이 문서에서는 Gemini Code Assist 보안을 지원하는 제어를 설명합니다. 이러한 제어를 사용하면 비즈니스에 적용되는 개인 정보 보호 및 규제 요구사항을 충족할 수도 있습니다.
Google Cloud 서비스의 보안, 개인 정보 보호, 규정 준수는 공유 책임입니다. 예를 들어 Google은 Google Cloud 서비스가 실행되는 인프라를 보호하고 서비스와 리소스에 액세스할 수 있는 사용자를 관리할 수 있도록 액세스 제어와 같은 도구를 제공합니다. Google이 인프라를 보호하는 방법에 대한 자세한 내용은 Google 인프라 보안 설계 개요를 참조하세요.
Gemini Code Assist 아키텍처
다음 다이어그램에서는 Gemini Code Assist 아키텍처 구성요소를 보여줍니다.
구성요소는 다음과 같습니다.
- 온프레미스 환경에서 애플리케이션 개발자가 Visual Studio 또는 JetBrains용 Gemini Code Assist 확장 프로그램을 설치합니다. 개발자는 이 확장 프로그램을 사용하여 Gemini Code Assist와 상호작용할 수 있습니다.
- 기본적으로 확장 프로그램은 인터넷을 통해 암호화된 TLS 연결을 사용하여 온프레미스 환경에서 Google Cloud에 연결합니다. 온프레미스 환경과 Google Cloud 사이에 전용 보안 연결을 만들려면 Cloud VPN 또는 Cloud Interconnect를 구성하면 됩니다.
- Google Cloud 환경 내에서 VPC 서비스 제어 서비스 경계를 설정할 수 있습니다. VPC 서비스 제어를 사용하면 신뢰할 수 있는 경계 외부의 Google 관리 서비스에 대한 액세스를 차단하고 신뢰할 수 없는 위치의 데이터에 대한 액세스를 차단하며 데이터 무단 반출 위험을 완화하는 보안 정책을 정의할 수 있습니다.
- Gemini Code Assist 서비스를 사용 설정한 Google Cloud 프로젝트입니다. Gemini Code Assist는 Google Cloud를 위한 Gemini API를 사용하여 대화를 처리합니다. Google Cloud를 위한 Gemini API는 프로젝트의 다른 API 또는 리소스에 액세스할 수 없습니다.
또는 조직에서 Cloud Workstations를 사용하는 경우 개발자는 워크스테이션에서 Gemini Code Assist와 상호작용할 수 있습니다. 자세한 내용은 Gemini Code Assist를 사용한 코드 작성을 참조하세요.
대부분의 Google Cloud API와 달리 Google Cloud를 위한 Gemini API는 Google에서 제공하는 클라이언트 전용으로 개발된 API입니다. 이 API를 사용하면 이러한 클라이언트에서 Gemini Code Assist를 지원하는 스테이트리스(Stateless) LLM에 액세스할 수 있습니다. Google Cloud를 위한 Gemini API를 사용 설정한 모든 Google 고객이 이러한 LLM 인스턴스를 공유합니다.
배포 보안 제어
이 섹션에서는 Google Cloud의 Gemini Code Assist에 대한 일부 보안 제어를 설명합니다.
인증
Gemini Code Assist를 사용하려면 애플리케이션 개발자가 Google Cloud에 인증하여 ID와 액세스 권한을 확인해야 합니다. Cloud ID, Google Workspace 또는 Cloud ID 또는 Google Workspace와 제휴한 ID 공급업체에서 관리하는 사용자 계정으로 각 개발자를 설정해야 합니다. 자세한 내용은 ID 및 액세스 관리 개요를 참조하세요.
계정을 만든 후에는 다음 보안 권장사항을 고려하세요.
- 외부 ID 공급업체로 인증할 때 싱글 사인온(SSO)을 사용 설정합니다.
- 2단계 인증을 사용하여 비밀번호 도용으로부터 사용자를 보호합니다.
- 비밀번호 요구사항을 적용하고 모니터링합니다.
액세스 제어
Identity and Access Management(IAM)를 사용하여 Gemini Code Assist에 대한 애플리케이션 개발자 액세스를 제어할 수 있습니다. 대규모로 IAM 역할을 관리하려면 애플리케이션 개발자를 위한 그룹을 만들고 Gemini Code Assist에 필요한 IAM 역할이나 권한을 해당 그룹에 부여하는 것이 좋습니다. 개별 사용자에게 IAM 역할을 부여하지 않는 것이 좋습니다. 개별적으로 할당하면 역할 관리와 감사가 복잡해질 수 있기 때문입니다.
