AI 에이전트 벤치마크를 만든다고 하면 먼저 수백 개 질문을 모으거나 모델끼리 정답률을 비교하기 쉽습니다. 하지만 실제 에이전트는 답변만 생성하지 않습니다. 목표를 해석하고, 도구를 선택하고, 외부 상태를 읽거나 바꾸며, 실패하면 재시도하고, 때로는 사람에게 승인을 요청합니다. 이 과정에서 한 문장의 품질보다 더 중요한 것은 업무가 올바른 상태로 끝났는가입니다.
예를 들어 일정 관리 에이전트가 자연스러운 확인 메시지를 보냈더라도 캘린더에 중복 일정을 만들었다면 실패입니다. 고객 지원 에이전트가 친절한 문장을 작성했더라도 승인되지 않은 환불을 약속했다면 위험한 실패입니다. 따라서 벤치마크는 모델의 언어 능력 시험이 아니라 업무 결과와 행동 경계를 재현하는 작은 운영 환경이어야 합니다.
이 글은 AI 에이전트 평가 프레임워크를 실제 테스트 세트와 릴리스 절차로 바꾸는 방법에 집중합니다. 바로 편집할 수 있는 AI 에이전트 평가표 CSV도 함께 제공합니다.
정상·경계·공격·복구 시나리오, 필수 완료 조건, 금지 행동, 도구 호출 상한, 비용과 지연 기준이 들어 있는 CSV 평가표를 내려받아 조직의 업무에 맞게 수정할 수 있습니다.
벤치마크보다 먼저 ‘평가 계약’을 작성한다
좋은 벤치마크는 질문 목록이 아니라 합의된 성공 정의에서 시작합니다. 제품팀, 업무 담당자, 보안팀과 운영팀이 같은 실패를 같은 이름으로 부르지 않으면 점수를 계산해도 배포 결정을 내리기 어렵습니다.
평가 계약에는 최소한 다음 항목이 필요합니다.
| 항목 | 반드시 정할 내용 | 잘못 정했을 때 생기는 문제 |
|---|---|---|
| 사용자 목표 | 사용자가 최종적으로 얻어야 하는 상태 | 말은 맞지만 실제 업무가 끝나지 않음 |
| 필수 완료 조건 | 성공으로 인정하기 위한 모든 조건 | 부분 성공을 완전 성공으로 계산 |
| 금지 행동 | 어떤 상황에서도 실행하면 안 되는 행동 | 평균 점수가 위험 행동을 가림 |
| 허용 도구와 권한 | 읽기·쓰기·삭제 권한과 승인 단계 | 과도한 권한 사용을 발견하지 못함 |
| 비용 상한 | 모델·도구·사람 검토를 포함한 예산 | 재시도로 품질을 산 것처럼 보임 |
| 시간 상한 | 첫 유효 행동과 전체 완료 시간 | 느린 성공이 사용자 실패로 이어짐 |
| 이관 조건 | 언제 멈추고 사람에게 넘길지 | 모호한 상황에서 억지로 실행 |
| 증거 | 성공과 실패를 판정할 로그·상태 | 재현과 원인 분석이 불가능 |
평가 계약을 한 문장으로 표현하면 다음과 같습니다.
주어진 목표와 제약 안에서 허용된 도구만 사용해 필수 완료 조건을 충족하고, 금지 행동 없이 비용·시간 상한 안에 종료하거나 올바르게 사람에게 이관한다.
이 정의는 모델이 바뀌어도 유지할 수 있습니다. 반대로 “좋은 답변”, “유용한 결과”처럼 모호한 기준은 심사자마다 해석이 달라져 회귀를 찾기 어렵습니다.
골든셋은 운영 분포와 위험 분포를 함께 담는다
실제 사용자 요청을 그대로 샘플링하면 자주 발생하는 쉬운 사례가 대부분을 차지합니다. 이 데이터는 평균 경험을 측정하는 데 필요하지만, 발생 빈도가 낮고 피해가 큰 위험은 충분히 포함하지 못합니다. 따라서 골든셋은 운영 분포 표본과 위험 중심 표본을 구분해 설계해야 합니다.
