Sovereign Execution Broker: AI 에이전트의 클라우드 인프라 변경을 Certificate로 강제 통제하는 런타임 경계
Sovereign Execution Brokers: Enforcing Certificate-Bound Authority in Agentic Control Planes
TL;DR Highlight
LLM 에이전트가 AWS/K8s를 직접 건드리지 못하게, 모든 인프라 변경을 암호화 인증서로 묶어 중간 브로커가 강제 검증하는 보안 아키텍처.
Who Should Read
LLM 에이전트에게 클라우드 인프라 제어권을 주면서도 보안이 걱정되는 DevOps/플랫폼 엔지니어. AWS IAM이나 Kubernetes RBAC만으로는 에이전트의 오작동·프롬프트 인젝션을 막기 어렵다고 느끼는 팀.
Core Mechanics
- 기존 IAM은 '누가' 요청하는지만 보지만, SEB는 '이 특정 작업이 지금 이 순간에도 여전히 안전한가'를 7단계 파이프라인으로 검증함.
- 에이전트는 영구 자격증명(standing credentials)을 아예 갖지 못하고, SEB만이 AWS STS나 K8s TokenRequest로 단명 토큰을 발급해 실행하는 구조.
- SAB(Sovereign Assurance Boundary)가 발급한 암호화 인증서(Ω)에 작업 내용·대상 리소스·유효 시간·revocation epoch이 묶여 있어, 인증서 발급 후 상태가 바뀌면 실행 자체를 거부함.
- TOCTOU(Time-of-Check to Time-of-Use) 문제를 막기 위해 실행 직전에 live-state drift 체크를 수행 — 인증 시점과 실행 시점 사이에 서브넷이 삭제되거나 보안 정책이 바뀌면 자동 거부.
- 글로벌 revocation epoch 카운터를 두고, 보안 사고 발생 시 epoch를 올리면 이미 발급된 인증서들을 최대 5.2초 내에 전량 차단함.
- nonce 예약을 PostgreSQL atomic INSERT로 구현해 동일 인증서의 replay 공격(이미 실행한 작업 재실행)을 원천 차단하고, 모든 결정·결과를 Ed25519 서명된 레코드로 기록함.
Evidence
- 주입된 9가지 공격 시나리오(미인증 변경, replay, 정책 epoch 불일치, revocation partition 등) 각 1,000건 테스트에서 거부율 100%, unsafe escape rate 0.0%.
- K8s 워크로드 broker-only 오버헤드 p50 28.2ms, p99 47.1ms / AWS 워크로드 p50 136.9ms, p99 284.1ms — 오버헤드의 62%는 AWS drift 체크(DescribeSecurityGroups) 때문.
- revocation epoch 전파: 폴링 5초 + 캐시 TTL 5초 기준 최대 5.2초(평균 2.6초) 내에 모든 브로커가 해당 인증서를 거부하기 시작.
- K8s TokenRequest 어댑터 최대 처리량 820 req/s(80 threads), AWS STS 어댑터는 API 스로틀링으로 40 threads에서 240 req/s로 제한됨.
How to Apply
- 에이전트가 보안 그룹 변경·auto-scaling·DB 접근 등 고위험 작업을 수행해야 할 때, 에이전트 서비스 계정의 IAM 권한에서 mutation API를 완전히 제거하고 SEB 브로커 역할만 해당 API를 호출할 수 있도록 AWS SCP(Service Control Policy)를 설정하면 된다.
- Kubernetes 환경에서는 에이전트 ServiceAccount에서 create/update/patch/delete verb를 제거하고, Validating Admission Webhook을 설치해 `seb.openkedge.io/cid`와 `seb.openkedge.io/nonce` 어노테이션이 없는 protected namespace 변경을 전부 거부하도록 구성한다.
- 인증서 발급 후 실행까지 시간 차이가 있는 워크플로우(예: 야간 배치 작업 사전 승인)에서 drift 허용 임계값 ε_C를 0으로 설정하면 상태 변화 시 자동 재심사를 강제할 수 있고, 비교적 안정적인 리소스는 ε_C를 높여 불필요한 거부를 줄일 수 있다.
