구글 클라우드 COO '침해부터 다음 공격까지 22초'… 에이전트 방어 시대 강조
테크크런치가 로스앤젤레스 한 행사 백스테이지에서 프랜시스 드 소우자 구글 클라우드 COO와 마주 앉아 'AI 보안의 전환기'를 짚었다. 그는 대학 교수처럼 차분한 어조로 "전환기가 있고, 그다음 더 나은 곳에 이르게 될 것"이라고 말했지만, 인터뷰가 진행될수록 구글 자체도 답을 찾는 중이라는 사실이 드러난다.
드 소우자의 핵심 메시지는 보안 전문가들이 수년간 경영진에게 내재화시키려 한 내용이지만 AI 때문에 더 시급해졌다는 것이다. "기업이 AI 여정에 나설 때 플랫폼 접근법을 취해야 한다. 보안은 나중에 덧붙일 수 있는 게 아니고, 직원에게 알아서 하라고 맡길 수 있는 것도 아니다." 그는 조직의 감독 없이 직원들이 소비자 도구로 손을 뻗는 '쉐도 AI'를 특히 경고하면서, 처음부터 플랫폼에 보안·거버넌스·감사 가능성을 요구해야 한다고 말했다. "데이터 전략과 보안 전략 없는 AI 전략은 없다."
그의 조언이 구글 클라우드 광고처럼 들린다는 지적에 그는 반박했다. 구글은 멀티클라우드 접근에 헌신하고 있으며, 단일 클라우드에서 운영된다고 생각하는 기업도 실제로는 그렇지 않은 경우가 많다는 것이다. "단일 클라우드를 선택해도 SaaS 애플리케이션에 의존하고, 다른 클라우드를 쓰는 비즈니스 파트너도 있다." 따라서 클라우드와 모델 전반에 걸쳐 일관된 보안 자세가 중요하다고 그는 강조했다.
위협 환경도 근본적으로 바뀌었다. 그는 초기 침해와 공격 다음 단계로의 핸드오프 사이 평균 시간이 8시간에서 22초로 떨어졌다고 짚었다. 공격 표면도 전통적 네트워크 경계를 훌쩍 넘어섰다. "기존 자산 외에 이제 모델이 있고, 모델을 학습시키는 데이터 파이프라인, 에이전트, 프롬프트가 있다. 이 모두를 보호해야 한다."
주목할 만한 위협 한 가지는 기업 내부 시스템을 누비는 에이전트가 수년간 잊혔던 데이터 저장소를 들춰낼 수 있다는 점이다. "많은 조직이 오래된 SharePoint 서버와 접근 통제를 업데이트하지 않았지만, 어디 있는지 아무도 몰랐기에 문제가 되지 않았다. 그러나 기업을 누비는 에이전트는 그 자산을 찾아 데이터를 노출시킬 것이다."
해답은 머신 스피드에 머신 스피드로 맞서는 것이다. "이제 조직이 방어를 주도하는 에이전트를 운용하는 AI 네이티브, 완전 에이전트형 방어가 등장하고 있다." 인간 주도 방어나 인간 개입 방어가 아니라, 인간이 완전 에이전트형 방어를 감독하는 형태로 바뀐다는 설명이다. 그는 이것이 보안팀만의 문제가 아니라 이사회와 임원진 차원의 이슈가 됐다고 덧붙였다.
그러나 방어를 감독할 인력은 턱없이 부족하다. 링크드인 최고정보보안책임자(CISO) 리아 키스너는 이번 주 뉴욕타임스에 "버그-팤캘립스(bug-pocalypse)에 대응할 사람이 필요해질 것"이라며, 업계가 AI 보안을 지속 가능한 장기적 방식으로 이해하기까진 최소 몇 년이 걸릴 것으로 본다고 말했다.
정작 플랫폼 제공자 자체도 흔들리고 있다. The Register는 최근 몇 주간 구글 클라우드 개발자들이 한 번도 쓴 적 없거나 의도적으로 활성화한 적 없는 Gemini 모델에 대한 무단 API 호출로 다섯 자리 청구서를 받은 사례를 잇따라 보도했다. 패턴은 비슷했다. 구글의 안내대로 공개 위치에 배포된 Google Maps용 API 키가, 구글이 키의 스코프를 확장하면서 그 변경 사항을 명확히 공지하지 않은 사이 Gemini도 호출할 수 있게 된 것이다.
면접 준비 플랫폼 Prentus의 CEO 로드 다난은 공격자가 자신의 침해된 API 키를 악용한 후 약 30분 만에 청구액이 1만 138달러에 달했다고 밝혔다. 시드니 기반 개발자 이수루 폰세카는 250달러 지출 한도를 걸어둔 줄 알았음에도 약 1만 7000호주달러의 청구를 받고 아침에 깨어났다. 두 사람 모두 모르는 사이 구글의 자동 시스템이 계정 이력을 근거로 빌링 티어를 최대 10만 달러까지 명시적 동의 없이 끌어올렸다. 구글은 The Register의 최초 보도 후 두 사람 모두에게 환불해줬으나, 자동 티어 업그레이드 정책을 바꿀 계획은 없다고 답했다. 사용자의 명시된 예산 선호를 강제하기보다 서비스 중단 방지를 우선한다는 입장이다.
키 해지 문제도 남아 있다. 보안 기업 Aikido의 연구를 The Register가 보도했는데, 침해된 키를 잡아내 즉시 삭제한 개발자조차 안전하지 않을 수 있다. 구글의 해지가 인프라 전반에 점진적으로 전파되기에 공격자가 그 키를 최대 23분간 계속 사용할 수 있다는 것이다. Aikido 연구원 조셉 리온은 그 시간 동안 성공률이 예측 불가능하며 어떤 시점엔 요청의 90% 이상이 여전히 인증됐다고 밝혔다. 공격자는 그 사이 파일과 Gemini 캐시 대화 데이터를 빼낼 수 있다. 반면 구글의 새 자격증명 형식은 같은 문제가 없어 보인다는 게 리온의 지적이다. 서비스 계정 API 자격증명은 약 5초 만에 해지되고, Gemini의 새 AQ 접두 키 형식은 약 1분이면 해지된다. "둘 다 구글 규모로 작동한다. 둘 다 구글 API 키도 기술적으로 해결 가능함을 시사한다." 23분 윈도우가 엔지니어링 제약이 아니라 회사의 우선순위 문제라는 결론이다. 드 소우자의 조언은 옳지만, 플랫폼이 처방하는 것과 자기 자신이 적응하는 속도 사이의 간극을 함께 보는 게 중요하다고 테크크런치는 짚었다.