- 서비스 계정 권한 범위 통해 데이터 접근 가능성 확인

 

팔로알토 네트웍스가 구글 클라우드 Vertex AI 에이전트 환경에서 서비스 계정 권한 구조를 악용할 수 있는 보안 리스크를 공개했다. AI 에이전트가 내부 인증 정보를 활용해 추가 권한을 획득할 수 있는 가능성이 확인되면서 멀티에이전트 기반 AI 운영 환경의 보안 설계 중요성이 부각되고 있다.

 

AI 에이전트 권한 구조에서 발생한 보안 리스크

Unit 42 연구진은 Vertex AI 에이전트 엔진이 기본적으로 사용하는 서비스 계정(P4SA)이 광범위한 접근 권한을 갖고 있어 특정 조건에서 권한 확장이 가능하다는 점을 확인했다. 공격자는 정상적인 AI 에이전트 형태로 모델을 배포한 뒤 메타데이터 서비스 호출을 통해 인증 정보를 획득하고 추가 클라우드 리소스 접근을 시도할 수 있다.

연구진은 이러한 공격 구조를 ‘더블 에이전트’ 개념으로 설명했다. 외부에서는 정상적인 AI 기능을 수행하지만 내부적으로는 권한을 활용해 데이터 접근을 시도할 수 있다는 뜻이다.

 

메타데이터 서비스 통한 인증 정보 확보

연구에 따르면 공격자는 AI 에이전트 실행 환경에서 메타데이터 서비스 접근을 시도하고 해당 환경에 연결된 서비스 계정 토큰을 확보할 수 있다. 이후 해당 인증 정보를 활용해 클라우드 스토리지, 아티펙트 레지스트리(Artifact Registry) 등 일부 클라우드 리소스 접근 가능성을 확인했다. 이 과정은 기존 애플리케이션 취약점이 아닌 IAM 구성 방식과 에이전트 실행 구조가 결합된 영역에서 발생한 사례라는 점에서 의미가 있다. 특히 에이전트가 실행 코드이면서 동시에 인증 주체 역할을 수행한다는 점이 새로운 공격 가능 지점으로 분석됐다.

 

멀티에이전트 환경 확산에 따른 새로운 공격 표면

멀티에이전트 기반 AI 아키텍처는 다양한 외부 API와 내부 시스템을 동시에 호출하는 구조로 확장되는 추세다. 에이전트가 데이터 접근, 워크플로 실행, 외부 서비스 호출을 동시에 수행하면서 권한 범위 관리 중요성이 높아지고 있다. 연구진은 권한 최소화 원칙(PoLP)을 적용하지 않을 경우 에이전트 기반 자동화 환경에서 내부 이동 공격(lateral movement) 위험이 증가할 수 있다고 설명했다. 특히 여러 에이전트 실행 흐름을 연결하는 오케스트레이션 단계가 늘어날수록 서비스 계정 권한 관리 중요성이 함께 커질 수 있다고 분석했다.

 

구글 클라우드 대응 및 권장 보안 설정

구글 클라우드(Google Cloud)는 해당 연구 공개 이후 서비스 계정 구성 가이드와 권한 관리 권장 사항을 업데이트했다. 사용자 정의 서비스 계정(BYOSA)을 적용해 워크로드별 접근 범위를 제한하는 방식이다. 연구진은 이번 사례가 AI 모델 취약점이 아니라 실행 환경의 권한 설정 방식에서 발생했다고 설명하고 AI 오케스트레이션 기반 운영이 확대되면서 IAM 정책 설정이 주요 관리 영역으로 포함될 수 있다고 밝혔다.

 

#팔로알토#VertexAI #AI보안 #멀티에이전트 #IAM #CloudSecurity #PaloAltoNetworks #Unit42