정상 시나리오
가장 흔하고 가치가 큰 업무입니다. 사용자 표현, 입력 길이, 첨부파일, 데이터 결측과 같은 현실적인 변형을 넣습니다. 지나치게 깨끗한 예제만 사용하면 실제 환경에서 성능이 급격히 떨어질 수 있습니다.
경계 시나리오
조건이 부족하거나 서로 충돌하는 사례입니다. 예산은 맞지만 증빙이 없거나, 참석자 시간대가 다르거나, 두 데이터 소스가 다른 값을 반환하는 상황입니다. 이때 성공은 억지로 일을 끝내는 것이 아니라 부족한 정보를 묻거나 사람에게 이관하는 것일 수 있습니다.
공격 시나리오
외부 문서의 프롬프트 인젝션, 권한 상승 유도, 민감정보 추출, 위험한 도구 인수, 우회 표현을 포함합니다. 공격 문자열 하나를 반복하기보다 같은 의도를 여러 형식과 언어로 변형해야 특정 문구 암기에 그치지 않는지 확인할 수 있습니다.
복구 시나리오
API 시간 초과, 네트워크 단절, 중복 응답, 일부 쓰기 성공, 오래된 캐시처럼 운영 장애를 재현합니다. 여기서는 첫 시도 성공률보다 오류 탐지, 멱등성, 재시도 상한, 롤백과 사람 이관이 핵심입니다.
초기 골든셋의 크기는 과업 수보다 실패 유형을 얼마나 빠짐없이 대표하는가가 중요합니다. 핵심 업무 3개에 각 20~30개 사례를 만들고, 운영 실패가 생길 때마다 재현 사례를 추가하는 방식이 무작정 수천 건을 모으는 것보다 관리하기 쉽습니다.
한 사례를 어떤 필드로 기록할까
평가 사례가 자연어 설명만으로 남아 있으면 자동 실행과 비교가 어렵습니다. 입력, 기대 행동, 금지 행동과 판정 기준을 구조화해야 합니다. 제공한 CSV 템플릿은 다음 필드를 포함합니다.
| 필드 | 역할 | 작성 팁 |
|---|---|---|
case_id | 변하지 않는 사례 식별자 | 내용이 바뀌어도 ID를 재사용하지 않기 |
scenario_type | normal·boundary·attack·recovery | 보고서에서 유형별 성능을 분리 |
risk_level | low·medium·high·critical | 고위험 사례에 별도 게이트 적용 |
task_type | 업무군 | 평균 점수에 가려지는 업무별 회귀 탐지 |
user_goal | 최종 사용자 목표 | 답변 형식이 아니라 결과 상태로 작성 |
required_conditions | 필수 완료 조건 | 모두 충족해야 성공으로 판정 |
forbidden_actions | 금지 행동 | 한 건이라도 발생하면 독립 실패 처리 |
expected_tools | 허용·예상 도구 | 도구 선택과 불필요 호출 분석 |
max_tool_calls | 호출 상한 | 반복과 비용 폭증 방지 |
max_cost_usd | 사례별 비용 상한 | 모델 가격 변경 시 함께 버전 관리 |
max_latency_seconds | 완료 시간 상한 | 업무별 사용자 기대에 맞게 설정 |
success_state | 최종 시스템 상태 | 데이터베이스·파일·API 상태로 검증 |
handoff_required | 사람 이관 필요 여부 | 자동 실행과 올바른 중단을 구분 |
실제 입력과 기대 결과에 개인정보나 운영 비밀이 포함된다면 평가 데이터셋도 운영 데이터와 같은 접근 통제가 필요합니다. 가능한 경우 실제 식별자를 합성 데이터로 바꾸고, 인증정보와 민감 필드는 테스트 환경에서만 사용하는 값으로 대체합니다.
채점은 결정적인 검사부터 늘린다
채점 방법은 편리함보다 판정 신뢰도를 기준으로 선택해야 합니다. 가장 강한 방법은 코드로 결과 상태를 확인하는 결정적 검사입니다.
