 부족합니다.
• 책무성(Accountability): 전통적인 모델은 복잡한 다중 에이전트 생태계에서 권한의 계보를 추적하는 데 어려움을 겪으며, 이는 포렌식 분석과 최소 권한 원칙 집행을 어렵게 만듭니다.

본 논문은 위임을 단순히 자격 증명 전달으로 취급하는 것은 부적절하며, 대신 실행 가능한 거버넌스 프리미티브(primitives)를 가진 계약적 조건으로 취급해야 한다고 주장합니다.

2. 방법론

저자들은 기존 권한 부여 도메인의 핵심 로직을 재작성하지 않고도 에이전트의 의미론을 그 위에 얹는 **구성적 거버넌스 프레임워크(compositional governance framework)**를 제안합니다. 이 방법론은 **관계 기반 액세스 제어(ReBAC)**에 근거하며, OpenFGA(Google의 Zanzibar 모델을 구현한 오픈 소스)를 참조 서브스트레이트로 활용합니다.

핵심 구성 요소:

• 관계적 프리미티브: 프레임워크는 위임과 스코프를 정적 토큰이 아닌 관계형 그래프 엣지(edge)로 정의합니다.
  • 위임 유형: 본 논문은 여섯 가지 유형의 위임을 공식화합니다:
    1. 전체 위임: 무조건적인 "대리(speaks-for)" 권한.
    2. 스코프 제한 위임: 특정 행동/리소스의 하위 집합으로 제한된 권한.
    3. 조건부 위임: 특정 술어(예: 시간, 위치) 하에서만 유효한 권한.
    4. 깊이 제한 위임: 위임 체인의 재귀 깊이를 제한함.
    5. 시간 제한 위임: 시간 기반의 유효성.
    6. 그룹 위임: 다중 주체 승인(n-of-m)을 요구함.
  • 스코프 및 감쇄: 스코프는 계층적 컨테이너(예: 조직 $\to$ 프로젝트 $\to$ 폴더)로 모델링됩니다. 에이전트의 "권한 봉투(authorization envelope)"는 인간으로부터 기원한 위임 체인과 활성 세션 스코프의 교집합입니다.
• 구성 연산자(Overlay):
  • 저자들은 도메인 특화 ReBAC 스키마와 일반적인 "에이전트 오버레이" 스키마를 융합하는 타입 지정 그래프 리라이트 연산자(Double-Pushout/DPO 이론에서 영감을 받음)를 정의합니다.
  • 이 오버레이는 새로운 타입(agent, session, scope)과 관계(delegatee, can_execute_on_my_behalf, in_scope)를 도입합니다.
  • 리프트 명세(Lift Specification): 연산자는 기존의 인간 권한(예: viewer)을 "리프트"하여, 이를 원래의 인간 액세스와 다음 항목들의 교집합으로 재정의합니다:
    1. 활성 스코프 내의 에이전트들(ags_in_scope).
    2. 원래의 인간 주체로부터 도달 가능한 체인 상의 에이전트들(chain_agents_for_r).
  • 이를 통해 인간의 액세스는 권위를 유지하면서, 에이전트의 액세스는 엄격하게 파생되고 오버레이에 의해 제한되도록 보장합니다.

3. 주요 기여

본 논문은 네 가지 구체적인 기여를 합니다:

1. 개념화: 정적 역할에서 벗어나, 위임 유형과 리소스 스코핑을 에이전트 권한 부여의 주요 동인으로 정의함으로써 계약적이고 실행 시점에 평가되는 조건으로 전환했습니다.
2. 공식화: 에이전트 거버넌스 오버레이로서의 위임을 공식화하고, 그래프 변환 이론을 사용하여 이러한 의미론을 기존 권한 부여 도메인에 통합하는 구성적 연산자를 제공합니다.
3. 보안 아키텍처: 사용자, 에이전트, 스코프 및 위임 세션을 관리하기 위해 결과적인 권한 부여 그래프를 활용하는 보안 아키텍처를 설명하며, 이를 통해 지속적인 검증 및 취소를 가능하게 합니다.
4. 검증: 기존 ReBAC 의미론의 보존과 에이전트-권한 부여 건전성에 대한 형식적 증명을 포함하며, 대규모 합성 ReBAC 모델에 대한 오버레이의 런타임 오버헤드를 보여주는 경험적 벤치마크를 제시합니다.

4. 결과 및 평가

• 형식적 증명: 저자들은 구성적 오버레이가 기본 ReBAC 엔진의 건전성(soundness)을 보존함을 증명합니다. 오버레이는 권한 확인을 위한 새로운 실행 의미론을 도입하는 것이 아니라, 기존의 userset 메커니즘에 의해 평가되는 잘 정의된 타입의 관계를 추가할 뿐입니다. 이는 시스템이 결정론적이고 근거가 확실함을 보장합니다.
• 경험적 평가: 본 논문은 대규모 합성 ReBAC 모델에 오버레이를 적용할 때 발생하는 런타임 오버헤드를 보여주는 벤치마크를 제시합니다. 결과는 구성적 접근 방식이 실용적이며 관리 가능한 수준의 오버헤드만을 발생시켜, 실제 환경 배포의 타당성을 입증합니다.
• 운영 예시: 프레임워크는 시간 제한 제약 조건이 있는 에이전트에게 사용자가 권한을 위임하는 시나리오를 통해 시연됩니다. 시스템은 위임 체인과 활성 세션 스코프를 교차 계산하여 에이전트의 액세스 권한을 성공적으로 산출하며, 조건 만료 즉시 액세스를 취소합니다.

5. 의의 및 주장

본 논문은 에이전트형 AI 시스템을 위한 책임 있는 권한 부여의 형식적이면서도 실용적인 기초를 제공한다고 주장합니다. 그 의의는 다음과 같습니다:

• 거버넌스의 실행화: AI 거버넌스를 추상적인 원칙에서 서로 다른 도메인(예: 금융, 의료)에서 표준화하고 재사용할 수 있는 실행 가능한 관계적 프리미티브로 이동시킵니다.
• 최소 권한 집행: 위임을 계약적이고 컨텍스트를 인식하는 관계로 취급함으로써, 에이전트가 오직 제한된 "봉투" 내에서만 행동하도록 하여 최소 권한 원칙을 동적으로 집행합니다.
• 상호 운용성: 프레임워크의 구성적 특성 덕분에 기업의 아이덴티티 인프라를 완전히 재설계할 필요 없이 기존의 RBAC, ABAC 또는 하이브리드 정책 위에 배치될 수 있습니다.
• 추적 가능성: 권한 부여 상태를 추적할 수 있게 하여, 자율 시스템의 특정 행동에 대해 위임 체인과 스코프를 감사할 수 있도록 하며, 이는 포렌식 분석에 필수적입니다.

저자들은 이 연구가 정적 토큰 기반 동의(OAuth)에서 차세대 자율 에이전트에 필요한 동적이고 재귀적이며 컨텍스트를 인식하는 거버넌스 프리미티브로의 필수적인 진화라고 규정합니다.