자율 AI 에이전트의 공급망 취약점과 JFrog 레지스트리 강제화

AI 에이전트가 사용자의 명시적 지시 없이 배경에서 스스로 라이브러리를 설치하고 실행하는 환경이 구축됐다. NanoClaw 에이전트는 기능을 확장하기 위해 패키지를 다운로드하는 과정에서 운영자의 감독 없이 동작하며, 이로 인해 악성 코드가 주입되는 소프트웨어 공급망 공격의 사각지대가 발생한다. 특히 에이전트를 운영하는 사용자가 개발자가 아닌 경우, 배경에서 일어나는 패키지 설치가 시스템에 미치는 보안 영향력을 인지하지 못하는 문제가 심화된다.

NanoCo의 CEO 가브리엘 코헨(Gavriel Cohen)과 소프트웨어 공급망 관리 기업 JFrog는 자율 에이전트를 이러한 코드 주입 공격으로부터 보호하는 보안 통합 솔루션을 출시했다. NanoClaw 에이전트는 이제 소프트웨어 패키지, CLI 도구, Model Context Protocol(MCP) 서버 요청을 JFrog의 검증된 레지스트리를 통해서만 처리하도록 강제된다. MCP는 AI 모델이 외부 데이터나 도구에 접근할 수 있게 돕는 표준 프로토콜이다. JFrog의 CSO 갈 마더(Gal Marder)는 에이전트가 수행하는 동작을 완전히 제어하거나 학습시키는 것이 불가능하다는 점을 지적하며, 인프라 수준의 직접 연결을 통해 보안 스캔을 완료한 안전한 종속성만 가져오도록 설계했다.

403 보안 정책 에러를 통한 '동적 교정 루프'의 작동 원리

JFrog 레지스트리는 에이전트가 취약한 라이브러리를 요청할 때 이를 가로채어 설치를 차단하는 자동 면역 체계로 작동한다. 에이전트가 Axios의 취약 버전과 같이 오염된 패키지를 다운로드하려고 시도하면, JFrog 레지스트리는 '403 security policy'라는 보안 정책 에러를 반환하며 설치 프로세스를 즉시 중단시킨다. 이는 모델의 추론 능력에 의존하지 않고 인프라 수준에서 보안 거버넌스를 강제하는 방식이다.

시스템은 단순한 차단에 그치지 않고 에이전트가 스스로 안전한 대안을 찾게 만드는 '동적 교정 루프(Dynamic Correction Loop)'를 실행한다. 동적 교정 루프는 에이전트에게 현재 요청한 패키지에 포함된 구체적인 취약점 정보를 전달하고, 승인된 비악성 버전을 자동으로 탐색하여 설치하도록 유도하는 피드백 체계다. 에이전트는 이 루프를 통해 보안 정책을 준수하는 최신 버전을 다시 요청함으로써 스스로 동작을 수정한다. 이러한 메커니즘은 에이전트가 보안 위협을 인지하고 스스로 동작을 수정하게 함으로써, 인간의 개입 없이도 안전한 실행 환경을 유지하는 기술적 토대가 된다.

환경 제어 관점의 보안 거버넌스와 인프라 격리 전략

NanoCo와 JFrog는 사용자 유형에 따라 오픈소스 커뮤니티와 기업용 환경으로 구분된 듀얼 트랙 접근 방식을 적용했다. 오픈소스 사용자는 JFrog가 제공하는 검증된 아티팩트와 도구, 스킬에 무료로 접근하며, 커뮤니티가 공유한 새로운 스킬은 레지스트리에 업로드되어 악성 코드 스캔을 거친 후 배포된다. 기업 고객은 기존의 상용 JFrog 환경을 활용해 내부 레지스트리에 에이전트를 연결함으로써, 회사의 상용 라이선스와 내부 보안 정책 및 거버넌스 표준을 준수한다. 특히 기업은 어떤 에이전트가 누구에 의해 실행되고 어떤 패키지와 MCP를 소비하는지 추적할 수 있는 '기록 시스템(System of Record)'을 통해 절대적인 가시성을 확보하고 신뢰 계층(Trust Layer)을 구축한다.

NanoCo는 실행 환경의 격리를 위해 Vercel과의 파트너십으로 앱 내 권한 요청 대화 상자를 추가하고, Docker와의 협력을 통해 NanoClaw 에이전트를 가상 컨테이너 내부에 배치했다. 가상 컨테이너 배치는 에이전트를 다른 소프트웨어 환경과 완전히 격리해 내부 시스템 침투 가능성을 원천적으로 차단하는 조치다. 이는 AI 모델을 학습시켜 제로데이 취약점을 인식하게 하는 대신, 에이전트가 취약점에 접근할 수 없는 환경을 구축하는 '환경 제어' 관점의 보안 전략을 구현한 결과다. 결국 자율 AI 에이전트 도입의 판단 기준은 모델의 성능이 아니라, 외부 인프라의 통제 가능 여부로 전환되어야 한다.

***

**KEY POINT**

- AI 에이전트가 지시 없이 라이브러리를 설치하는 환경에서 NanoClaw는 모든 요청을 JFrog의 검증된 레지스트리로 강제한다.

- 403 보안 정책 에러로 설치를 차단하면 에이전트가 스스로 승인된 버전을 찾는 동적 교정 루프가 작동한다.

- 모델의 지능을 높이는 것보다 에이전트가 움직이는 경로를 물리적으로 제한하는 것이 더 확실한 보안책이다.