CHIEF MATE

진화하는 보안 위협에 대응하는 구글의 전략은 제로트러스트 아키텍처를 중심으로 한다. 제로트러스트는 '아무것도 신뢰하지 않는다'는 원칙에 기반한 보안 모델로, 네트워크 내부와 외부의 경계를 두지 않고 모든 접근 요청을 지속적으로 검증한다.

존스톤 총괄은 "2009년부터 제로트러스트를 도입해 직원들이 전 세계 어디서든 가상사설망(VPN) 없이 업무를 수행할 수 있도록 했다. 공격 경로 자체를 차단한 것"이라며 "2017년 물리적 보안키 배포 이후 피싱으로 인한 계정 침해가 단 한 건도 없었다"고 밝혔다.

클라우드 환경에서는 서비스 간 ID 검증과 '공유 책임 모델'을 강조했다. 존스톤 총괄은 "우리는 서비스조차 신뢰하지 않는다. 모든 서비스에 ID를 부여하고 확인 가능한 시스템을 구축했다. 클라우드 환경에서 보안은 기본값이 아니라 설계의 문제"라고 설명했다. 이어 "구글은 인프라와 서비스의 보안을 책임지지만, 클라우드를 사용하는 고객들도 자신의 데이터와 애플리케이션 보안을 위한 조치를 취해야 한다"고 제언했다.

구글의 향후 보안 전략은 AI와 양자암호화에 초점을 맞추고 있다. 먼저 구글은 AI를 사이버 보안의 가속기로 활용하고 있다. 존스톤 총괄은 "매일 2000억 개의 앱 검사와 50억 기기의 악성 URL 차단을 수행하는 데 이는 AI 없이 불가능하다"고 말했다.

AI 모델의 오남용을 방지하고 조직 내에서의 안전한 AI 도입을 돕기 위해 ‘시큐어 AI 프레임워크(SAIF)’를 운영하고 있다. 다양한 에이전트 간의 안전한 연결을 위한 ‘에이전트 투 에이전트(A2A)’ 프로토콜도 도입했다.

양자컴퓨팅 시대를 대비한 양자내성암호(PQC)도 선제적으로 도입 중이다. 존스톤 총괄은 "2023년부터 데이터센터 간 통신에 PQC를 적용했다"며 "기존 암호화와 이중으로 적용해 클라우드 인프라 보안을 강화하고 있다"고 부연했다.

이번 컨퍼런스는 한국인터넷진흥원 주최, 한국정보보호학회 주관으로 'AI를 통한 사이버보안 협업 강화'를 주제로 열렸다. 18일까지 26개 세션에서 총 81개 발표가 진행된다.