구글의 버텍스 AI(Vertex AI)에서 새롭게 확인된 권한 상승 취약점은 AI 서비스 에이전트를 관리하는 일이 기존에 CISO가 경험하던 보안 과제와는 전혀 다른 성격을 지닌다는 점을 보여준다.
보안 업체 XM사이버(XM Cyber)는 최근 버텍스 AI와 관련해 2가지 보안 문제를 보고했다. 기본 설정 상태에서 권한이 낮은 사용자가 더 높은 권한을 가진 서비스 에이전트 역할로 이동할 수 있다는 내용이다. 다만 XM사이버는 이에 대해 구글이 해당 시스템은 의도한 대로 작동하고 있을 뿐이라는 입장을 전달해 왔다고 밝혔다.
보안 업체 록사이버(RockCyber) CEO 록 램브로스는 “OWASP가 계정 및 권한 남용 취약점인 ASI03을 에이전틱 취약점 상위 10가지로 공식 분류한 직후 바로 그 유형의 사례가 구글 버텍스 AI에서 나왔다”라고 말했다.
하지만 이런 상황은 이미 여러 차례 반복돼 왔다. 래램브로스는 “오르카(Orca)가 애저 스토리지의 권한 상승 문제를 발견했을 때 마이크로소프트는 ‘설계상 문제’라고 했고, 아쿠아(Aqua)가 AWS 세이지메이커의 측면 이동 경로를 지적했을 때 AWS 역시 ‘정상 동작’이라고 설명했다”라고 말했다.
이어 “클라우드 서비스 업체는 ‘공유 책임’이라는 개념을 자신들의 안전하지 않은 기본 설정을 방어하는 책임 회피 수단으로 바꿔놓았다. CISO는 ‘매니지드’라는 표현이 곧 ‘보안이 보장된다’라는 의미라는 믿음을 버리고, AI 워크로드에 연결된 모든 서비스 정체성을 직접 점검해야 한다. 업체는 보안을 대신해주고 있지 않다는 점은 분명하다”라고 지적했다.
그레이하운드 리서치(Greyhound Research)의 수석 애널리스트 산칫 비르 고지아는 이번 보고서가 “구글 버텍스 AI를 떠받치고 있는 신뢰 모델이 기업 보안 원칙과 근본적으로 어긋나 있음을 보여준다”이라고 평가했다.
고지아는 “이들 플랫폼에서는 AI 기능을 별도 설정 없이 바로 사용할 수 있도록 매니지드 서비스 에이전트에 광범위한 권한을 부여한다. 하지만 이런 편의성은 가시성과 통제력 저하라는 대가를 수반한다. 이런 서비스 계정은 백그라운드에서 작동하며 프로젝트 전반에 걸친 권한을 갖고 있고, 시스템의 동작 방식을 이해하는 사용자라면 누구든 이를 조작할 수 있다”라고 지적했다.
한편 구글은 이번 사안과 관련한 논평 요청에 응답하지 않았다.
이번 취약점의 원인은 버텍스 AI와 연계된 여러 역할에 권한이 할당되는 방식에 있다. XM사이버는 “서비스 에이전트가 핵심이다. 서비스 에이전트는 구글 클라우드가 생성하고 관리하는 특수한 서비스 계정으로, 각 서비스가 사용자의 리소스에 접근하고 내부 처리를 대신 수행할 수 있도록 한다. 이런 매니지드 계정은 서비스가 정상적으로 동작하는 데 필수적이므로 눈에 보이지 않는 상태로 프로젝트 전반에 걸친 광범위한 권한을 자동으로 부여받는 경우가 많다”라고 설명했다.
XM사이버에 따르면, 버텍스 AI에서 가장 낮은 권한 수준인 ‘뷰어(Viewer)’ 역할에 해당하는 최소 권한의 아이덴티티를 제어하는 사용자라도, 특정 조건에서는 시스템을 조작해 서비스 에이전트의 액세스 토큰을 획득하고 해당 프로젝트 내에서 서비스 에이전트가 가진 권한을 그대로 사용할 수 있다고 밝혔다.