애플리케이션 개발자 그룹에 역할을 할당할 때는 최소 권한의 원칙과 기타 IAM 보안 권장사항을 준수해야 합니다.
그룹 생성 및 멤버십에는 기존 ID 공급업체의 프로세스를 사용합니다. IAM 설정 방법에 대한 자세한 내용은 IAM 개요를 참조하세요.
Gemini Code Assist에 필요한 IAM 역할에 대한 자세한 내용은 프로젝트에 Gemini Code Assist 설정을 참조하세요. 애플리케이션 개발자에게 필요한 최소 권한에 대한 자세한 내용은 고급 설정 태스크를 참조하세요.
관리 및 액세스 활동을 감사하려면 Google Cloud를 위한 Gemini를 참조하세요.
네트워크 보안
기본적으로 Google은 Gemini Code Assist를 포함한 모든 Google Cloud 서비스의 전송 중 데이터에 보호 조치를 적용합니다.
기본 연결은 애플리케이션 개발자 워크스테이션과 Google 프런트엔드(GFE) 간의 연결입니다. GFE는 Google 네트워크와 외부 세계 사이에서 트래픽을 라우팅하는 전역적으로 분산된 시스템입니다. Gemini Code Assist는 이 연결을 사용하여 개발자 프롬프트를 수신하고 응답합니다. 기본적으로 이 연결은 TLS를 통해 보호됩니다. 기본 네트워크 보호에 대한 자세한 내용은 전송 중 데이터 암호화를 참조하세요.
조직에서 요구하는 경우 추가 보안 제어를 구성하여 Google Cloud 네트워크의 트래픽과 Google Cloud 네트워크와 기업 네트워크 간의 트래픽을 더욱 보호할 수 있습니다.
다음 사항을 고려하세요.
- Cloud VPN 또는 Cloud Interconnect를 사용하여 기업 네트워크와 Google Cloud 간의 연결의 보안과 신뢰성을 극대화합니다. 자세한 내용은 네트워크 연결 제품 선택을 참조하세요.
VPC 서비스 제어를 사용합니다. VPC 서비스 제어를 사용하면 Google 서비스에서 데이터 이동을 제어하고 컨텍스트 기반 경계 보안을 설정할 수 있습니다. VPC 서비스 제어 설정 방법에 대한 자세한 내용은 Gemini용 VPC 서비스 제어 구성을 참조하세요.
Google Cloud에서는 공유 VPC를 네트워크 토폴로지로 사용하는 것이 좋습니다. 공유 VPC는 환경 분리를 유지하면서 중앙 집중식 네트워크 구성 관리를 제공합니다. 네트워크 토폴로지에 대한 자세한 내용은 Google Cloud 시작 영역의 네트워크 설계 결정을 참조하세요.
네트워크 보안 권장사항에 대한 자세한 내용은 네트워크 보호 및 Google Cloud 시작 영역의 네트워크 설계 결정을 참조하세요.
데이터 보호 및 개인 정보 보호
이 섹션에서는 Gemini Code Assist 및 확장 프로그램에서 사용자 데이터와 개인 정보를 보호하는 방법을 설명합니다.
고객 데이터
고객 데이터는 Google Cloud 서비스 약관에 정의되어 있습니다. Google에서 고객 데이터를 처리하고 보호하는 방법에 대한 자세한 내용은 Cloud 데이터 처리 추가 조항(고객)을 참조하세요.
예를 들어 Gemini Code Assist 및 확장 프로그램은 다음과 같은 고객 데이터를 전송합니다.
- 개발자 쿼리가 포함된 프롬프트 데이터
- Gemini Code Assist의 응답 데이터
- 현재 대화 기록, IDE에서 열려 있는 파일의 스니펫, 열려 있는 파일 옆에 저장된 파일의 스니펫, 현재 파일의 커서 위치와 같은 추가 컨텍스트
Gemini Code Assist는 스테이트리스(Stateless) Google Cloud 서비스이므로 프롬프트와 응답을 Google Cloud에 저장하지 않습니다. 필요한 경우 Gemini Code Assist를 설정하여 사용자 입력과 응답을 Cloud Logging 버킷에 저장할 수 있습니다. 자세한 내용은 Gemini 로그 보기를 참조하세요. Gemini Code Assist 사용량을 모니터링하려면 Google Cloud를 위한 Gemini 사용량 모니터링을 참조하세요.
