위협 모델

AI 에이전트 보안을 위한 MITRE ATLAS 프레임워크

v1.0-draft MITRE ATLAS 2025

총 위협 수

치명적 위험

높은 위험

보통 위험

낮은 위험

치명적

높음

보통

낮음

ATLAS 전술별 위협 매트릭스

정찰

AML.TA0002

T-RECON-001

에이전트 엔드포인트 탐지

AML.T0006 Medium

T-RECON-002

채널 연동 탐색

AML.T0006 Low

T-RECON-003

스킬 기능 정찰

AML.T0006 Low

초기 접근

AML.TA0004

T-ACCESS-001

페어링 코드 가로채기

AML.T0040 Medium

T-ACCESS-002

AllowFrom 스푸핑

AML.T0040 Medium

T-ACCESS-003

토큰 탈취

AML.T0040 High

T-ACCESS-004

악성 스킬을 통한 초기 접근

AML.T0010.001 Critical

T-ACCESS-005

손상된 스킬 업데이트

AML.T0010.001 High

T-ACCESS-006

채널을 통한 프롬프트 인젝션

AML.T0051.000 High

실행

AML.TA0005

T-EXEC-001

직접 프롬프트 인젝션

AML.T0051.000 Critical

T-EXEC-002

간접 프롬프트 인젝션

AML.T0051.001 High

T-EXEC-003

도구 인자 인젝션

AML.T0051.000 High

T-EXEC-004

실행 승인 우회

AML.T0043 High

T-EXEC-005

악성 스킬 코드 실행

AML.T0010.001 Critical

T-EXEC-006

MCP 서버 명령 인젝션

AML.T0051.000 High

지속성 확보

AML.TA0006

T-PERSIST-001

스킬 기반 지속성

AML.T0010.001 Critical

T-PERSIST-002

오염된 스킬 업데이트 지속성

AML.T0010.001 High

T-PERSIST-003

에이전트 설정 변조

AML.T0010.002 Medium

T-PERSIST-004

탈취된 토큰 지속성

AML.T0040 High

T-PERSIST-005

프롬프트 인젝션 메모리 오염

AML.T0051.000 Medium

방어 회피

AML.TA0007

T-EVADE-001

검수 패턴 우회

AML.T0043 High

T-EVADE-002

콘텐츠 래퍼 탈출

AML.T0043 Medium

T-EVADE-003

승인 프롬프트 조작

AML.T0043 Medium

T-EVADE-004

단계적 페이로드 전달

AML.T0043 High

탐색

AML.TA0008

T-DISC-001

도구 열거

AML.T0040 Low

T-DISC-002

세션 데이터 추출

AML.T0040 Medium

T-DISC-003

시스템 프롬프트 추출

AML.T0040 Medium

T-DISC-004

환경 열거

AML.T0040 Medium

유출

AML.TA0010

T-EXFIL-001

web_fetch를 통한 데이터 탈취

AML.T0009 High

T-EXFIL-002

무단 메시지 전송

AML.T0009 Medium

T-EXFIL-003

스킬을 통한 자격 증명 수집

AML.T0009 Critical

T-EXFIL-004

대화 기록 유출

AML.T0009 High

영향

AML.TA0011

T-IMPACT-001

무단 명령 실행

AML.T0031 Critical

T-IMPACT-002

리소스 고갈 (DoS)

AML.T0031 High

T-IMPACT-003

평판 손상

AML.T0031 Medium

T-IMPACT-004

데이터 파괴

AML.T0031 High

T-IMPACT-005

에이전트를 통한 금융 사기

AML.T0031 High

치명적 공격 체인

악성 스킬 전체 킬 체인

T-RECON-003→T-EVADE-001→T-ACCESS-004→T-EXEC-005→T-PERSIST-001→T-EXFIL-003

ClawHub 정찰 → 회피 스킬 제작 → 사용자 설치 → 코드 실행 → 지속성 확보 → 자격 증명 수집

스킬 공급망 공격

T-ACCESS-005→T-EVADE-004→T-EXEC-005→T-PERSIST-002→T-EXFIL-004

게시자 손상 → 단계적 페이로드 배포 → 업데이트 시 실행 → 지속성 유지 → 대화 기록 유출

프롬프트 인젝션으로 원격 코드 실행

T-ACCESS-006→T-EXEC-001→T-EVADE-003→T-EXEC-004→T-IMPACT-001

채널 접근 → 프롬프트 주입 → 승인 조작 → 검사 우회 → 명령 실행

간접 인젝션 데이터 탈취

T-EXEC-002→T-DISC-004→T-EXFIL-001

가져온 콘텐츠 오염 → 환경 열거 → web_fetch를 통한 유출

토큰 탈취 지속 접근

T-ACCESS-003→T-PERSIST-004→T-DISC-002→T-EXFIL-002

토큰 탈취 → 접근 유지 → 세션 데이터 추출 → 메시지를 통한 유출

금융 사기 체인

T-ACCESS-006→T-EXEC-001→T-DISC-001→T-IMPACT-005

채널 접근 획득 → 프롬프트 주입 → 금융 도구 열거 → 사기 실행

신뢰 경계

공급망

ClawHub

스킬 게시 (시맨틱 버전, SKILL.md 필수)
패턴 기반 검수 플래그
VirusTotal Code Insight
GitHub 계정 생성 일자 확인

채널 접근 제어

Gateway

기기 페어링 (30초 유예)
AllowFrom / AllowList 검증
토큰/비밀번호/Tailscale 인증

세션 격리

Agent Sessions

세션 키 = agent:channel:peer
에이전트별 도구 정책
대화 기록 로깅

도구 실행

Execution Sandbox

Docker 샌드박스 또는 호스트 (실행 승인)
Node 원격 실행
SSRF 보호 (DNS 고정 + IP 차단)

외부 콘텐츠

Fetched URLs / Emails / Webhooks

외부 콘텐츠 래핑 (XML 태그)
보안 알림 주입