멀티 에이전트 시스템 아키텍처: 설계 토폴로지, 통신 프로토콜, 신뢰 경계
멀티 에이전트 시스템은 단일 에이전트가 처리할 수 없는 작업을 완수하기 위해 조정하는 자율 AI 에이전트의 네트워크입니다. 설계 시점에서 내려지는 아키텍처 결정, 즉 토폴로지, 통신 프로토콜, 상태 공유 모델, 신뢰 경계 배치가 시스템이 프로덕션에서 우아하게 확장되는지 또는 치명적으로 실패하는지를 결정합니다. 공유 상태를 가진 스타 토폴로지는 단일 장애점을 만들고, 에이전트 간 밀결합은 하나의 손상된 컴포넌트가 다른 컴포넌트로 피벗할 수 있음을 의미하며, 공유 프로세스 메모리는 CVE로 나타나는 경쟁 조건을 만듭니다.
멀티 에이전트 시스템이란 무엇인가요?
멀티 에이전트 시스템은 단일 에이전트의 역량을 초과하는 작업을 완수하기 위해 통신하고, 조정하며, 집합적으로 행동하는 둘 이상의 자율 AI 에이전트의 네트워크로, 토폴로지(에이전트가 어떻게 연결되어 있는지), 통신 프로토콜(에이전트가 정보를 어떻게 교환하는지), 상태 공유 모델, 신뢰 경계 배치에 의해 정의됩니다.
기본 아키텍처 속성
에이전트 자율성 vs 조정: 근본적인 긴장 관계
멀티 에이전트 시스템의 각 에이전트는 자체 컨텍스트 창, 도구 세트, 의사결정 프로세스를 가집니다. 아키텍처는 이 긴장을 해결합니다: 느슨한 결합(에이전트는 제어된 메시지 버스만을 통해 상호작용)은 자율성을 보존하고, 밀결합은 폭발 반경 봉쇄를 줄입니다. CVE-2025-64168 (Agno, CVSS 7.1, 2025년 10월)은 프로덕션 사례입니다: 높은 비동기 동시성에서 에이전트 간에 공유된 session_state가 잘못된 사용자 세션에 할당되었습니다.
멀티 에이전트 토폴로지 패턴
스타 토폴로지: 중앙 슈퍼바이저 에이전트가 있는 허브-앤-스포크
스타 토폴로지는 단일 장애점을 만듭니다: 슈퍼바이저가 도구 결과의 프롬프트 인젝션에 의해 손상되면 모든 워커 에이전트에게 악의적인 지시를 내릴 수 있습니다.
메시 토폴로지: 피어-투-피어 에이전트 통신
메시 토폴로지에서 에이전트는 중앙 조정자 없이 직접 통신합니다. N개 에이전트의 완전한 메시에서는 N*(N-1)/2개의 잠재적 통신 채널이 있으며, 각각이 잠재적인 공격 표면입니다.
계층적 토폴로지: 중첩된 팀과 서브 에이전트 위임
위험: 중간 레벨 조정자가 손상되면 그것이 관리하는 모든 에이전트에게 악의적인 지시를 내릴 수 있습니다.
플랫/플릿 토폴로지: 공유 버스를 통해 조정하는 동등 랭크 에이전트
플랫 플릿 토폴로지는 직접 에이전트 간 호출 없이 공유 메시지 버스(블랙보드)만을 통해 통신하는 동등 랭크의 에이전트를 사용합니다. 이것이 OpenLegion의 플릿 모델입니다: 손상된 에이전트는 블랙보드에 쓰는 내용에만 영향을 미칠 수 있습니다.
에이전트 간 통신 프로토콜
A2A: 크로스 프레임워크 에이전트 통신을 위한 Google의 공개 표준
A2A (Agent-to-Agent) 프로토콜 (Google, 2025년 4월 출시)은 다양한 프레임워크 간 에이전트 간 통신을 표준화합니다. A2A는 세 가지 기본 요소를 정의합니다: 역량 발견, 작업 위임, 스트리밍 결과. 2026년 중반까지 A2A는 50개 이상의 기술 파트너에 의해 지원됩니다. OpenLegion은 크로스 프레임워크 에이전트 조정을 위해 A2A를 지원합니다.
MCP: 에이전트 간 도구 액세스 표준화
Model Context Protocol (MCP) (Anthropic, 2024년 11월 출시)은 에이전트가 외부 도구에 액세스하는 방법을 표준화합니다. 2026년 중반까지 MCP에는 1,000개 이상의 커뮤니티 서버가 있습니다. MCP는 보안 위험도 도입합니다: 도구 설명이 에이전트 컨텍스트에 악의적인 지시를 주입하기 위해 오염될 수 있습니다.
블랙보드 패턴: 통신 매체로서의 공유 영속 상태
블랙보드 패턴은 모든 에이전트 간 통신을 공유 영속 데이터 저장소를 통해 라우팅합니다. OpenLegion은 동시 액세스를 위해 WAL 모드의 SQLite를 사용하여 블랙보드 패턴을 구현하며, 이벤트 기반 조정을 위한 pub/sub 메시징과 결합합니다.