고지아는 이 같은 상황이 매우 심각하다며 “낮은 권한의 사용자가 높은 권한을 가진 서비스 아이덴티티를 탈취할 수 있는 상황을 ‘의도한 동작’이라고 설명한다면, 이는 기업의 거버넌스 모델이 해당 업체의 아키텍처에 종속돼 있다는 뜻이다. 대다수 고객이 존재조차 인식하지 못하는 구성 요소에 과도한 권한을 부여하는 구조적 설계 결함”이라고 비판했다.
업체 의존에서 벗어나야
보안 정책 컨설팅 기업 포머거브(FormerGov) 소속 보안 컨설턴트 브라이언 레빈은 이 사안을 우려스럽게 바라봤다. 레빈은 “CISO에게 가장 현명한 선택은 지금 당장 보완 통제를 구축하는 것이다. 업체가 ‘의도된 동작’의 정의를 다시 정리해주길 기다리는 것은 보안 전략이 아니다”라고 지적했다.
데이터 분석 기반 위험 관리 서비스 업체 렉시스넥시스 리스크 솔루션 그룹(LexisNexis Risk Solutions Group)의 CISO 플라비오 빌라누스트레는 “악의적인 내부자가 이런 취약점을 악용해 원래 허용된 범위를 넘어서는 접근 권한을 스스로 부여할 수 있다. 인증 범위를 줄이고 그 사이에 강력한 보안 경계를 설정해 피해 범위를 제한하는 방법 외에는 위험을 완화할 수 있는 수단이 거의 없다”라고 설명했다. 다만 “이런 조치는 비용을 크게 늘리는 부작용을 초래할 수 있어 상업적으로도 현실적인 선택이 아닐 수 있다”라고 덧붙였다.
고지아는 가장 큰 위험은 이러한 취약점이 기업 보안 도구의 감시 범위 밖에 있어 발견되지 않은 채 넘어갈 가능성이 크다는 점이라고 지적하며 “대부분의 기업 보안 도구는 이런 유형의 문제를 찾아내도록 설계돼 있지 않다”라고 말했다.
대다수 기업은 서비스 에이전트의 동작을 모니터링하는 체계를 갖추고 있지 않다. 따라서 이들 아이덴티티가 악용되더라도 공격자처럼 보이지 않고, 플랫폼이 정상적으로 작동하는 것처럼 보인다. 고지아는 “바로 그 점이 위험을 더욱 심각하게 만든다. 근본적인 클라우드 보안 구조를 다시 설계하지 않는 이상 관찰하거나 통제하거나 분리할 수 없는 구성 요소를 신뢰하고 있는 셈”이라고 말했다.
대부분의 기업은 사용자 활동은 기록하지만, 플랫폼 내부에서 무슨 일이 벌어지는지는 들여다보지 않는다. 고지아는 “이제는 그 인식을 바꿔야 한다. 서비스 에이전트를 특권을 가진 직원처럼 취급하고 감시하고, 예상치 못한 빅쿼리 쿼리 실행이나 스토리지 접근, 세션 동작을 기준으로 경고 체계를 구축해야 한다. 공격자는 서비스 에이전트로 위장해 활동하게 되므로, 탐지는 바로 그 지점에 초점을 맞춰야 한다”라고 조언했다.
이는 곧 제대로 이해하지 못하는 아이덴티티 아래에서 코드가 실행되고, 어떤 작업이 이뤄지는지도 모니터링하지 않은 채, 안전하다고 가정한 환경을 그대로 신뢰하고 있다는 의미다. 고지아는 이것이 “교과서적으로 말하는 보이지 않는 위험”에 해당한다고 설명했다. AI 환경에서는 AI 워크로드가 여러 서비스를 가로지르고 민감한 데이터 세트를 상호 참조하며, 로그부터 API까지 전반을 아우르는 오케스트레이션을 필요로 하기 때문에 이러한 위험이 더 증폭된다.
이번 발견은 구글 버텍스 AI에서 권한 상승 취약점이 발견된 첫 번째 사례는 아니다. 앞서 2024년 11월에는 팔로알토 네트웍스가 구글 버텍스 AI 환경에서 유사한 문제가 확인됐다는 보고서를 발표했으며, 당시 구글은 해당 취약점을 이미 수정했다고 팔로알토 네트웍스 측에 설명한 것으로 전해졌다.
dl-itworldkorea@foundryco.com
Evan Schuman editor@itworld.co.kr
저작권자 Foundry & ITWorld, 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.
