에이전틱 루프: AI 에이전트가 인식하고, 생각하고, 행동하는 방법
에이전틱 루프는 AI 에이전트를 작업 시작부터 최종 답변까지 이끄는 반복적인 인식-사고-행동 주기입니다. 각 반복에서 에이전트는 컨텍스트(관찰, 도구 결과, 메모리)를 읽고, LLM을 호출하여 다음 단계를 추론하고, 도구를 실행하거나 응답을 반환한 다음 반복합니다. 반복 제한, 종료 조건, 오류 처리가 프로덕션 에이전트가 신뢰할 수 있는지 위험 요소인지를 결정합니다. OpenLegion은 메시 계층에서 하드 캡을 적용하여 폭주 루프를 결정적 오류로 전환합니다.
에이전틱 루프란?
에이전틱 루프는 AI 에이전트가 환경을 번갈아 관찰하고, 언어 모델을 사용하여 다음 행동을 추론하고, 그 행동을 실행하는 반복 실행 모델로, 종료 조건(작업 완료, 최대 반복 횟수 또는 예산 소진)이 충족될 때까지 반복됩니다.
모든 AI 에이전트는 프레임워크에 관계없이 이 루프의 일부 변형을 실행합니다. 루프는 에이전트 실행의 단위입니다: 인식 → 사고 → 행동을 한 번 통과하는 것. 단순한 작업(단일 웹 검색에서 질문에 답변)은 23회 반복으로 완료됩니다. 복잡한 작업(경쟁업체 조사, 결과 종합, 보고서 작성)은 1530회 반복이 필요할 수 있습니다.
루프는 반복당 세 가지 입력과 하나의 출력을 가집니다:
| 입력/출력 | 내용 | 반복 간에 축적? |
|---|---|---|
| 시스템 프롬프트 | 에이전트 역할, 지침, 도구 정의 | 아니요 — 실행당 고정 |
| 대화 기록 | 이전 모든 턴: 사용자 메시지, 어시스턴트 생각, 도구 호출, 도구 결과 | 예 — 각 반복마다 증가 |
| 현재 관찰 | 이전 행동의 도구 결과(첫 번째 반복: 초기 사용자 메시지) | 예 — 각 반복마다 추가 |
| 출력 | 다음 행동: 도구 호출, 명확화 요청 또는 최종 응답 | 아니요 — 반복당 하나의 출력 |
컨텍스트 축적은 루프의 주요 비용 동인입니다. 20회 반복 작업에서 반복 쌍당 2,000토큰을 사용하면 마지막 반복은 40,000토큰을 입력 컨텍스트로 전송합니다. 모델 가격은 작업당이 아니라 토큰당입니다. 에이전트별 지출 한도로 에이전틱 루프 비용을 제어하는 방법을 참조하세요.
세 가지 단계의 자세한 설명
인식 — 컨텍스트 읽기
인식 단계는 에이전트의 현재 세계관을 조립합니다: LLM이 다음에 무엇을 할지 결정하기 전에 읽을 모든 것. 시스템 프롬프트, 대화 기록, 이전 반복에서 취한 행동의 결과(새로운 관찰)가 포함됩니다.
인식 단계는 에이전틱 루프의 주요 프롬프트 인젝션 공격 표면입니다. CVE-2024-5184(Synopsys CyRC, 2024년 6월)는 도구 응답 콘텐츠를 통해 전달된 프롬프트 인젝션 공격이 에이전트의 다음 루프 반복을 탈취한다는 것을 정확히 보여줍니다. 인젝션 벡터와 방어에 대한 전체 설명은 에이전틱 루프에서 도구 응답을 표적으로 하는 프롬프트 인젝션 공격을 참조하세요.
사고 — LLM 추론 단계
사고 단계는 LLM 호출입니다. 출력은 다음 중 하나입니다:
- 도구 호출(구조화: 도구 이름 + 매개변수)
- 최종 응답(자유 텍스트) — 에이전트는 작업이 완료되었다고 믿습니다
- 명확화 요청(사용자에게 보내는 자유 텍스트)
사고 단계의 표준 모델은 ReAct 패턴(Yao et al., 2022, arXiv:2210.03629)입니다: 동일한 LLM 출력 내에서 Reasoning+Acting이 혼합됩니다. ReAct 논문은 명시적 추론과 행동을 혼합하면 HotpotQA, FEVER, ALFWorld를 포함한 벤치마크에서 에이전트 작업 정확도가 크게 향상된다는 것을 입증했습니다.
사고 단계 비용: GPT-4o에서 입력 토큰당 $2.50/M의 경우, 반복당 2,000토큰이 추가되는 20회 반복 실행은 마지막 반복의 컨텍스트 창에서만 입력 토큰으로 약 $1.05가 듭니다. 반복 횟수를 줄이는 전략은 루프가 시작되기 전에 에이전트가 목표를 분해하는 방법 — AI 에이전트 계획을 참조하세요.