1. 상태 검사
에이전트가 실제로 만든 결과를 확인합니다. 캘린더 이벤트 수, 수신자, 금액, 데이터베이스 레코드, 파일 변경 범위, 테스트 통과 여부처럼 명확한 상태를 검사합니다. 최종 답변이 그럴듯한지보다 실제 상태가 맞는지가 우선입니다.
2. 도구 호출 검사
어떤 도구를 어떤 순서와 인수로 호출했는지 확인합니다. 허용되지 않은 쓰기 도구, 잘못된 대상, 불필요한 반복, 재시도 상한 초과, 승인 전 실행을 탐지합니다.
3. 규칙 기반 텍스트 검사
필수 고지, 금지 표현, 출처 링크, 정해진 JSON 스키마와 같은 형식을 검사합니다. 다만 형식 규칙을 너무 많이 만들면 실제 결과보다 문구 맞추기에 최적화될 수 있으므로 업무 결과와 직접 연결되는 규칙만 유지해야 합니다.
4. 수치·집합 비교
계산 결과는 허용 오차, 레코드 집합, 정렬과 중복 여부로 검사합니다. 단순 문자열 일치는 표현이 달라졌다는 이유로 올바른 답을 실패 처리할 수 있습니다.
결정적 검사는 설명하기 쉽고 회귀 원인을 빠르게 찾을 수 있습니다. 따라서 모델 기반 심사를 추가하기 전에 코드로 확인할 수 있는 성공 조건을 최대한 분리하는 편이 좋습니다.
LLM 심사자는 정답 기계가 아니라 불확실한 측정 도구다
설명의 명확성, 요약의 충실도, 근거와 결론의 연결처럼 코드로 판단하기 어려운 항목에는 모델 기반 심사가 유용합니다. 그러나 심사 모델도 위치 편향, 길이 선호, 특정 표현 선호와 일관성 문제를 가질 수 있습니다. 점수 하나를 사실처럼 저장하면 벤치마크가 심사 모델의 취향을 측정하게 됩니다.
다음 절차로 신뢰도를 높일 수 있습니다.
- 평가 기준을 분리합니다. 정확성, 근거 충실도, 명확성, 형식 준수를 한 점수로 합치지 않습니다.
- 판단 근거를 요구합니다. 점수와 함께 어떤 기준을 충족하거나 위반했는지 구조화된 근거를 남깁니다.
- 순서를 바꿉니다. 두 답변 비교에서는 A·B 순서를 바꿔 위치 편향을 확인합니다.
- 사람 기준셋으로 보정합니다. 사람이 합의한 표본에서 일치율과 오탐·미탐을 측정합니다.
- 불일치를 사람에게 보냅니다. 규칙 검사와 모델 심사가 충돌하거나 심사자 간 차이가 큰 사례를 우선 검토합니다.
- 심사자도 버전 관리합니다. 모델, 프롬프트, 온도, 루브릭 변경을 평가 결과와 함께 기록합니다.
후보 답변을 만든 모델과 같은 모델이 심사할 때 자기 계열의 표현을 선호할 수 있습니다. 중요한 비교에서는 결정적 검사, 다른 심사 모델, 사람 표본을 함께 사용해 한 심사자의 편향이 배포 결정을 좌우하지 않게 해야 합니다.
사람 검토는 전수 검사가 아니라 위험 기반 표본으로 설계한다
모든 결과를 사람이 읽는 방식은 확장하기 어렵지만, 사람 검토를 완전히 없애면 새로운 실패 유형을 발견하기 어렵습니다. 검토 우선순위를 다음처럼 나눌 수 있습니다.
- 중대 위험 또는 쓰기 권한이 있는 모든 사례
- 결정적 검사와 모델 심사가 충돌한 사례
- 기준 버전과 후보 버전의 결과가 달라진 사례
- 낮은 심사 확신도 또는 심사자 간 불일치 사례
- 운영에서 사용자 불만이나 수정이 발생한 사례
- 성능이 좋아 보이는 사례 중 무작위 표본
사람 검토자에게는 “좋다·나쁘다”가 아니라 평가 계약과 동일한 루브릭을 제공해야 합니다. 두 명 이상의 검토자가 중요한 항목에서 자주 다르게 판단한다면 에이전트보다 먼저 성공 정의를 고쳐야 할 수 있습니다.
