LLM 에이전트의 장기 기억 보안에 대한 연구: 기억 주권 확보를 향하여

A Survey on the Security of Long-Term Memory in LLM Agents: Toward Mnemonic Sovereignty

대규모 언어 모델(LLM) 보안 연구는 "모델이 학습 데이터를 유출할 것인가?"라는 질문에서, 더 중요한 질문으로 전환되고 있습니다: 지속적인 장기 기억을 가진 에이전트가 지속적으로 조작되거나, 세션 간에 악의적인 영향을 받거나, 무단으로 접근당하거나, 조직 전체의 상태로 전파될 수 있는가? 최근 연구들은 메모리 아키텍처와 에이전트 메커니즘을 다루지만, 지속적이고 쓰기 가능한 메모리의 인지적 및 거버넌스 특성을 메모리가 독립적인 보안 문제인 이유로 중심적으로 다루는 연구는 부족합니다. 본 연구는 이러한 격차를 해소하고자 합니다. 인지 신경과학 및 기억 철학을 바탕으로, 우리는 에이전트 메모리를 유연하고, 재작성 가능하며, 사회적으로 전파되는 것으로 특징짓고, 여섯 단계(쓰기, 저장, 검색, 실행, 공유, 삭제/롤백)를 중심으로 구성된 메모리 생명 주기 프레임워크를 제안하며, 이를 네 가지 보안 목표(무결성, 기밀성, 가용성, 거버넌스)와 함께 분석합니다. 우리는 메모리 오염, 추출, 검색 변조, 제어 흐름 탈취, 에이전트 간 전파, 롤백 및 거버넌스에 대한 기존 연구를 정리하고, 대표적인 아키텍처가 어떤 단계가 명시적으로 관리될 수 있는지를 결정하는 요인임을 보여줍니다. 세 가지 주요 결과가 도출되었습니다. 기존 연구는 주로 쓰기 및 검색 시점의 무결성 공격에 집중하는 반면, 기밀성, 가용성, 저장/삭제 및 안전하지 않은 지속성 문제는 상대적으로 덜 연구되었습니다. 또한, 현재 공개된 아키텍처 중 우리가 식별한 아홉 가지 거버넌스 원칙을 모두 포괄하는 것은 없습니다. 마지막으로, LLM 자체를 메모리 보안에 활용하는 것은 아직 부족하지만 필수적입니다. 본 연구는 이러한 요소들을 '기억 주권'이라는 개념으로 통합합니다. 기억 주권은 무엇이 기록될 수 있는지, 누가 읽을 수 있는지, 언제 업데이트가 허용되는지, 그리고 어떤 상태가 삭제될 수 있는지에 대한 검증 가능하고 복구 가능한 거버넌스를 의미합니다. 우리는 미래의 안전한 에이전트는 단순히 기억 용량뿐만 아니라 메모리 거버넌스의 품질에 의해 차별화될 것이라고 주장합니다.

Research on large language model (LLM) security is shifting from "will the model leak training data" to a more consequential question: can an agent with persistent, long-term memory be continuously shaped, cross-session poisoned, accessed without authorization, and propagated across shared organizational state? Recent surveys cover memory architectures and agent mechanisms, but fewer center the epistemic and governance properties of persistent, writable memory as the reason memory is an independent security problem. This survey addresses that gap. Drawing on cognitive neuroscience and the philosophy of memory, we characterize agent memory as malleable, rewritable, and socially propagating, and develop a memory-lifecycle framework organized around six phases -- Write, Store, Retrieve, Execute, Share, Forget/Rollback -- cross-tabulated against four security objectives: integrity, confidentiality, availability, governance. We organize the literature on memory poisoning, extraction, retrieval corruption, control-flow hijacking, cross-agent propagation, rollback, and governance, and situate representative architectures as determinants of which phases are explicitly governable. Three findings stand out: the literature concentrates on write- and retrieve-time integrity attacks, while confidentiality, availability, store/forget, and benign-persistence failures remain sparsely studied; no published architecture covers all nine governance primitives we identify; and using LLMs themselves for memory security remains sparse yet essential. We unify these under mnemonic sovereignty -- verifiable, recoverable governance over what may be written, who may read, when updates are authorized, and which states may be forgotten -- arguing future secure agents will be differentiated not only by recall capacity, but by memory governance quality.