Google Cloud에서 저장 데이터를 암호화하는 방법에 대한 자세한 내용은 기본 저장 데이터 암호화를 참조하세요.
서비스 데이터
서비스 데이터는 Google Cloud 개인정보처리방침에 정의되어 있습니다.
다음은 Gemini Code Assist에서 수집하는 서비스 데이터의 예시입니다.
- 사용자 분석(개발자 작업에 대한 데이터)
- 텔레메트리 데이터
- Google 피드백
원격 분석 데이터에는 제품의 기술적 작동을 설명하는 데이터가 포함됩니다. 다음은 원격 분석 데이터의 예시입니다.
- 요청이 전송됐음을 나타내는 이벤트(요청 내용은 아님)
- 응답이 수신되었음을 나타내는 이벤트(응답 콘텐츠는 아님)
- 응답에 대한 사용자 반응(예: 사용자가 응답을 수락 또는 거부했는지 여부)
- 수락된 추천의 문자 수
- 다양한 UI 요소와 사용자 상호작용
Gemini Code Assist 엔지니어는 지속적인 제품 개선을 위해 원격 분석 데이터에 액세스할 수 있습니다.
Google 의견 제출 양식에 포함할 정보를 맞춤설정할 수 있습니다(특정 로그를 공유하거나 보류할지 여부 포함). 의견 기록을 보려면 의견 보고서를 참조하세요.
데이터가 처리되는 위치
Gemini Code Assist는 전 세계 Google Edge 네트워크를 사용하여 처리할 데이터를 수신합니다. 일반적으로 처리는 요청의 지리적 출처에 가장 가까운 데이터 센터에서 진행되지만 리전성은 보장되지 않습니다.
데이터 개인 정보 보호
데이터 개인 정보를 보호하기 위해 Gemini Code Assist는 생성형 AI 기술을 사용하여 Google 개인 정보 보호 약정을 준수합니다. 이 약정에는 다음과 같은 항목이 포함됩니다.
- Google은 사용자 허가 없이 사용자 데이터를 사용하여 Google 모델을 학습시키지 않습니다.
- Google은 일반 개인 정보 보호 원칙 설명처럼 개인 정보 보호 원칙을 Gemini Code Assist 개발에 반영합니다.
Google의 AI 원칙에 대한 자세한 내용은 Google AI 원칙을 참조하세요.
Gemini Code Assist는 경험과 추천을 맞춤설정할 때, 문제를 해결할 때, 서비스를 유지할 때 등 모든 고객 데이터의 데이터 프로세서 역할을 합니다. 또한 Google은 결제, 계정 관리, 악용 감지와 같은 정보의 데이터 컨트롤러 역할을 합니다. 자세한 내용은 Google Cloud 개인정보처리방침을 참조하세요.
인증
Gemini Code Assist는 다음과 같은 인증을 받았습니다.
Google Cloud가 다양한 규제 프레임워크와 인증을 준수하는 방식에 대한 자세한 내용은 규정 준수 리소스 센터를 참조하세요.
Gemini Code Assist를 안전하게 사용
일반적으로 AI 코딩 지원 사용 여부와 관계없이 애플리케이션을 개발할 때는 안전한 소프트웨어 개발 수명 주기(SDLC)를 사용하는 것이 좋습니다. SDLC 권장사항에 대한 자세한 내용은 DevOps란 무엇인가요? 연구 및 솔루션 및 SLSA를 참조하세요.
Gemini Code Assist는 생성형 AI 면책 서비스입니다. Gemini Code Assist에서 생성한 콘텐츠를 사용한 후 저작권을 이유로 법적 문제가 제기된 경우 관련된 법적 위험에 대한 책임을 Google이 부담할 것입니다. 배상에 대한 자세한 내용은 서비스별 약관 또는 이 문제에 대한 블로그 게시물을 참조하세요.
다음 단계
생성형 AI, 개인 정보 보호, Google Cloud(PDF)를 알아보세요.