Cloud CISO Perspectives: AI 기업들이 취약성 연구를 공유해야 하는 이유

* 해당 블로그의 원문은 2024년 10월 16일 Google Cloud 블로그(영문)에 게재되었습니다.

“2024년 10월의 첫 번째 클라우드 CISO 관점에 오신 것을 환영합니다. 오늘은 구글 보안팀이 발견하고 해결한 새로운 AI 취약점과, AI 기술에 영향을 미치는 취약성 연구를 AI 관련 기업들이 왜 공유해야 하는지에 대해 이야기하려고 합니다. 모든 CISO 관점 뉴스레터는 구글 클라우드 블로그에도 게시됩니다. 구독하면 뉴스레터로 편히 받아 볼 수 있습니다.”

-- 펠 베너블스, 구글 클라우드 부사장 겸 TI 보안 및 CISO

AI 개발자들이 취약성 연구를 공유해야 하는 이유

펠 베너블스, 구글 클라우드 부사장 겸 TI 보안 및 CISO

구글 클라우드는 사이버 보안 연구를 매우 중요하게 생각합니다. 시스템과 코드를 보호하고, 취약점을 발견하면 이를 신속하게 수정하는 것을 중요하게 여깁니다. 특히 AI처럼 빠르게 발전하는 기술에서 매우 중요한 역할을 한다고 생각합니다.

구글 클라우드는 AI 보안 관련해 많은 진전을 이루었습니다. 몇 가지 예를 들자면 구글 클라우드는 AI가 기업에 미칠 수 있는 위험을 탐구하고, AI 레드팀을 만들고, 보안 AI 프레임워크(SAIF)를 공유하고, 더 나은 사이버 방어에 투자하고 있습니다. AI 보안은 매우 복잡하며 포괄적입니다. AI 보안은 인프라 보호, 애플리케이션 보안, 탐지 및 대응, 신뢰와 안전 제어, 그리고 취약성 연구 등 다양한 측면을 다루어야 합니다.

CVR 팀은 Vertex AI에서 새롭게 발견된 취약점을 찾아내어 이를 해결했습니다. CVR 팀의 연구는 버그 헌터 블로그에서 확인할 수 있습니다. 이 블로그에서는 CVR 팀이 연구 과정에서 Vertex AI 플랫폼의 구조적 강화를 위해 어떤 기여를 했는지도 살펴볼 수 있습니다. CVR 팀 관계자는 “우리는 문제를 어떻게 발견하고 내부적으로 해결했는지, 그리고 유사한 클라우드 제공업체에 어떻게 보고했는지를 상세히 설명합니다.”라고 말합니다. 중요한 점은 연구가 Vertex AI에만 국한되지 않았다는 것입니다. CVR 팀 관계자는 “또 다른 대형 클라우드 제공업체에서도 유사한 취약점을 발견하고, 그들의 취약성 공개 절차에 따라 보고했습니다.”라고 말합니다.

구글 클라우드는 고객에게 AI 기술을 제공하는 과정에서 보안 테스트와 연구를 필수로 진행하고 있습니다. 이는 구글의 문화입니다. 신뢰할 수 있는 기술을 만들기 위해서는 취약점을 수정하고 완화하는 것이 매우 중요하며, 이를 공개하고 논의하는 것도 그 과정의 중요한 부분입니다.

AI는 급부상하는 기술로 공격자와 연구자 모두의 집중적인 관심을 받을 것입니다. 지금이야말로 AI 취약성 연구에 대한 논의를 활발히 해야 할 시점입니다. 따라서 AI 개발자들은 AI 보안 연구를 공유하는 문화를 확립해야 합니다. 구글 클라우드는 AI 취약성에 대한 투명성을 촉진하고, 통찰을 공유하며, 공개적인 논의를 주도해 전 세계적으로 보안 기준을 높이려 합니다. 이를 통해 차세대 AI가 기본적으로 안전한 환경(Secure by Default)에서 발전할 수 있도록 할 것입니다.

주제를 소통과 협력으로 옮겨 보겠습니다. 취약점이 해결된 후에도 이를 공유하지 않으면 다른 플랫폼에 동일한 취약점이 계속 존재할 위험이 있습니다. 클라우드 및 보안 업계는 산업 전반에서 취약점을 발견하고 해결하는 과정을 더 쉽게 만들어야 하며, 더 어렵게 만들어서는 안 됩니다. 이 목표를 달성하려면 소통과 협력이 필요합니다. ’안전한 AI 연합(Coalition for Secure AI)’과 오픈 소스 ’보안 AI 프레임워크(SAIF)’는 이 과정에서 중요한 역할을 합니다. 구글 클라우드는 공공과 민간 부문 전반에 걸쳐 AI 보안 프레임워크에 투자하고 이를 개발하여 AI 기술을 안전하게 보호하는 데 기여하고 있습니다.

구글 클라우드는 구글이 지난 20년 동안 쌓아온 강력한 보안 기반을 AI 시스템, 애플리케이션, 사용자 보호로 확장하고자 합니다. 또한, AI 위험을 완화하고 플랫폼과 도구 전반에 걸쳐 보안을 확장할 수 있는 일관된 통제 프레임워크를 지지합니다. 이를 통해 모든 AI 애플리케이션에 최상의 보호를 비용 효율적으로 제공할 수 있을 것입니다.

