구글이 제미나이 무단 API 호출로 인한 과금 논란 후 인공지능(AI) 보안 전략 중요성을 강조한 것으로 전해졌다. 

24일(현지시간) 테크크런치 등 외신에 따르면 프랜시스 드 수자 구글클라우드 최고운영책임자(COO)는 이날 미국 로스앤젤레스에서 열린 한 행사에서 AI 시대 보안·데이터 전략 중요성을 강조했다.

이날 수자 COO는 기업들이 AI 플랫폼을 구축할 때 보안, 거버넌스, 감사 가능성을 처음부터 고려해야 한다고 주장했다. 직원들이 조직 승인 없이 소비자용 AI 도구를 쓰는 '섀도 AI'가 확산하면 민감 데이터가 통제 밖으로 나갈 수 있다는 이유에서다.

수자 COO는 AI 확산에 따라 보안 위협 속도도 빨라졌다고 봤다. 그는 "최초 침해가 발생한 뒤 공격이 다음 단계로 넘어가는 평균 시간이 8시간에서 22초로 줄었다"며 "방어 대상도 기존 네트워크와 서버를 넘어 모델, 학습 데이터 파이프라인, 에이전트, 프롬프트로 넓어졌다"고 설명했다.

그는 AI 에이전트가 기업 내부 시스템을 이동하면서 오래 방치된 데이터 저장소를 찾아낼 수 있다고 경고했다. 과거에는 존재 자체가 잘 알려지지 않아 드러나지 않았던 오래된 셰어포인트 서버와 접근 권한 설정이 AI 에이전트에 의해 노출될 수 있다는 것이다.

수자 COO는 이런 환경에서 사람 중심 방어만으로는 공격 속도를 따라가기 어렵다고 봤다. 그는 "기업은 AI 에이전트가 방어를 수행하고 사람이 이를 감독하는 AI 네이티브 방식으로 보안 체계를 전환해야 한다"고 주장했다.

앞서 구글클라우드는 제미나이 무단 API 호출로 고객에 고액 과금을 청구한 바 있다. 현재 해당 금액은 전액 환불 처리된 상태다. 

당시 더레지스터는 일부 구글클라우드 개발자들이 제미나이 모델에 대한 무단 API 호출로 고액 청구서를 받았다고 보도했다. 문제는 구글 맵스용 API 키가 제미나이 호출에도 쓰일 수 있게 되면서 발생했다. 개발자들이 이를 명확히 알지 못한 사이 공격자들은 외부에 노출된 키를 악용했고 비용은 개발자 계정으로 청구된 것이다.

피해자들은 짧은 시간에 큰 비용을 떠안은 것으로 확인됐다. 당시 로드 다난 프렌터스 최고경영자(CEO)는 약 30분 만에 1만 138달러(약 1500만원)를 청구받았다고 밝혔다. 시드니 개발자 이수루 폰세카도 약 1만 7000 호주달러(얄 1840만원) 규모 요금을 청구받은 것으로 파악됐다. 

당시 업계에선 API 키 폐기 지연 문제도 나왔다. 보안업체 아이키도는 손상된 구글 API 키를 삭제해도 최대 23분 동안 공격자가 이를 계속 사용할 수 있다고 분석했다.

관련기사

이에 업계에서는 플랫폼 사업자도 인증 체계와 과금 정책에도 보안 관련 개선을 강화해야 한다는 목소리가 이어졌다. 

수자 구글클라우드 COO는 "데이터 전략과 보안 전략이 없는 AI 전략은 존재하지 않는다"고 밝혔다.