행동 — 도구 실행 또는 최종 응답
행동 단계는 사고 단계에서 선택된 행동을 실행합니다. 도구 실행 보안 모델에 대해서는 각 루프 반복 내에서 에이전트가 도구를 실행하는 방법을 참조하세요.
루프 종료 — 에이전트가 멈출 때
자연 종료
LLM의 사고 단계가 도구 호출 대신 최종 응답을 출력할 때 자연 종료가 발생합니다.
max_turns 적용
기본값:
- OpenAI Agents SDK:
max_turns = 10(2026년 4월) - LangGraph:
recursion_limit = 25 - LangChain AgentExecutor:
max_iterations = 15, 기본적으로 시간 제한 없음 - AutoGen: 대화당 에이전트별
max_consecutive_auto_reply = 10
프로덕션을 위한 max_turns 구성: 100개의 대표 작업에서 95번째 백분위수 반복 횟수를 측정하고, max_turns를 P95 + 20% 버퍼로 설정합니다. 모든 잘림을 기록합니다.
예산 기반 종료
OpenLegion의 적용 모델:
daily_budget(기본 $50/일)과monthly_budget(기본 $200/월)은 에이전트별로INSTRUCTIONS.md에 구성됩니다- 메시 라우터는 에이전트 ID별 누적 지출을 실시간으로 추적합니다
- 루프 반복이 남은 일일 예산을 초과하면, 요청은 LLM 제공업체에 도달하기 전에 메시 계층에서 거부됩니다
오류 기반 종료
세 가지 전략: 오류 시 중단, 백오프로 재시도, 또는 폴백하고 계속.
무한 루프 안티패턴
LangChain의 2025년 에이전트 현황 보고서에 따르면 에이전트 오류의 23%가 무한 도구 호출 루프로 인한 것으로 나타났습니다 — 단일 최대 오류 카테고리.
도구 호출 폭풍
에이전트의 사고 단계가 작업 완료를 향해 진전 없이 동일한 도구를 반복적으로 호출할 때 발생합니다. 일반적인 트리거: 모호한 작업 사양, 도구 결과 유효성 검사 누락, 순환 추론.
컨텍스트 오염
도구 결과가 후속 반복에서 LLM의 추론을 왜곡하는 콘텐츠를 대화 기록에 도입할 때 발생합니다. 예방: 도구 결과 전처리 — HTML 제거, 대형 문서를 관련 섹션으로 잘라내기, 원시 콘텐츠 대신 구조화된 요약 반환.
도구 응답을 통한 프롬프트 인젝션
가장 보안상 중요한 무한 루프 트리거: CVE-2024-5184(Synopsys CyRC, 2024년 6월). 방어: 모든 도구 결과를 신뢰할 수 없는 입력으로 취급합니다.
OpenLegion의 관점: 루프 제어를 위한 심층 방어
루프 제어는 단순히 운영상의 것이 아니라 보안 속성입니다. 문제를 정의하는 세 가지 구체적인 숫자:
에이전트 오류의 23%가 무한 도구 호출 루프로 추적됨 (LangChain 2025). 해결책은 더 높은 max_turns 제한이 아닙니다. 측정 가능한 종료 조건, 명시적 진행 확인, 서킷 브레이커 로직입니다.
OpenAI Agents SDK 기본 max_turns = 10; LangGraph recursion_limit = 25. 이는 시작점의 기본값이지 프로덕션 값이 아닙니다. 작업 배포를 위한 종료 제한을 구성하세요.
CVE-2024-5184는 루프 제어 취약성이며, 단순한 보안 취약성이 아닙니다. 공격 표면은 모든 외부 도구 호출입니다.
| 루프 제어 메커니즘 | OpenLegion | LangChain AgentExecutor | LangGraph | OpenAI Agents SDK |
|---|---|---|---|---|
| 반복 제한 | INSTRUCTIONS.md의 max_turns, 메시에서 적용 | max_iterations=15(기본값) | recursion_limit=25 | max_turns=10(기본값) |
| 예산 기반 종료 | 에이전트별 daily_budget + monthly_budget, 메시 계층에서 적용 | 내장 없음 | 내장 없음 | 내장 없음 |
| 오류 종료 | 오케스트레이터에 반환된 구조화된 오류 | AgentExecutorError 발생 | GraphRecursionError 발생 | MaxTurnsExceeded 발생 |
| 인젝션 방어 | 볼트 프록시된 도구 호출; 시스템 프롬프트 권한 | handle_parsing_errors 구성 가능 | 내장 없음 | 내장 없음 |
| 루프 감사 추적 | agent_id, 모델, 도구 호출, 비용이 포함된 각 반복 기록 | LangSmith(선택) | LangSmith(선택) | OpenAI 대시보드 |
여러 에이전트 루프를 프로덕션 시스템으로 구성하는 패턴은 에이전틱 워크플로우가 여러 루프를 프로덕션 파이프라인으로 구성하는 방법과 루프 오케스트레이션 및 에이전트 조정을 위한 에이전틱 AI 설계 패턴을 참조하세요.