취약점을 발견하는 것을 부정적으로 보는 것은 공격자들에게만 유리할 뿐입니다. 구글 클라우드는 취약성 투명성을 장려하고 공개적인 논의를 촉진하여, 개발자와 다른 클라우드 제공업체들이 두려움 없이 보안 문제를 해결할 수 있도록 돕고자 합니다. 이러한 사고 방식이 AI 산업을 발전시키는 데 큰 도움이 될 것입니다.

모두 함께 기본적으로 안전한 AI 모델을 목표로 AI 보안의 기준을 높여나갑시다.

구글 클라우드 전문가들의 리더십 가이드를 더 알고 싶다면 CISO 인사이트 허브를 참고하세요.

Google Cloud의 보안 관련 최신 소식

• 축포냐 소화기냐? 클라우드 보안 서프라이즈에 대처하는 방법: 보안 팀은 종종 애플리케이션이나 디지털 제품 개발에 늦게 참여합니다. 이처럼 프로젝트에 뒤늦게 참여하는 것은 보안 팀에게 큰 도전이 될 수 있습니다. 출시 후에 보안 문제가 발견되면, 긴급하게 소화기를 꺼내야 할 수도 있습니다. 이 가이드는 긴급한 상황을 빠르게 대처해 프로젝트를 안전하게 준비하는 방법을 제시합니다. 더 알아보기
• 가상 레드팀을 통해 고위험 클라우드 문제를 공격자보다 먼저 발견하는 방법: Security Command Center의 고급 기능 중 하나인 가상 레드팀을 활용하여 공격 경로를 탐지하는 방법과 그 필요성에 대해 알아보세요. 더 알아보기
• 기밀 컴퓨팅의 새로운 하드웨어 보안 옵션 업데이트: 구글 클라우드 인증 서비스에서 새롭게 제공되는 기밀 컴퓨팅 옵션과 업데이트 내용을 확인하세요. 더 알아보기
• 프로젝트 실드, 무료 DDoS 보호 서비스 확장: 소외된 그룹과 비영리 예술 및 과학 단체들은 이제 DDoS 공격으로부터 무료로 보호받을 수 있습니다. 프로젝트 실드의 강력한 보호 기능을 활용하세요. 더 알아보기
• 클라우드 네트워킹을 통해 DDoS 공격으로부터 사이트 보호하기: 구글 클라우드 네트워킹과 네트워크 보안 기능을 사용해 웹 전반에서 워크로드를 안전하게 보호하는 방법을 알아보세요. 더 알아보기
• 마이크로소프트 윈도우 아티팩트를 Cloud HSM으로 보호된 키로 서명 가능: 이제 마이크로소프트 생태계에서 SignTool을 사용해 코드를 서명하고, Cloud HSM으로 키를 보호할 수 있습니다. 더 알아보기
• 구글 클라우드가 통신 분야의 규제 준수를 지원하는 방법: 통신 네트워크 운영은 단순한 전화 연결 이상의 복잡한 작업입니다. 구글 클라우드가 통신 규제 준수를 어떻게 지원하는지 확인하세요. 더 알아보기

위협 인텔리전스 소식

• 브라우저에서 capa Explorer Web으로 리버스 엔지니어링 분석 받기: capa 리버스 엔지니어링 도구의 결과를 표시하는 웹 기반 인터페이스인 capa Explorer Web을 소개합니다. 더 알아보기

최신 팟캐스트

• 기존 클라우드 프로젝트를 안전하게 보호하는 방법: 구글 클라우드의 테일러 레만과 루이스 우레나가 팟캐스트 진행자 안톤 추바킨과 함께 다른 팀이나 부서에서 이미 개발하고 운영 중이던 프로젝트에 보안팀 참여하게 되었을 경우 어떻게 대응해야 하는지에 대해 논의합니다. 팟캐스트 듣기
• AI가 비밀을 지킬 수 있을까?: 구글 클라우드의 넬리 포터가 AI와 기밀 컴퓨팅이 결합해 어떤 고객 문제를 해결할 수 있는지 설명합니다. 팟캐스트 듣기
• Defender’s Advantage: LLM을 사용해 윈도우 바이너리 분석하기: 바이러스 토탈의 위센테 디아즈가 호스트 루크 맥나마라와 함께 Gemini를 사용해 Windows 바이너리를 분석하는 연구에 대해 논의합니다. 팟캐스트 듣기
• Defender’s Advantage: 위협 행위자가 다중 인증을 우회하는 방법: 맨디언트의 수석 보안 분석가 조쉬 플라이셔가 최신 MFA 우회 트렌드와 AiTM 공격을 통해 조직에 접근하는 방법에 대해 이야기합니다. 팟캐스트 듣기

이상으로 2024년 10월 첫 번째 클라우드 CISO 관점 뉴스레터의 주요 내용을 알아보았습니다. 2주 후에 최신 뉴스레터로 찾아 뵙겠습니다.