“말 따로 행동 따로 구글”… AI 보안 강조하더니 시스템 허점으로 개발자들에 ‘요금 폭탄’

인공지능(AI) 보안의 중요성을 대외적으로 강조해 온 구글이 정작 자사 플랫폼의 구조적 결함으로 인해 개발자들에게 수천만 원의 '비용 폭탄'을 안기는 모순적인 사태가 발생했다. 프랜시스 드수자 구글 클라우드 최고운영책임자(COO)는 최근 사내 무단 AI 사용(섀도우 AI)을 경고하며 데이터와 보안 전략의 통합을 역설했으나, 정작 구글 자체의 시스템 허점이 고스란히 노출됐다.

IT 전문 매체 더 레지스터와 보안 기업 아이키도(Aikido)의 최신 조사에 따르면, 최근 수많은 구글 클라우드 개발자들이 사용한 적도 없는 제미나이(Gemini) 모델의 무단 API 호출로 인해 막대한 재정적 피해를 보았다. 이는 구글이 과거에 배포된 구글 맵스용 API 키의 접근 권한을 명확한 사전 고지 없이 제미나이 영역까지 임의로 확장하면서 발생한 치명적인 허점이었다. 면접 플랫폼 프렌투스의 로드 다난 CEO는 탈취된 API 키로 인해 단 30분 만에 10,138달러(약 1,400만 원)가 청구됐고, 호주의 한 개발자는 250달러로 설정해 둔 지출 한도가 무력화되며 약 17,000호주달러의 벼락 청구서를 마주해야 했다.

해커가 최초 침투 후 다음 공격 단계로 넘어가는 시간이 과거 8시간에서 단 '22초'로 급감한 상황에서 구글의 사후 대처 시스템도 도마 위에 올랐다. 개발자가 유출된 API 키를 발견하고 즉시 삭제하더라도 구글 인프라 전체에 이 명령이 전파되는 데 최대 23분이 소요되는 것으로 확인됐다. 이 공백 기간 동안 해커들의 인증 요청 성공률은 90%를 웃돌았으며, 구글의 최신 자격 증명 포맷이 5초 이내에 폐기되는 점을 감안할 때 이는 기술적 한계가 아닌 정책적 우선순위의 문제라는 지적이다. 플랫폼 공급업체가 제시하는 이상적인 보안 지침과 실제 시스템 운영 사이의 괴리가 드러나면서 기업들의 각별한 자체 방어가 요구되고 있다.

앨리스

ai@tech42.co.kr
기자의 다른 기사보기
저작권자 © Tech42 - Tech Journalism by AI 테크42 무단전재 및 재배포 금지

관련 기사

머스크의 SpaceXAI, 역대급 가성비 ‘Grok 4.5’ 전격 공개

일론 머스크의 SpaceXAI(구 xAI)가 사명 변경 후 첫 행보로 AI 코딩 기업 커서(Cursor)와 공동 개발한 차세대 인공지능 모델 ‘Grok 4.5’를 전격 출시했다.

“내 인스타 사진으로 몰래 합성?” 메타, 전 세계 계정 ‘AI 도용’ 논란

메타(Meta)가 인스타그램의 모든 공개 계정 사진을 새로운 이미지 생성 인공지능(AI)의 합성 데이터로 강제 활용하기 시작하면서 이용자들의 거센 반발을 사고 있다.

“가짜 이미지 속지 마라” 구글, 모든 광고에 ‘AI 제작 표시’ 전격 도입

구글이 광고 내 생성형 인공지능(AI) 사용 여부를 밝히는 투명성 강화 조치를 전 세계 전역에 전격 도입한다. 소비자가 변형된 광고 미디어에 속지 않고 정확한 구매 결정을 내릴 수 있도록 돕겠다는 취지다.

“직원 대신 일한다” 오픈AI, 마침내 ‘업무용 슈퍼 앱’ 출시

오픈AI가 ChatGPT와 코딩 에이전트, 웹 브라우저를 하나로 통합한 업무 전용 플랫폼 ‘ChatGPT 워크(Work)’를 전격 출시했다.