Everyone is navigating AI security in real time — even Google

개요

Google Cloud COO Francis de Souza는 AI 보안이 플랫폼 접근 방식에서 시작되어야 하며, 기업들은 초기부터 보안, 거버넌스, 감사 가능성을 요구해야 한다고 강조합니다.

주요 내용

* AI 시대의 보안은 사후 추가하는 것이 아니라 플랫폼 설계 초기부터 통합되어야 하며, 직원들이 임의로 소비자 도구를 사용하는 '섀도우 AI'에 대한 조직적 통제가 필요합니다.
* AI 전략은 데이터 전략 및 보안 전략과 분리될 수 없으며, 모든 것이 함께 진행되어야 합니다.
* Google은 멀티 클라우드 접근 방식을 지지하며, 기업들은 단일 클라우드 환경에 있더라도 SaaS 애플리케이션 및 비즈니스 파트너와의 연동을 고려하여 클라우드 전반에 걸쳐 일관된 보안 태세를 유지해야 합니다.
* 공격과 탐지 사이의 시간이 22초로 단축되는 등 위협 환경이 급변함에 따라, 기존의 느린 방어 모델로는 대응이 불가능하며, 모델, 데이터 파이프라인, 에이전트, 프롬프트 등 확장된 공격 표면을 보호해야 합니다.
* AI 에이전트가 기업 내부 시스템을 탐색하면서 수년간 방치되었던 데이터 저장소를 발견하여 민감한 정보를 노출할 수 있습니다.
* 이러한 위협에 대응하기 위해 AI 기반의 자율 방어 시스템이 등장하고 있으며, 이는 인간 중심의 방어에서 인간이 감독하는 자율 방어로의 전환을 의미합니다.
* AI 보안은 더 이상 기술팀만의 문제가 아니라 이사회 및 경영진 차원의 리더십 이슈입니다.
* Google Cloud 개발자들이 승인되지 않은 Gemini 모델 API 호출로 인해 예상치 못한 고액 청구서를 받은 사례가 보고되었는데, 이는 공개된 API 키가 Google의 동의 없는 범위 확대로 인해 Gemini 접근에 사용되었기 때문입니다.
* Google의 자동 티어 업그레이드 정책은 서비스 중단을 방지하기 위해 사용자의 예산 선호도보다 우선시되며, API 키가 삭제된 후에도 최대 23분까지 유효할 수 있어 공격자가 데이터를 유출할 수 있는 창구를 제공합니다.
* AI 자체의 취약점 증가 속도는 보안팀의 대응 속도를 넘어서고 있으며, AI 보안에 대한 지속 가능한 장기적 이해는 수년이 걸릴 것으로 예상됩니다.

시사점

현재 플랫폼 제공업체가 제시하는 보안 권고와 실제 자체 시스템의 적응 속도 사이에는 간극이 존재하며, 이는 기업들이 AI 보안 전략을 수립하고 실행하는 데 있어 중요한 고려 사항입니다.