티냅스의 연구 논문 ‘Cross-Agent Campaign Attribution: Linking Asynchronous Attacks Across LLM Agents’가 ICML 2026의 AIWILD 워크숍에 채택되어, 티냅스 AI팀은 지난 7월 11일 서울 코엑스에서 열린 The Second Workshop on Agents in the Wild: Safety, Security, and Beyond, AIWILD에서 연구 결과를 포스터로 발표했습니다.

ICML 2026 AIWILD 워크숍 논문 채택을 알리는 티냅스 그래픽
▲ 티냅스의 연구 논문이 ICML 2026 AIWILD 워크숍에 채택됐습니다

ICML은 머신러닝 분야를 대표하는 글로벌 학회로, ICML 2026은 7월 6일부터 11일까지 서울 코엑스에서 열렸습니다. 이번 논문이 채택된 AIWILD는 실제 환경에 배포된 AI 에이전트가 어떻게 안전하고 신뢰할 수 있게 추론하고 행동할 수 있는지를 다루는 워크숍입니다.

하나의 공격은 하나의 세션에서 끝나지 않을 수 있습니다

현재 많은 AI 에이전트 보안 평가는 사용자가 입력한 하나의 요청과 이에 대한 하나의 응답을 기준으로 위험 여부를 판단합니다.

그러나 AI 에이전트가 코딩, 고객 지원, 데이터 분석 등 다양한 업무에 활용되기 시작하면서 공격의 형태도 달라질 수 있습니다. 한 명의 공격자가 여러 AI 에이전트에 서로 다른 형태의 공격을 나눠서 시도하거나, 일정한 시간 간격을 두고 공격을 반복할 수 있기 때문입니다.

각각의 에이전트가 자신에게 전달된 요청만 본다면 개별 요청은 정상적인 사용처럼 보일 수 있습니다. 하지만 여러 에이전트와 세션에 남겨진 흔적을 함께 살펴보면, 서로 떨어져 있던 공격이 하나의 공격 캠페인에서 시작됐을 가능성을 발견할 수 있습니다.

티냅스 AI팀은 이러한 문제를 Cross-Agent Campaign Attribution, 즉 여러 AI 에이전트에 비동기적으로 분산된 공격을 연결하고 추적하는 문제로 정의했습니다.

흩어진 공격의 흔적을 연결하는 A²FV

Cross-Agent Campaign Attribution 연구 포스터, A²FV 방법과 SCD-v1 벤치마크 결과
▲ AIWILD 워크숍에서 발표한 A²FV 연구 포스터

이번 연구에서는 서로 다른 에이전트와 세션에 남겨진 공격 흔적을 연결하기 위해 A²FV, Asynchronous Attribution Fingerprint Vectors를 제안했습니다.

A²FV는 각 세션에서 프록시 계층이 관찰할 수 있는 흔적을 크게 세 가지로 분석합니다.

첫 번째는 도구 호출 방식과 실패 이후의 행동 변화, 공격 전술의 순서 등에서 나타나는 구조적 특징입니다. 두 번째는 문장부호와 표현 습관, 단어 구성과 문장 형태에 남는 문체적 특징입니다. 세 번째는 세션 내 도구 호출 사이의 시간 간격과 페이로드 크기 등에 나타나는 시간적 특징입니다.

티냅스 AI팀은 이 신호들을 하나의 지문처럼 구성했습니다. SCD-v1 실험에서는 구조적 특징과 문체적 특징이 주요한 연결 신호로 활용됐으며, 시간적 특징은 향후 분석을 위한 진단 채널로 유지했습니다.

이를 바탕으로 공유된 에이전트 메모리나 공격자의 신원 정보가 없는 환경에서도 서로 다른 세션이 동일한 공격 캠페인에 속하는지를 분석했습니다.

이는 각 요청이 위험한지를 판별하는 기존의 세션 단위 안전성 분류와는 다른 보안 계층입니다. 하나의 점이 위험한지를 판단하는 데서 나아가, 흩어진 점들이 어떤 선으로 이어지는지를 찾는 접근입니다.

통제된 벤치마크에서 확인한 캠페인 연결 성능

티냅스 AI팀은 멀티 에이전트 환경을 재현한 자체 합성 벤치마크 SCD-v1을 구축해 A²FV의 성능을 평가했습니다.