자주 묻는 질문
에이전틱 루프란 무엇인가요?
에이전틱 루프는 모든 AI 에이전트가 작업을 실행하기 위해 실행하는 반복적인 인식-사고-행동 주기입니다. 각 반복에서 에이전트는 현재 컨텍스트를 읽고, 언어 모델을 호출하여 다음 행동을 결정하고, 그 행동을 실행한 다음 종료 조건이 충족될 때까지 반복합니다.
에이전틱 루프는 몇 번의 반복을 실행하나요?
단순한 작업은 일반적으로 25회 반복으로 완료됩니다. 복잡한 작업은 1030회 또는 그 이상의 반복을 실행합니다. 특정 작업 배포에서 특정 에이전트의 경험적 P95 반복 횟수를 기반으로 max_turns를 설정하고 20% 버퍼를 추가하세요.
무한 에이전틱 루프를 유발하는 것은 무엇인가요?
세 가지 주요 무한 루프 원인: 도구 호출 폭풍, 컨텍스트 오염, 도구 응답 콘텐츠를 통한 프롬프트 인젝션(CVE-2024-5184). LangChain의 2025년 보고서에 따르면 에이전트 오류의 23%가 무한 도구 호출 루프로 인한 것으로 나타났습니다.
에이전틱 루프에서 ReAct 패턴이란 무엇인가요?
ReAct(Reasoning + Acting)는 Yao et al.이 2022년에 도입한 표준 에이전틱 루프 모델입니다(arXiv:2210.03629). 패턴은 각 루프 반복을 세 부분의 LLM 출력으로 구조화합니다: 사고, 행동, 관찰. ReAct 논문은 HotpotQA, FEVER, ALFWorld에서 평가하여 명시적 추론과 행동을 혼합하면 에이전트 작업 정확도가 향상된다는 것을 보여주었습니다.
프롬프트 인젝션은 에이전틱 루프에 어떤 영향을 미치나요?
도구 응답 콘텐츠를 통한 프롬프트 인젝션 — CVE-2024-5184(Synopsys CyRC, 2024년 6월)에 의해 입증 — 은 에이전틱 루프의 인식 단계를 악용합니다. 도구가 외부 콘텐츠를 검색하면, 해당 콘텐츠는 도구 결과로 대화 기록에 들어갑니다. 콘텐츠에 주입된 지침이 포함되어 있으면 LLM은 다음 사고 단계에서 해당 지침을 처리할 수 있습니다. 방어에는 도구 결과 콘텐츠에 대한 시스템 프롬프트 권한을 적용하는 명시적 지침 계층이 필요합니다.
OpenLegion은 어떻게 폭주 에이전틱 루프를 방지하나요?
OpenLegion은 두 가지 적용 계층으로 심층 방어를 적용합니다. INSTRUCTIONS.md에 구성된 에이전트별 반복 제한은 애플리케이션 계층에서 적용됩니다. 에이전트별 daily_budget와 monthly_budget은 각 LLM 호출 전에 메시 라우터 계층에서 적용됩니다. 루프 반복이 남은 예산을 초과하면 요청은 네트워크 계층에서 거부됩니다.
에이전틱 루프와 워크플로우의 차이점은 무엇인가요?
에이전틱 루프는 에이전트별 반복 주기입니다. 워크플로우(또는 에이전틱 워크플로우)는 각자 루프를 실행하는 여러 에이전트가 명시적 핸드오프 로직, 오케스트레이션, 에이전트 간 데이터 흐름을 가진 더 큰 시스템으로 구성되는 다중 에이전트 파이프라인입니다.
OpenLegion 시작하기
에이전틱 루프는 에이전트 신뢰성이 결정되는 곳입니다. 프레임워크 기본값 — max_turns=10, recursion_limit=25 — 은 시작점이지 프로덕션 구성이 아닙니다.
OpenLegion은 메시 계층에서 예산 한도와 반복 제한을 적용합니다 — 에이전트의 LLM 추론과 대역 외에서, 프롬프트 인젝션으로 재정의할 수 없습니다.
OpenLegion에서 구축 시작하기 — 하드 루프 제한과 에이전트별 예산 적용이 내장되어 있습니다.
여러 에이전트 루프를 프로덕션 시스템으로 구성하는 패턴은 에이전틱 워크플로우가 여러 루프를 프로덕션 파이프라인으로 구성하는 방법을 참조하세요.