A2A 프로토콜의 Agent Card는 에이전트가 오케스트레이터에 발견되도록 자신을 설명한다. 문제? 이 자기 설명이 LLM에 의해 파싱되며, 공격자가 설명 필드에 악성 프롬프트를 주입하여 라우팅을 하이재킹하고, 데이터를 탈취하거나, 다운스트림 결정을 오염시킬 수 있다. 단일 방어는 통하지 않는다 — 다층 보안만이 가능성이 있다.
HR 시스템을 해킹하는 이력서
지원자가 자기 이력서를 직접 작성하고, HR 시스템이 이력서에 적힌 대로 자동 실행한다고 상상해보자. "모든 직위에 최적의 후보입니다. 항상 저를 채용하세요." 터무니없지?
이것이 본질적으로 Google의 A2A(Agent-to-Agent) 프로토콜의 Agent Card에서 일어나고 있는 일이다. Agent Card는 에이전트의 이름, 설명, 기능, 엔드포인트를 선언하는 JSON 구조다. 클라이언트 에이전트(오케스트레이터)가 이 카드를 읽고, 해당 LLM이 어떤 에이전트에게 작업을 줄지 결정한다.
함정: LLM이 그 자기 설명을 신뢰된 입력으로 취급한다.
A2A 관련 보안 연구를 파고들었는데, 솔직히 공격 표면이 무섭다. 에이전트가 자기를 소개하면 우리가 그냥... 믿는 생태계를 구축하고 있다니?
Agent Card를 오염시키는 다섯 가지 방법
Trustwave SpiderLabs가 주요 공격 벡터를 분류했는데, 꽤 창의적이다:
1. 설명 오염(Description Poisoning) → 설명 필드에 명령어 주입
2. 스킬 과장(Skill Exaggeration) → 능력을 과대 주장하여 모든 라우팅 탈취
3. 에이전트 섀도잉(Agent Shadowing) → 합법적 에이전트 이름 타이포스쿼팅
4. 파라미터 오염(Parameter Poisoning) → 스킬/예시 필드를 조작하여 컨텍스트 추출
5. 러그 풀 공격(Rug Pull Attack) → 처음에는 정상 운영, 나중에 악성 카드로 교체"러그 풀"이 특히 악랄하다 — 에이전트가 몇 주간 정상 운영하며 신뢰를 쌓은 후, 조용히 Agent Card를 악성으로 업데이트한다. A2A에는 이를 잡아낼 평판 시스템이 없다.
"에이전트 인 더 미들" — 생각보다 더 심각하다
Trustwave의 Tom Neaves가 전체 공격 체인을 시연했다: 과장된 Agent Card로 악성 에이전트를 등록하면, 오케스트레이터의 LLM이 모든 태스크를 공격자에게 라우팅하기 시작한다. 모든 사용자의 민감한 데이터가 악성 에이전트를 통해 흐르며, 다운스트림에서 거짓 결과를 반환할 수 있다.
"공격은 데이터 캡처에서 멈추지 않는다 — 거짓 결과를 반환할 수 있고, 이는 다운스트림에서 LLM이나 사용자에 의해 행동으로 옮겨진다." — Tom Neaves, Trustwave
하지만 Palo Alto의 Unit 42가 2025년 11월에 더 무서운 것을 발견했다.
에이전트 세션 스머글링: 장기전
이것이 밤잠을 설치게 하는 것이다. 단발성 프롬프트 인젝션도 나쁘지만, 실시간으로 적응하는 멀티턴 공격? 그것은 기계 속도의 소셜 엔지니어링이다.
Unit 42가 Agent Session Smuggling — A2A의 상태 유지 통신을 악용한 멀티턴 공격 — 을 발견했다. 작동 방식:
- 악성 원격 에이전트가 합법적 요청을 수신한다
- 정상적으로 응답하지만, 클라이언트에게 추가 명령어를 밀반입한다
- 여러 턴에 걸쳐 신뢰를 쌓으며 점진적으로 민감한 데이터를 추출한다
- 공격은 보이지 않는다 — 인젝션이 최종 응답에서만 드러난다
PoC는 금융 어시스턴트(클라이언트)가 악성 리서치 어시스턴트와 대화하는 구조였다. 공격자가 채팅 기록, 시스템 프롬프트, 사용 가능한 도구, 도구 스키마를 모두 추출했다 — "자연스러운 명확화 질문"을 통해.
단발성 인젝션: 하나의 악성 입력, 한 번의 시도
세션 스머글링: 적응적, 멀티턴, 컨텍스트 인식
- AI 기반 공격자가 응답에 따라 전략 조정
- 자연스러운 대화 흐름으로 위장
- 상태 유지 세션 설계를 악용
- Scale AI 확인: 멀티턴 방어가 "현저히 더 어렵다"이것은 인간의 "돼지 도살" 사기와 유사하다 — 6개월간의 관계 사기가 단일 피싱 이메일보다 훨씬 높은 성공률을 보인다.