종합 점수는 보고용, 안전 조건은 차단용이다
여러 지표를 하나의 점수로 합치면 버전 비교는 편해집니다. 그러나 비용이나 표현 품질이 안전 사고를 상쇄하게 해서는 안 됩니다. 지표를 세 층으로 나누는 방식이 실용적입니다.
차단 지표
한 건만 발생해도 배포를 막는 항목입니다. 권한 위반, 민감정보 노출, 잘못된 수신자에게 쓰기 실행, 중복 결제, 금지된 도구 사용 등이 해당합니다.
하한 지표
업무별 최소 기준입니다. 핵심 과업 성공률, 올바른 사람 이관률, 근거 충실도, 도구 인수 정확도처럼 일정 수준 아래로 내려가면 배포하지 않습니다.
최적화 지표
기준은 충족했지만 계속 개선할 항목입니다. 성공 1건당 비용, P95 지연, 불필요 호출 수, 사람 수정 시간 등이 해당합니다.
예시 종합 점수는 다음처럼 만들 수 있습니다.
운영 점수 = 과업 성공 40% + 결과 품질 20% + 도구 효율 15% + 복구력 15% + 사람 협업 10%
단, 이 점수는 차단 지표가 모두 0이고 하한 지표를 통과했을 때만 비교에 사용합니다. 안전 사고가 있는 버전에 높은 운영 점수를 부여하지 않습니다.
릴리스 게이트를 표로 고정한다
모델이나 프롬프트를 바꿀 때마다 기준을 새로 협상하면 좋은 결과만 골라 해석하게 됩니다. 후보를 보기 전에 릴리스 기준을 고정하고, 현재 운영 버전과 후보 버전을 같은 데이터셋에서 비교해야 합니다.
아래 숫자는 설명용 예시입니다. 실제 값은 업무 위험, 현재 기준선, 사용자 기대와 비용 구조로 정해야 합니다.
| 지표 | 예시 통과 기준 | 즉시 차단 조건 |
|---|---|---|
| 전체 유효 과업 성공률 | 기준 버전 이상 | 3%p 이상 하락 |
| 핵심 업무군 성공률 | 각 업무군 90% 이상 | 한 업무군이라도 5%p 이상 하락 |
| 도구 인수 정확도 | 99% 이상 | 잘못된 쓰기 대상 1건 이상 |
| 올바른 사람 이관률 | 고위험 사례 95% 이상 | 자동 실행 금지 사례를 실행 |
| 성공 1건당 비용 | 기준 버전 대비 +10% 이내 | 품질 개선 없이 +20% 초과 |
| 완료 시간 P95 | 업무 목표 이내 | 타임아웃·무한 반복 발생 |
| 중대 안전 사고 | 0건 | 권한 위반·민감정보 노출 1건 이상 |
| 복구 성공률 | 기준 버전 이상 | 중복 쓰기 또는 상태 불일치 발생 |
비용은 성공 결과를 분모로 계산한다
호출당 토큰 비용만 비교하면 실패와 재시도를 숨기게 됩니다. 에이전트 비용은 다음 항목을 합쳐야 합니다.
- 모델별 입력·출력 토큰과 호출 수
- 검색, 코드 실행, 브라우저, 데이터베이스와 외부 API 비용
- 실패한 시도와 재시도 비용
- 캐시·중복 호출·불필요한 계획 단계 비용
- 사람 승인, 수정과 사고 대응 시간
- 테스트 환경과 관측 인프라 비용
성공 1건당 총비용 = 전체 모델·도구·인프라·사람 비용 ÷ 유효 성공 건수
저렴한 모델이 더 많이 실패하거나 사람 수정 시간을 늘리면 결과당 비용은 높아질 수 있습니다. 비용 비교표에는 반드시 과업 성공률과 사람 개입률을 함께 표시해야 합니다.
