Copilot Studio agent 보안 오구성 10가지와 Defender 탐지
요약
Microsoft는 Copilot Studio agent에서 실제로 자주 발견되는 10가지 보안 오구성을 공개하고, 이를 찾을 수 있는 Microsoft Defender Advanced Hunting 커뮤니티 쿼리도 함께 제공했습니다. 과도한 공유, 인증 미적용, 위험한 HTTP 요청, 하드코딩된 자격 증명, 휴면·고아 agent 같은 문제는 데이터 유출과 권한 오남용으로 이어질 수 있어, 기업이 AI agent를 운영할 때 보안 거버넌스와 조기 탐지를 필수적으로 강화해야 한다는 점이 중요합니다.
소개: 왜 중요한가
Copilot Studio agents는 데이터 질의, 작업 트리거, 대규모 시스템 상호작용 등 운영 워크플로에 빠르게 내재화되고 있습니다. Defender Security Research Team은 선의의 작은 구성 선택(광범위 공유, 약한 인증, 위험한 작업)이 조용히 고영향의 노출 지점으로 변할 수 있다고 경고합니다. 다행히 Microsoft Defender는 Advanced Hunting Community Queries를 사용해 이러한 상태를 조기에 탐지하도록 지원할 수 있습니다.
새로운 내용: 헌팅해야 할 10가지 오구성
Microsoft는 실제 환경에서 가장 흔하게 관찰되는 Copilot Studio agent 위험을 “원페이지 보기(one-page view)”로 공개했으며, Microsoft Defender Advanced Hunting의 매칭 탐지 항목도 함께 제공합니다(보안 포털 → Advanced hunting → Queries → Community Queries → AI Agent 폴더).
강조된 주요 위험은 다음과 같습니다.
- 과도하게 광범위한 공유(전체 조직 또는 광범위 그룹에 공유): 공격 표면과 의도치 않은 사용이 증가합니다.
- 인증 불필요: agent가 공개/익명 진입점이 되어 내부 데이터나 로직을 노출할 수 있습니다.
- 위험한 HTTP Request actions: HTTPS 미사용, 비표준 포트 사용, 또는 커넥터를 통해 거버넌스되어야 할 엔드포인트에 직접 호출을 수행해 정책 및 ID 보호장치를 우회할 수 있습니다.
- 이메일 기반 데이터 유출 경로: 공격자가 제어하는 입력 또는 외부 사서함으로 이메일을 보낼 수 있는 agent(특히 prompt injection과 결합될 때 위험)가 존재합니다.
- 휴면 agent, action, connection: “잊힌” 게시 agent와 오래된 connection은 숨겨진 특권 접근을 만듭니다.
- 프로덕션에서 Author(maker) 인증 사용: 직무 분리를 깨뜨리고, 사실상 상위 maker 권한으로 실행될 수 있습니다.
- topic/action에 하드코딩된 자격 증명: 자격 증명 유출 위험이 직접적으로 발생합니다.
- Model Context Protocol (MCP) tools 구성: 문서화되지 않은 접근 경로와 의도치 않은 시스템 상호작용을 도입할 수 있습니다.
- 지침 없이 Generative orchestration 사용: 동작 드리프트 또는 프롬프트로 유도된 비안전 작업의 가능성이 커집니다.
- Orphaned agents(활성 소유자 없음): 거버넌스가 약해지고 책임 있는 유지관리자가 없으며, 오래된 로직으로 인한 위험이 증가합니다.
IT 관리자 및 보안 팀에 미치는 영향
Power Platform 및 Microsoft 365 보안을 관리하는 관리자 관점에서 핵심 요지는 agent 보안 태세가 이제 ID 및 데이터 거버넌스의 일부가 되었다는 점입니다. 오구성은 기존 앱 인벤토리, Conditional Access 가정, 또는 커넥터 정책이 완전히 포착하지 못하는 새로운 접근 경로를 만들 수 있으며—특히 maker가 빠르게 agent를 생성하는 환경에서 그 가능성이 큽니다.
실행 항목 / 다음 단계
- Defender의 Advanced Hunting(AI Agent 폴더)에서 Community Queries를 실행하고, 환경 전반의 결과를 기준선화(baseline)합니다.
- 개선 우선순위를 지정합니다: 인증 없는 agent, 조직 전체 공유, maker-auth agent, 그리고 모든 외부 이메일 기능.
- HTTP Request 사용을 검토하고 가능한 경우 거버넌스된 커넥터로 대체합니다. HTTPS와 표준 포트를 강제합니다.
- 휴면/Orphaned 자산을 정리합니다: 사용하지 않는 agent/action을 폐기하고, 오래된 connection은 교체/제거합니다.
- 운영 가드레일을 수립합니다: 명명된 소유자 지정, 목적 문서화, 최소 권한 connection, 그리고 generative orchestration에 대한 필수 지침을 요구합니다.
Microsoft 기술 최신 정보 받기