벤치마크에는 정상 요청과 단일 세션 공격, 여러 세션에 걸쳐 진행되는 공격 캠페인이 함께 포함됐습니다. 또한 페르소나와 표현 방식이 캠페인 정보와 단순히 일치하지 않도록 구성하고 누출 점검을 수행해, 특정 단어나 단순한 신원 단서만으로 공격을 연결할 가능성을 줄였습니다.

실험 결과 A²FV는 동일한 공격 캠페인에 속한 세션을 구분하는 pairwise campaign-linking AUC 평가에서 0.82를 기록했습니다.

여기서 AUC 0.82는 전체 공격의 82%를 탐지했다는 의미가 아니라, 같은 캠페인에 속한 세션 쌍을 다른 세션 쌍보다 얼마나 일관되게 높은 순위로 평가하는지를 나타냅니다.

반면 각 세션의 위험 점수만으로 공격을 연결한 방식은 약 0.52, 여러 세션을 나눠 비교한 LLM judge 방식은 약 0.51을 기록했습니다. 무작위 추측에 해당하는 0.5와 비교하면, 기존의 세션별 위험 점수나 분할된 LLM 판단만으로는 여러 에이전트에 분산된 공격을 연결하기 어렵다는 점을 보여줍니다.

특히 구조적 특징과 문체적 특징을 함께 활용했을 때 가장 높은 성능을 기록하며, 프록시 계층에 남겨진 복합적인 흔적이 공격 캠페인 식별에 유효하게 활용될 수 있음을 확인했습니다.

세션 단위 방어에서 캠페인 단위 보안으로

AI 에이전트가 기업의 다양한 업무와 시스템에 연결될수록 공격 역시 하나의 입력창이나 하나의 대화 안에 머무르지 않을 가능성이 커집니다.

서로 독립적으로 운영되는 에이전트는 자신이 받은 공격의 일부만 관찰합니다. 따라서 개별 에이전트의 입력과 출력을 차단하는 것만으로는 공격자가 여러 에이전트에 걸쳐 만든 전체 흐름을 파악하기 어렵습니다.

이번 연구는 AI 보안이 개별 요청의 유해성을 판별하는 단계에서 나아가, 여러 에이전트와 시간대에 흩어진 보안 신호를 연결하고 하나의 공격 캠페인으로 분석할 수 있어야 한다는 가능성을 제시했습니다.

이번 결과는 통제된 합성 벤치마크에서 확인한 것으로, 실제 운영 환경의 성능을 직접 입증한 것은 아닙니다. 또한 문체와 캠페인 사이의 상관관계가 일부 남아 있으며, 탐지 점수를 관찰하면서 공격 방식을 바꾸는 완전 적응형 공격자는 이번 연구 범위에 포함되지 않았습니다.

다만 통제된 정적 회피와 탐지 점수에 접근하지 않는 공격 조건에서도 개별 세션 사이의 연결 신호가 무작위 수준보다 높게 유지되는 것을 확인하며, 후속 연구의 기반을 마련했습니다.

신뢰할 수 있는 AI 에이전트 환경을 향해

ICML 2026 AIWILD 워크숍에서 티냅스 AI팀이 포스터를 발표하는 모습
▲ 티냅스 AI팀이 ICML 2026 AIWILD 워크숍에서 포스터 발표를 진행했습니다

현장에서는 포스터 발표를 통해 벤치마크 설계와 공격 회피 가능성, 실제 멀티 에이전트 환경에서의 적용 방안을 포함한 연구의 주요 내용을 소개했습니다.

티냅스는 AI의 입력과 출력을 개별적으로 보호하는 것을 넘어, AI 에이전트가 사용하는 도구와 데이터, 여러 세션에서 발생하는 행동을 연결해 관찰할 수 있는 보안 계층을 연구하고 있습니다.

앞으로도 실제 환경에서 발생할 수 있는 새로운 AI 보안 위협을 정의하고, 기업이 AI 에이전트를 더욱 안전하고 신뢰할 수 있게 사용할 수 있도록 연구와 제품 개발을 이어가겠습니다.