OpenLegion의 견해: 아키텍처가 보안 결정인 이유
대부분의 멀티 에이전트 시스템 실패는 아키텍처 실패이며 애플리케이션 버그가 아닙니다. 에이전트 간 공유 상태는 경쟁 조건을 만듭니다: CVE-2025-64168 (Agno, CVSS 7.1, 2025년 10월). 밀결합은 프롬프트 인젝션의 폭발 반경을 증폭시킵니다: COLM 2025 연구는 AutoGen Magentic-One에 대해 97% 공격 성공률을 보였습니다.
멀티 에이전트 시스템에서의 신뢰 경계
공유 프로세스 = 공유 폭발 반경인 이유
여러 에이전트가 동일한 Python 프로세스에서 실행될 때 힙, 환경, 인터프리터를 공유합니다. 에이전트 A에 대한 성공적인 프롬프트 인젝션은 에이전트 B의 변수를 읽을 수 있습니다. 에이전트별 컨테이너 격리는 이 문제를 제거합니다.
멀티 에이전트 아키텍처의 일반적인 실패 모드
공유 상태의 경쟁 조건: CVE-2025-64168 사례 연구
CVE-2025-64168 (Agno, CVSS 7.1, CWE-362 + CWE-668, 2025년 10월, Agno v2.2.2에서 패치)은 Agno의 session_state 관리 계층에서 경쟁 조건을 공개했습니다. 높은 비동기 동시성에서 session_state가 잘못된 세션에 할당되었습니다.
밀결합 시스템에서의 프롬프트 인젝션 증폭
COLM 2025에서 발표된 연구는 제어 흐름 하이재킹을 위한 악의적인 로컬 파일을 통해 Magentic-One(AutoGen의 멀티 에이전트 시스템)에 대해 97% 공격 성공률을 보였습니다.
OpenLegion에서의 멀티 에이전트 시스템
OpenLegion은 4존 신뢰 분리를 가진 플랫 플릿 토폴로지를 구현합니다. 에이전트는 격리된 Docker 컨테이너(Zone 1)에서 실행되고, Mesh Host 블랙보드와 pub/sub 버스(Zone 2)만을 통해 통신하며, Vault Proxy(Zone 4)를 통해 자격 증명에 액세스하고, 서로 직접 통신하지 않습니다.
아키텍처적 보안 보장을 갖춘 멀티 에이전트 조정.
자주 묻는 질문
멀티 에이전트 시스템 아키텍처란 무엇인가요?
멀티 에이전트 시스템 아키텍처는 여러 자율 AI 에이전트가 통신하고, 조정하며, 신뢰 경계를 유지하기 위해 어떻게 구조화되는지 정의합니다. 토폴로지, 통신 프로토콜, 상태 공유 모델, 신뢰 경계 배치를 지정합니다.
스타 토폴로지와 플랫 플릿 토폴로지의 차이는 무엇인가요?
스타 토폴로지에서는 중앙 슈퍼바이저 에이전트가 모든 다른 에이전트를 조정하여 단일 장애점을 만듭니다. 플랫 플릿 토폴로지(OpenLegion에서 사용)에서는 동등 랭크의 에이전트가 직접 에이전트 간 통신 없이 공유 메시지 버스를 통해 조정합니다.
멀티 에이전트 시스템의 A2A 프로토콜이란 무엇인가요?
A2A (Agent-to-Agent)는 2025년 4월 Google이 출시한 공개 에이전트 간 통신 프로토콜입니다. 에이전트가 서로의 역량을 발견하고, 작업을 위임하며, 스트리밍 결과를 교환하는 방법을 표준화합니다. OpenLegion은 크로스 프레임워크 에이전트 조정을 위해 A2A를 지원합니다.
멀티 에이전트 시스템에서 경쟁 조건이 발생하는 원인은 무엇인가요?
경쟁 조건은 여러 에이전트가 적절한 동기화 없이 공유 상태를 동시에 읽고 쓸 때 발생합니다. Agno 프레임워크의 CVE-2025-64168 (CVSS 7.1, 2025년 10월)은 문서화된 프로덕션 사례입니다.
프롬프트 인젝션이 멀티 에이전트 시스템에서 어떻게 전파되나요?
밀결합 멀티 에이전트 시스템에서 하나의 에이전트에 대한 성공적인 프롬프트 인젝션은 다른 에이전트로 전파될 수 있습니다. COLM 2025의 연구는 AutoGen Magentic-One에 대해 97% 성공률을 보였습니다. 아키텍처적 완화책에는 에이전트별 컨테이너 격리와 버스 중재 통신이 포함됩니다.
멀티 에이전트 시스템에서 블랙보드 패턴이란 무엇인가요?
블랙보드 패턴은 에이전트가 직접 서로를 호출하는 대신 공유 영속 데이터 저장소를 읽고 씀으로써 통신하는 멀티 에이전트 조정 아키텍처입니다. OpenLegion은 동시 액세스를 위해 WAL 모드의 SQLite를 사용하여 블랙보드 패턴을 구현하며 pub/sub 메시징과 결합합니다.