Copilot Studio Agent 보안 오구성 Top 10과 Defender 헌팅

Introduction: why this matters

Copilot Studio agent는 운영 워크플로에 빠르게 내재화되고 있습니다. 데이터를 가져오고, 작업을 트리거하며, 내부 시스템과 대규모로 상호작용합니다. 이러한 자동화는 agent가 잘못 공유되거나, 과도한 권한으로 실행되거나, 표준 거버넌스 제어를 우회할 때 새로운 공격 경로도 만들어냅니다. Microsoft의 Defender Security Research 팀은 이러한 문제를 실제 환경(“in the wild”)에서 관찰하고 있으며, 눈에 띄는 경고 없이 발생하는 경우가 많아 선제적 발견과 보안 태세 관리가 필수적입니다.

What’s new: 10 common Copilot Studio agent risks (and how to detect them)

Microsoft는 agent 오구성에 대한 실용적인 Top 10 목록을 공개하고, 각 항목을 Microsoft Defender Advanced Hunting Community Queries(Security portal → Advanced hunting → Queries → Community queries → AI Agent folder)에 매핑했습니다. 주요 위험은 다음과 같습니다.

1. Over-broad sharing (entire org or large groups) – 공격 표면을 확대하고 의도치 않은 사용을 가능하게 합니다.
2. No authentication required – 공개/익명 진입점을 만들고 잠재적 데이터 유출로 이어질 수 있습니다.
3. Risky HTTP Request actions – connector endpoint 호출, non-HTTPS, 비표준 포트 사용은 connector 거버넌스 및 ID 제어를 우회할 수 있습니다.
4. Email-based data exfiltration paths – agent가 AI가 제어하는 값 또는 외부 사서함으로 이메일을 보내면 prompt injection에 의해 유도되는 유출이 가능해질 수 있습니다.
5. Dormant agents/actions/connections – 오래된 구성 요소는 잔존 권한을 가진 숨은 공격 표면이 됩니다.
6. Author (maker) authentication – 역할 분리 원칙을 약화시키며 권한 상승을 가능하게 할 수 있습니다.
7. Hard-coded credentials in topics/actions – 자격 증명 유출 및 재사용 가능성을 높입니다.
8. Model Context Protocol (MCP) tools configured – 문서화되지 않은 액세스 경로와 의도치 않은 시스템 상호작용을 유발할 수 있습니다.
9. Generative orchestration without instructions – 동작 드리프트 및 프롬프트 악용 위험이 커집니다.
10. Orphaned agents (no active owner) – 거버넌스가 약해지고 시간이 지날수록 액세스가 관리되지 않을 수 있습니다.

Impact on IT admins and security teams

• Visibility gap: 이러한 오구성은 생성 시점에 악성으로 보이지 않는 경우가 많고, 기존 경고를 트리거하지 않을 수 있습니다.
• Identity and data exposure: 인증 없는 액세스, maker 자격 증명, 광범위한 공유는 agent를 조직 데이터로의 ‘저마찰’ 피벗 지점으로 만들 수 있습니다.
• Governance bypass: 직접 HTTP action은 Power Platform connector 보호(검증, 제한, ID 강제 적용)를 우회할 수 있습니다.
• Operational risk: Orphaned 또는 dormant agent는 소유권과 의도가 불명확해진 이후에도 비즈니스 로직과 액세스를 유지합니다.

Action items / next steps

1. 지금 AI Agent Community Queries를 실행하고 결과를 베이스라인으로 설정하세요(우선순위: org-wide sharing, no-auth agent, author authentication, hard-coded credentials).
2. 공유 및 인증 강화: 최소 권한 원칙을 적용하고, 모든 프로덕션 agent에 인증을 요구하세요.
3. HTTP Request 사용 검토: 거버넌스가 적용되는 connector를 우선 사용하고, non-HTTPS 및 비표준 포트는 즉시 개선 대상으로 플래그하세요.
4. 아웃바운드 이메일 시나리오 통제: 외부 수신자를 제한하고, 동적 입력을 검증하며, prompt injection 유형 패턴을 모니터링하세요.
5. 라이프사이클 거버넌스 수립: agent를 인벤토리화하고, orphaned agent는 제거 또는 소유자 재지정하며, dormant connection/action은 폐기하세요.

agent 구성을 보안 태세의 일부로 취급하고 이러한 패턴을 지속적으로 헌팅하면, 공격자가 이를 운영화하기 전에 노출을 줄일 수 있습니다.