🖼️ 인포그래픽

🖼️ 4컷 인포그래픽

📰 How to Choose the Right Sandbox for AI Agents

💡 한 줄 요약

AI 에이전트가 코드를 작성·실행할 때 생기는 프롬프트 인젝션과 데이터 유출 위험을 줄이려면, 격리 파일시스템·네트워크 제한·자원 제한·재사용 통제·커널 수준 격리를 갖춘 샌드박스를 선택해야 한다.

📌 핵심 요약

• AI 에이전트는 실제 행동을 수행할 때 가치가 커지며, 특히 코드를 작성하고 실행하는 능력은 소프트웨어 개발뿐 아니라 데이터 분석 같은 비개발 작업에도 유용하다.
• 그러나 에이전트가 작성한 코드는 예기치 않은 보안 위협을 만들 수 있고, 프롬프트 인젝션을 통해 공격자가 민감 데이터와 시스템을 침해하도록 유도할 수 있다.
• 원문은 민감 데이터 접근, 신뢰할 수 없는 콘텐츠 노출, 외부 통신 능력이 동시에 존재하는 ‘치명적 삼박자’가 에이전트 보안의 핵심 위험이라고 설명한다.
• 안전한 샌드박스는 에이전트가 필요한 데이터와 자원만 사용하도록 경계를 만들고, 외부 통신과 지속 상태를 통제하며, 호스트와 커널 수준으로 분리되어야 한다.
• LangSmith Sandboxes는 전용 microVM, 자체 파일시스템, 네트워크 접근 제어, 수명주기 관리, 인증 프록시 등을 제공하며 LangChain·LangGraph·Deep Agents 기반 에이전트에 통합할 수 있다고 소개된다.

🧩 주요 포인트

1. AI 에이전트는 실제 행동을 수행할 때 가치가 커지며, 특히 코드를 작성하고 실행하는 능력은 소프트웨어 개발뿐 아니라 데이터 분석 같은 비개발 작업에도 유용하다.
2. 그러나 에이전트가 작성한 코드는 예기치 않은 보안 위협을 만들 수 있고, 프롬프트 인젝션을 통해 공격자가 민감 데이터와 시스템을 침해하도록 유도할 수 있다.
3. 원문은 민감 데이터 접근, 신뢰할 수 없는 콘텐츠 노출, 외부 통신 능력이 동시에 존재하는 ‘치명적 삼박자’가 에이전트 보안의 핵심 위험이라고 설명한다.
4. 안전한 샌드박스는 에이전트가 필요한 데이터와 자원만 사용하도록 경계를 만들고, 외부 통신과 지속 상태를 통제하며, 호스트와 커널 수준으로 분리되어야 한다.
5. LangSmith Sandboxes는 전용 microVM, 자체 파일시스템, 네트워크 접근 제어, 수명주기 관리, 인증 프록시 등을 제공하며 LangChain·LangGraph·Deep Agents 기반 에이전트에 통합할 수 있다고 소개된다.

🧠 상세 정리

1. AI 에이전트의 가치와 코드 실행의 위험

원문은 AI 에이전트가 가장 유용해지는 순간을 ‘행동할 수 있을 때’로 설명한다. 그중에서도 코드를 작성하고 실행하게 하는 것은 높은 가치를 내는 기능으로 제시된다. 에이전트가 만든 코드 자체가 결과물이 될 수도 있고, 맞춤형 데이터 분석을 위한 일회성 스크립트처럼 다른 업무를 돕는 수단이 될 수도 있다. 하지만 이런 자율성은 보안 위험을 동반한다. 에이전트가 작성한 코드는 데이터와 시스템에 예상치 못한 위협을 만들 수 있으므로, 어디에서 실행되고 무엇에 접근할 수 있는지 통제해야 한다.

2. 프롬프트 인젝션과 ‘치명적 삼박자’

원문은 현재 프롬프트 인젝션을 확실하게 막는 방법이 없다고 전제한다. 신뢰할 수 없는 콘텐츠는 최종 사용자 입력, 외부 MCP 서버 응답, 제3자가 작성한 스킬 등 다양한 경로로 에이전트의 컨텍스트에 들어올 수 있다. Simon Willison이 정리한 ‘치명적 삼박자’는 민감 데이터 접근, 신뢰할 수 없는 콘텐츠 노출, 외부 통신 능력이 모두 존재하는 조건을 뜻한다. 이 세 조건이 동시에 참이면 공격자가 에이전트를 이용해 데이터를 훔칠 수 있다. Meta가 제안한 ‘Rule of Two’는 이 세 조건이 모두 적용되는 상황에서 에이전트를 완전 자율로 실행하지 말라는 원칙으로 소개된다.

