레스토랑 관리 솔루션 기업 PAR 테크놀로지가 아마존웹서비스(AWS)와 함께 매장별 데이터 접근 권한을 안전하게 격리하는 멀티테넌트 텍스트-투-SQL 분석 에이전트를 구축한 사례를 AWS 공식 블로그를 통해 공개했다. 300개 이상의 레스토랑 사업체를 지원하는 이 회사는 자연어 질문에 SQL 쿼리를 자동 생성해 답하는 서비스를 운영하는 과정에서, 같은 질문이라도 사용자의 권한 범위에 따라 완전히 다른 답이 정답이 되는 ‘행 단위 보안(row-level security)’ 문제를 핵심 과제로 꼽았다.
AWS는 대규모 언어 모델(LLM) 자체에 보안을 맡기는 방식의 한계를 지적했다. 모델은 확률적 생성기이지 결정론적 정책 엔진이 아니기 때문에, 프롬프트로 필터링을 지시해도 언젠가는 실패할 수 있어 신뢰할 수 있는 보안 경계가 될 수 없다는 설명이다. PAR의 고객 구조는 최상위 조직인 테넌트, 특정 레스토랑 체인인 비즈니스, 개별 사용자인 관리자로 이어지는 3단계 계층으로 이뤄져 있으며, 모든 API 요청에는 이 세 단계의 식별자가 포함돼 접근 가능한 데이터 범위를 결정한다.

이를 위해 3계층 보안 아키텍처가 구축됐다. 첫째, AWS SigV4로 모든 API 호출을 서명해 조직·비즈니스·관리자 식별자를 암호학적으로 요청과 바인딩하고 변조를 차단한다. 둘째, 아마존 베드록의 앤트로픽 클로드 소넷4 기반 추론 엔진이 데이터 접근 전 질문이 지원되는 지표에 맞는지 검증하며, 모호하거나 범위가 과도하게 넓은 질문은 재질문을 요청한다. 셋째, LLM 개입 없이 세션 키를 기반으로 사전 필터링된 임시 데이터 뷰를 프로그래밍 방식으로 생성해, 클로드는 이 필터링된 뷰의 스키마만 보고 분석 SQL을 생성하도록 설계했다. 이 구조에서 모델은 원본 데이터베이스나 다른 테넌트의 데이터를 전혀 알지 못해, 탈옥 시도나 프롬프트 조작이 있어도 존재하지 않는 테이블을 참조하는 쿼리는 실행 단계에서 실패한다.
AWS는 이 밖에도 IAM 임시 자격 증명, KMS 암호화, 클라우드워치·클라우드트레일 로깅, 시크릿 매니저, API 게이트웨이·WAF의 속도 제한 등을 결합해 인프라 전반의 보안을 강화했다고 설명했다. 프로덕션 환경에서는 5만 건의 쿼리를 처리하는 동안 테넌트 간 데이터 노출 사고가 한 건도 발생하지 않았다고 밝혔다. AWS는 보안 통제를 개별 에이전트가 아닌 인프라 레벨로 승격시켜야 한다는 점이 이번 사례의 핵심 교훈이라고 강조했다.














