Google, Chrome의 AI 에이전트 기능을 위한 보안 아키텍처 세부 정보 공개

Google은 Chrome의 即将 출시되는 에이전트 AI 기능을 위한 자세한 보안 프레임워크를 공개하였으며, 사용자가 Gemini 기반 에이전트가 자율적인 브라우징 작업을 수행할 때 사용자를 보호하기 위한 다중 방어 계층을 도입하였다.

Chrome 보안 엔지니어 Nathan Parker의 발표는 사용자의 대리인으로 웹사이트와 상호작용하는 AI 에이전트의 방식을 결정하는 4개의 핵심 보안 필러를 설명한다. 이 아키텍처는 초기 에이전트 시스템에서 발생한 프롬프트 주입 공격, 비인가된 데이터 액세스, 사기성 거래와 같은 위험을 해결한다.

Google의 접근법은 경쟁사들이 브라우저 기반 AI 에이전트를 출시하는 가운데 등장한다. OpenAI는 ChatGPT Atlas를 10월에 에이전트 모드 기능과 함께 출시하였으며, Perplexity는 7월에 Comet 브라우저를 출시하였다. 보안 프레임워크는 Google이 경쟁사들보다 더 신중하게 움직이고 있음을 시사하며, 경쟁사들의 에이전트 기능은 이미 연구자들이 취약점을 이용할 수 있음을 보여주었다.

에이전트 보안의 4가지 필러

사용자 일치 비평가(User Alignment Critic)는 첫 번째 방어 계층을 형성한다. 이는 제안된 모든 동작을 검토하는 별도의 Gemini 모델이며, 제안된 동작에 대한 메타데이터만을 검토하여 악의적인 입력에 대한 노출을 줄인다. 동작이 위험하거나 사용자의 목적과 관련이 없으면 비평가는 재시도 또는 사용자에게 제어를 반환하도록 명령할 수 있다.

원본 세트(Origin Sets)는 에이전트가 특정 작업 중에 액세스할 수 있는 웹사이트와 페이지 요소를 제한한다. 시스템은 에이전트가 콘텐츠를 소비할 수 있는 읽기 전용 원본과 에이전트가 동작을 수행할 수 있는 읽기-쓰기 가능한 원본을 구분한다. 관련이 없는 웹사이트와 iframe은 완전히 차단되며, 새로운 도메인에 대한 액세스를 승인하기 위해 신뢰할 수 있는 게이팅 함수가 필요하다. 이는 크로스 사이트 데이터 누출을 방지하고 잠재적인 피해를 제한한다.

사용자 감시(User Oversight)는 민감한 작업에 대한 수동 확인을 요구한다. 에이전트가 은행 포털, 의료 데이터 사이트, 또는 Google Password Manager에서 저장된 자격증명을 액세스해야 할 때 Chrome은 작업을 승인하도록 사용자에게 요청한다. 구매 또는 메시지 전송 전에 동일한 절차가 적용되며, 에이전트는 이러한 작업을 자율적으로 완료할 수 없다.

프롬프트 주입 감지(Prompt Injection Detection)는 간접적인 프롬프트 주입 시도를 실시간으로 검색하는 전용 분류기를 사용한다. 이 시스템은 Chrome의 기존 Safe Browsing 인프라와 장치上的 사기 감지 기능과 함께 작동하여 의심스러운 악의적인 콘텐츠를 에이전트가 처리하기 전에 차단한다.

자동 적색 팀 테스트 및 버그 바운티

Google은 보안 아키텍처를 지속적으로 검증하기 위한 자동 적색 팀 테스트 시스템을 개발하였다. 이 시스템은 테스트 사이트와 LLM 기반 공격을 생성하며, 특히 금융 거래 또는 자격증명 도용을 대상으로 하는 공격을 우선적으로 테스트한다.

Chrome의 자동 업데이트 메커니즘은 새로운 취약점이 발견됨에 따라 빠르게 수정을 제공할 것이다. 외부 보안 연구를鼓励하기 위해 Google은 에이전트 브라우징 프레임워크의 약점을 발견한 연구자에게 최대 20,000 달러의 바운티 支払을 발표하였다.

방어 조치는 초기 AI 브라우저 확장 및 채트봇 통합에서 프롬프트 주입 공격이 놀라울 정도로 효과적으로 AI 동작을 조작하는 것을 보여준 교훈에서 비롯되었다. 비평가 모델을 분리하고 브라우저 수준에서 원본 액세스를 제한함으로써 Google은 웹 페이지 자체가 공격 표면이 되는 것을 방지하려 한다.

AI 브라우저 경쟁에 대한 영향

Google의 자세한 보안 공개는 경쟁적인 에이전트 브라우저 시스템에 대한 상대적인 불투명성과 대조된다. 회사는 투명한 안전 장치보다 먼저 기능을 제공하는 것을 선호하는 기업 및 보안 의식 있는 사용자가 있을 것이라고 베팅하는 것으로 보인다.

아키텍처는 또한 Google이 AI 에이전트에 대해 허용하는 자율성의 수준을 시사한다. 쇼핑, 연구, 양식 작성은 감시 하에 진행될 수 있지만, 금융 계좌, 의료 데이터 또는 저장된 자격증명과 관련된 모든 것은 명시적인 인간의 승인이 필요하다. 이는 다른 벤더가 공개적으로 정의하기를 꺼려했던 명확한 선을 긋는다.

Chrome 플랫폼에서 개발하는 개발자를 위해, 원본 세트 제한은 에이전트 기능이 멀티 사이트 워크플로우와 상호작용하는 방식을 신중하게 고려해야 한다. 도메인 간에 자유롭게 탐색하는 에이전트를 기대하는 애플리케이션은 Google의 보안 모델에서 작동하기 위해 아키텍처 변경이 필요할 수 있다.

Google은 아직 Chrome의 에이전트 브라우징 기능에 대한 출시 날짜를 발표하지 않았지만, 자세한 보안 프레임워크는 배포가 임박했음을 시사한다. 회사의 방어 아키텍처를 출시 전에 공개하는 것은 접근 방식에 대한 자신감을 나타내며, 경쟁사들에게 투명성을 따라잡으라는 암시적인 도전이다.