3. Rule of Two를 지키기 어려운 현실

Rule of Two는 이해하기 쉬운 원칙이지만 실제로 적용하기는 어렵다고 원문은 말한다. 에이전트가 유용하게 작동하려면 보통 민감 데이터에 접근해야 하고, 동시에 외부와 통신할 능력도 필요하기 때문이다. 기초 모델과 에이전트 실행 환경이 발전하면서 에이전트는 더 많은 컨텍스트를 활용할 수 있게 되었지만, 이는 공격자가 프롬프트 인젝션을 전달할 가능성도 높인다. 결국 많은 에이전트는 치명적 삼박자의 조건에 가까워진다. 따라서 에이전트가 어떤 데이터로 어떤 행동을 할 수 있는지 제한하는 보호 장치가 필요하며, 샌드박스는 이 위험 요인을 좁히는 수단으로 제시된다.

4. 안전한 샌드박스가 갖춰야 할 기본 통제

원문은 안전한 샌드박스가 에이전트의 노출 범위를 줄이고, 프롬프트 인젝션이 성공했을 때의 피해를 제한해야 한다고 설명한다. 핵심 기능으로는 격리된 파일시스템, 제한된 네트워크 접근, 자원 제한, 통제 가능한 재사용성, 호스트 머신과의 커널 수준 격리가 제시된다. 샌드박스에는 에이전트가 작업에 필요한 데이터만 들어 있어야 하며, 다른 데이터 접근은 막아야 한다. 또한 인터넷으로 데이터를 보낼 수 있는 외부 엔드포인트를 지정할 수 있어야 한다. 이렇게 해야 공격자가 데이터 유출을 유도하더라도 신뢰한 대상 외부로 보내기 어렵다.

5. 자원 제한, 재사용성, 커널 격리의 의미

샌드박스는 에이전트가 사용할 수 있는 연산 자원과 메모리, 실행 시간을 제한할 수 있어야 한다. 손상된 에이전트가 시스템 자원을 과도하게 소비하지 못하게 하기 위해서다. 재사용 가능한 샌드박스는 실행 사이에 상태를 유지할 수 있어 편리하지만, 한 번 침해되면 그 피해가 지속될 수 있다는 위험도 있다. 따라서 샌드박스 솔루션은 재사용 여부를 사용자가 선택할 수 있어야 한다. 특히 원문은 커널 수준 격리를 중요하게 다룬다. 운영체제 커널의 취약점을 이용해 호스트를 장악하면 다른 통제가 무력화될 수 있으므로, 별도 커널을 사용하는 가상화 또는 microVM 기반 접근이 필요하다고 설명한다.

6. LangSmith Sandboxes의 구현과 통합

원문은 LangSmith Sandboxes를 LangSmith 에이전트 엔지니어링 플랫폼에 통합된 관리형 보안 코드 실행 솔루션으로 소개한다. 각 샌드박스는 전용 microVM과 자체 파일시스템을 기반으로 하며, 서로와 기반 인프라로부터 커널 수준으로 격리된다고 설명된다. 사용자는 샌드박스의 시작, 종료, 최종 삭제까지 수명주기를 제어하고, 필요한 만큼 재사용 여부를 결정할 수 있다. 또한 샌드박스 내부 프로세스가 어떤 네트워크 접근을 가질지 정할 수 있으며, 인증 프록시가 샌드박스를 떠난 뒤 아웃바운드 트래픽에 보안 자격 증명을 주입해 비밀값을 샌드박스 안에 넣지 않아도 된다고 설명한다. LangChain, LangGraph, Deep Agents로 만든 에이전트에는 몇 줄의 코드로 샌드박스 사용을 추가할 수 있다고 덧붙인다.

🧾 핵심 주장 / 시사점

• 에이전트 보안의 핵심은 프롬프트 인젝션을 완전히 막는 것이 아니라, 침해가 발생해도 접근 가능한 데이터와 외부 전송 경로를 작게 만드는 데 있다.
• 샌드박스라는 이름만으로 충분하지 않으며, 실제로 파일시스템·네트워크·자원·재사용·커널 격리를 제공하는지 비판적으로 검증해야 한다.
• 에이전트를 실무에 투입할수록 유용성과 위험이 함께 커지므로, 코드 실행 기능은 제품 기능이 아니라 보안 경계 설계의 일부로 다뤄야 한다.

✅ 액션 아이템

• 원문에서 강조한 핵심 변화와 이해관계자를 기준으로 How to Choose the Right Sandbox for AI Agents의 영향을 정리한다.
• 다음 의사결정이나 제품/정책 판단에 연결될 수 있는 근거를 원문 문장과 함께 기록한다.
• 기사에서 제시한 수치·사례·제약 조건을 분리해 과장 없이 검토한다.
• 후속 모니터링이 필요한 발표·제품·정책 변화가 있는지 출처 링크를 기준으로 추적한다.

❓ 열린 질문

• Give your agent its own computer]]" "215. 이 변화가 실제 사용자나 조직의 선택 기준을 어떻게 바꿀까?
• Delta Channels How We’re Evolving our Runtime for Long Running Agents" "202. 이 근거가 다른 산업이나 지역에서도 동일하게 적용될 수 있을까?
• The best open source frameworks for building AI agents in 2026" "192. 기사에서 아직 검증되지 않은 전제나 리스크는 무엇일까?
• Interpreter Skills Building Workflows for Agents" "[[259. 후속 발표나 데이터가 나오면 어떤 지표를 먼저 비교해야 할까?