지연은 단계별로 쪼개고 긴 꼬리를 본다
전체 완료 시간만 기록하면 병목이 모델인지 도구인지 알기 어렵습니다. 다음 시간을 별도로 측정합니다.
- 요청에서 첫 유효 진행 상태까지의 시간
- 모델 추론에 사용한 누적 시간
- 도구별 대기 시간
- 재시도와 백오프 시간
- 사람 승인 대기 시간을 제외한 자동 처리 시간
- 최종 완료 조건 충족까지의 총시간
평균은 일부 매우 느린 사례를 가립니다. P50으로 일반 경험을, P95로 반복되는 불만 구간을, P99로 장애와 용량 문제를 확인합니다. 시나리오 유형과 업무군별로 나누면 공격·복구 테스트가 정상 업무 지연을 왜곡하는 것도 피할 수 있습니다.
오프라인 평가와 온라인 지표를 연결한다
오프라인 골든셋은 재현성과 빠른 회귀 탐지에 유리하지만 실제 사용자 분포와 외부 시스템 변화를 완전히 반영하지 못합니다. 온라인 운영 지표는 현실적이지만 실패 원인을 통제하기 어렵습니다. 두 환경을 순환시켜야 합니다.
| 단계 | 목적 | 주요 산출물 |
|---|---|---|
| 오프라인 회귀 평가 | 후보 버전의 안전한 사전 비교 | 업무별 성공률, 비용, 지연, 실패 유형 |
| 제한 배포 | 실제 환경에서 작은 표본 검증 | 사용자 수정률, 이관률, 장애와 비용 |
| 운영 모니터링 | 분포 변화와 외부 장애 탐지 | 경보, 실패 로그, 사용자 피드백 |
| 실패 재현 | 운영 실패를 테스트 사례로 전환 | 개인정보가 제거된 신규 골든셋 사례 |
| 재평가 | 수정이 다른 업무를 해치지 않는지 확인 | 기준 버전 대비 회귀 보고서 |
운영에서 발견한 실패를 단순 수정 티켓으로 끝내지 말고 재현 가능한 사례로 남겨야 같은 문제가 모델 교체나 프롬프트 수정 후 되살아나는 것을 막을 수 있습니다.
데이터 누출과 벤치마크 과적합을 막는다
팀이 골든셋을 반복해서 보며 프롬프트를 조정하면 특정 사례의 표현을 외우는 방향으로 개선될 수 있습니다. 다음 방식으로 과적합을 줄입니다.
- 개발용과 최종 검증용 평가셋을 분리합니다.
- 같은 성공 조건을 표현만 바꾼 변형 사례를 만듭니다.
- 일부 검증 사례는 개발자에게 입력과 정답을 공개하지 않습니다.
- 릴리스마다 무작위로 새 운영 표본을 추가합니다.
- 평가셋 버전과 변경 이유를 코드 리뷰합니다.
- 점수가 급격히 오른 경우 특정 패턴 암기 여부를 점검합니다.
공개 벤치마크는 모델의 일반 능력을 비교하는 참고 자료로 유용하지만, 조직 내부 도구, 권한과 완료 상태를 반영하지 못합니다. 공개 점수와 내부 업무 벤치마크를 서로 대체하지 말고 다른 질문에 답하는 자료로 사용해야 합니다.
7일 안에 첫 벤치마크를 만드는 순서
1일차: 핵심 업무 세 개를 고른다
가치가 크고 반복되며 완료 상태를 확인할 수 있는 업무를 고릅니다. 자동화 위험이 너무 큰 업무는 처음부터 실행 권한을 주기보다 읽기와 초안 작성으로 범위를 줄입니다.
2일차: 평가 계약을 합의한다
업무 담당자와 필수 완료 조건, 금지 행동, 사람 이관 조건을 적습니다. 논쟁이 생기는 항목은 판정 예시를 추가합니다.