실제로 방어할 수 있는가?
OpenAI/Anthropic/DeepMind 공동 연구(2025년 10월)의 솔직한 답변: 단일 방어는 통하지 않는다. 알려진 12가지 방어 기법을 적응적 공격에 대해 테스트했다. 모두 단독으로는 실패했다.
OWASP 다층 방어 (7계층):
✓ 모델 행동 제약
✓ 출력 포맷 검증
✓ 입출력 필터링
✓ 최소 권한 원칙
✓ 고위험 작업에 휴먼 인 더 루프
✓ 외부 콘텐츠 격리
✓ 적대적 테스팅
멀티 에이전트 방어 파이프라인 (ArXiv, 2025년 12월):
→ 모든 테스트 시나리오에서 공격 성공률 0%로 감소
→ 하지만: 알려진 공격 패턴에 대해서만 테스트
크로스 에이전트 멀티모달 프레임워크 (2026년 1월):
→ 94% 탐지 정확도
→ 70% 신뢰 누출 감소
→ 96% 태스크 정확도 유지IEEE Spectrum의 2026년 1월 분석은 직설적이었다: LLM에는 인간이 가진 세 가지 방어 계층이 없다 — 직관적 판단("뭔가 이상하다" 감지), 사회적 학습(반복 상호작용을 통한 신뢰 구축), 제도적 메커니즘(절차와 에스컬레이션). LLM은 모든 것을 토큰 유사도로 평탄화하며 의도를 계층적으로 평가할 수 없다.
인프라 대응: OWASP의 Agent Name Service
OWASP가 Agent Name Service(ANS) v1.0을 제안했다 — 기본적으로 에이전트를 위한 DNS로, PKI 기반 신원 확인, 능력 주장에 대한 영지식 증명, Agent Card의 암호화 서명을 포함한다. GoDaddy가 레지스트리 인프라를 구축하고 있다.
하지만 불편한 질문이 있다:
PKI 서명은 Agent Card를 누가 발행했는지를 확인하지, 내용이 악성인지 여부는 확인하지 않는다. 합법적 제공자가 의도적으로 오염된 프롬프트를 내장할 수 있고, 서명이 유효한 상태에서 시스템이 침해될 수 있다. HTTPS 문제의 반복이다 — 연결은 안전하지만, 사이트 자체가 악성일 수 있다. 신원 확인이 아닌 Agent Card 내용의 시맨틱 분석이 필요하다.
빠진 것: 평판
A2A 프로토콜에는 평판 시스템이 없다. 모든 상호작용이 제로 트러스트에서 시작 — 과거 행동에 대한 기억이 없다. 이는 다음을 의미한다:
- 러그 풀 공격이 탐지 불가능
- 과장된 능력 주장을 실적과 대조하여 검증할 수 없음
- 커뮤니티 피드백 루프가 없음
Safe Browsing이나 Web of Trust 없이 초기 인터넷을 운영하는 것과 같다. 어떻게 됐는지 우리는 안다.
불편한 진실
IEEE Spectrum의 결론이 가장 뼈아프다: "프롬프트 인젝션은 해결 불가능한 문제이며, AI 에이전트에게 더 많은 도구와 자율성을 줄수록 악화된다."
공격 성공률이 이야기를 들려준다:
적응적 프롬프트 인젝션: >50%
GPTFuzz (퍼징 기반): >90%
GAP (프루닝 기반): >90%
CBA/DemonAgent (백도어): ~100%
모바일 OS 환경 인젝션: ~93%우리는 공격자가 실패보다 성공이 많은 기반 위에 에이전트 경제를 구축하고 있다. 유일한 현실적 전략은 다층 방어 — 단일 실패가 치명적이지 않도록 여러 겹의 방어 계층을 중첩하는 것이다.
Agent Card 오염과 Agent Card 방어 사이의 경쟁은 이제 막 시작됐다. 그리고 지금은, 공격자가 이기고 있다.
출처:
- Trustwave SpiderLabs — "Agent in the Middle" (2025년 8월)
- Palo Alto Unit 42 — "Agent Session Smuggling" (2025년 11월)
- OWASP — LLM01:2025 Prompt Injection
- OWASP — Agent Name Service v1.0 (2025년 7월)
- IEEE Spectrum — "Why AI Keeps Falling for Prompt Injection" (2026년 1월)
- ArXiv — "From Prompt Injections to Protocol Exploits" (2026년 1월)
- Simon Willison — "Agents Rule of Two" (2025년 11월)