Code Example
-- PostgreSQL: SEB가 replay 공격을 막는 nonce 예약 테이블
CREATE TABLE reserved_nonces (
cid UUID NOT NULL,
nonce VARCHAR(64) NOT NULL,
reserved_at TIMESTAMP NOT NULL,
PRIMARY KEY (cid, nonce) -- 중복 INSERT 시 즉시 실패 → replay 차단
);
-- Kubernetes Validating Webhook 핵심 로직 (pseudo-Go)
func (h *WebhookHandler) Handle(req AdmissionRequest) AdmissionResponse {
cid := req.Object.Annotations["seb.openkedge.io/cid"]
nonce := req.Object.Annotations["seb.openkedge.io/nonce"]
if cid == "" || nonce == "" {
return Deny("missing SEB broker attestation")
}
if !h.ledger.IsReserved(cid, nonce) {
return Deny("nonce not reserved by broker")
}
return Allow()
}
-- AWS SCP: 브로커 역할 외 모든 주체의 mutation 차단
{
"Effect": "Deny",
"Action": ["ec2:AuthorizeSecurityGroupIngress", "ec2:RevokeSecurityGroupIngress"],
"Resource": "*",
"Condition": {
"StringNotLike": {
"aws:PrincipalARN": "arn:aws:iam::*:role/seb-broker-role"
}
}
}Terminology
관련 논문
Oak – AI 에이전트를 위해 설계된 Git 대안 VCS
AI 에이전트가 코드 작업을 더 효율적으로 수행할 수 있도록 설계된 새로운 버전 관리 시스템(VCS)으로, lazy mount, JSON-first CLI, 멀티 레포 에이전트 워크스페이스 등을 제공한다. 다만 커뮤니티에서는 Git 대비 실질적 우위가 충분히 증명되지 않았다는 회의적 반응이 많다.
Recall — Claude Code를 위한 완전 로컬 프로젝트 메모리 도구
Claude Code 세션이 끝날 때마다 프로젝트 컨텍스트를 처음부터 다시 설명해야 하는 문제를 외부 API 없이 로컬에서 해결하는 Python 기반 오픈소스 도구다.
Show HN: 거절 대신 펜 테스트를 수행하도록 post-training한 모델
Kimi K2.6 모델을 post-training해서 보안 거부 응답 없이 실제 취약점 스캔과 펜 테스트를 수행하는 CLI 도구 ArgusRed를 공개했다. 오픈 모델을 조금만 조정하면 AI 기반 해킹 도구를 누구나 만들 수 있다는 점에서 보안 커뮤니티에 논란이 되고 있다.
LedgerAgent: Policy를 준수하는 Tool-Calling 에이전트를 위한 구조화된 State 관리
고객서비스 AI 에이전트가 정책을 위반하는 tool call을 실행 전에 차단하는 '원장(Ledger)' 기반 상태 관리 방법론
Data Intelligence Agents:자율 Coding Agent로 엔터프라이즈 데이터 해석·모델링·쿼리하기
SQL 한 줄 못 써도 CSV 올리면 DB 만들고 자연어 질문에 SQL 자동 생성·검증까지 해주는 3-에이전트 시스템, 7개 벤치마크 모두 SOTA 달성.
TREX: 코드를 직접 실행하는 AI 코드 리뷰어
Greptile가 PR 리뷰 시 코드를 실제로 실행해서 런타임 버그까지 잡아주는 TREX를 공개했다. 정적 분석만으로는 발견할 수 없는 race condition, UI 회귀, 상태 의존 로직 버그까지 커버한다.
Related Resources
Original Abstract (Expand)
Autonomous agents are increasingly connected to cloud, deployment, and data-control workflows, but production mutation authority should not reside inside non-deterministic reasoning processes. Existing access-control mechanisms authorize identities, while assurance layers certify proposed actions; neither alone provides a mandatory enforcement point for certified authority at the moment of mutation. This paper introduces the Sovereign Execution Broker (SEB), a runtime enforcement boundary for certificate-bound agentic infrastructure. SEB consumes certificates issued by the Sovereign Assurance Boundary (SAB), verifies that the requested mutation matches the certified execution contract, checks validity windows, policy epochs, revocation epochs, and live-state drift, mints scoped execution identity, invokes infrastructure APIs, and records signed decision and outcome records. By separating proposal, admission, and execution, SEB turns certified authority into a short-lived, revocable, auditable runtime capability, provided that production mutation APIs reject non-broker identities. We present the SEB execution model, certificate and replay-verification predicates, scoped identity semantics, bypass-prevention deployment patterns, failure behavior, and a concrete prototype implementation. We evaluate the prototype on AWS and Kubernetes clusters, measuring latency overheads, revocation propagation, drift detection, and security under fault injection.