3일차: 시나리오를 구성한다
업무별 정상 10개, 경계 5개, 공격 3개, 복구 2개처럼 작은 세트로 시작합니다. 실제 운영 실패가 있다면 우선 포함합니다.
4일차: 결정적 검사를 만든다
최종 상태, 도구 인수, 권한, 재시도, 비용과 지연을 자동으로 수집합니다. 텍스트 품질보다 먼저 실제 행동을 검사합니다.
5일차: 사람 기준 표본을 만든다
자동 판정이 어려운 사례를 두 명 이상이 검토하고 합의된 루브릭을 만듭니다. 그 표본으로 모델 심사자의 일치율을 확인합니다.
6일차: 현재 버전의 기준선을 측정한다
여러 번 반복해 평균과 변동 범위를 기록합니다. 성공률만 아니라 실패 유형, 비용과 P95 지연을 함께 봅니다.
7일차: 릴리스 게이트와 운영 환류를 연결한다
차단·하한·최적화 지표를 정하고 CI 또는 배포 파이프라인에 연결합니다. 제한 배포에서 실패가 발생하면 자동 롤백하거나 사람 처리로 전환할 조건을 정합니다.
자주 묻는 질문
평가 사례는 몇 개가 필요할까요?
정해진 최소 숫자보다 핵심 업무와 실패 유형의 대표성이 중요합니다. 처음에는 60~100개의 고품질 사례로 시작하고, 운영 실패를 추가하며 확장하는 편이 실용적입니다. 성능 차이가 작고 변동이 큰 업무는 반복 실행과 더 많은 표본이 필요합니다.
모델 심사자 하나로 충분할까요?
저위험 품질 항목의 빠른 비교에는 도움이 되지만, 중요한 배포 결정의 유일한 판정자로 사용하기는 어렵습니다. 결정적 검사, 사람 기준 표본, 필요할 경우 다른 심사 모델을 함께 사용하세요.
공개 에이전트 벤치마크 점수가 높으면 바로 도입해도 될까요?
공개 벤치마크는 일반 능력과 연구 비교에 유용하지만 조직의 데이터, 도구, 권한과 실패 비용을 반영하지 않습니다. 후보를 좁히는 참고 자료로 사용하고 실제 업무 평가 계약으로 다시 검증해야 합니다.
에이전트가 올바르게 사람에게 넘긴 것도 실패인가요?
사전에 이관 조건이 정의돼 있고 올바른 시점에 필요한 정보를 함께 전달했다면 성공 또는 별도 성공 상태로 볼 수 있습니다. 위험한 상황에서 자동 실행하지 않는 능력은 중요한 성능입니다.
벤치마크는 얼마나 자주 갱신해야 하나요?
모델, 프롬프트, 도구, 권한 또는 업무 정책이 바뀔 때마다 회귀 평가를 실행하고, 운영 실패가 발견될 때 신규 사례를 추가해야 합니다. 정기적으로 오래된 정책과 데이터 의존성을 검토하는 일정도 필요합니다.
좋은 벤치마크는 배포 가능한 경계를 설명한다
AI 에이전트 벤치마크의 목적은 가장 높은 숫자를 만드는 것이 아닙니다. 어떤 업무를 어떤 권한과 비용으로 맡길 수 있는지, 어떤 상황에서는 반드시 멈추고 사람에게 넘겨야 하는지를 설명하는 것이 목적입니다.
평가 계약으로 성공과 금지 행동을 먼저 고정하고, 골든셋에 정상·경계·공격·복구 사례를 함께 넣으며, 결정적 검사와 사람 검토를 계층화하세요. 평균 점수와 별개로 중대 위험을 차단하고, 실제 운영 실패를 다음 회귀 테스트로 되돌리면 벤치마크가 문서가 아니라 제품 안전장치가 됩니다.
전체 개념은 AI 에이전트 평가 프레임워크에서, 도입 순서와 관련 가이드는 AI 에이전트 실전 허브에서 이어서 확인할 수 있습니다. 조직별 평가셋을 만들 때는 CSV 템플릿을 복사해 업무와 권한 구조에 맞게 수정하세요.