[AI리포터]

<이미지를 클릭하시면 크게 보실 수 있습니다>

[디지털투데이 AI리포터] 구글이 자사 인공지능(AI) 모델 제미나이(Gemini)에서 발생한 3개의 취약점을 수정했다고 2일(현지시간) 대만매체 아이티홈이 전했다.

보안업체 테너블(Tenable)에 따르면, 공격자가 악성 명령을 신뢰할 수 있는 입력 채널에 삽입하면 제미나이가 이를 외부 서버로 전송해 민감한 정보가 유출될 수 있었다. 구글은 이를 보고받고 취약점 완화 조치를 완료했다.

문제는 제미나이 클라우드 어시스트(Gemini Cloud Assist), 제미나이 검색 개인화(Gemini Search Personalization), 제미나이 브라우징 툴(Gemini Browsing Tool)에서 발생했다.

클라우드 어시스트 취약점은 인공지능(AI) 기반 로그 요약 과정에서 발생했다. 공격자가 악성 코드를 구글클라우드(GCP) 로그 필드에 삽입하면, 사용자가 로그 탐색기에서 제미나이에게 로그 해석을 요청할 때 코드가 실행될 수 있었다. 이로 인해 클릭 가능한 링크가 생성되거나, 클라우드 자산 API 호출을 유도하는 등 보안 위험이 발생했다. 구글은 요약본에서 하이퍼링크를 제거하고 출력 형식을 조정해 이 문제를 해결했다.

검색 개인화 취약점은 사용자의 검색 기록을 기반으로 한 맥락 설정에서 발생했다. 악성 웹사이트가 방문자의 검색 기록에 다수의 키워드를 삽입하면, 제미나이가 이를 맥락으로 인식해 저장된 정보와 위치를 유출할 가능성이 있었다. 구글은 해당 모델을 수정하고, 검색 기록을 통한 간접 프롬프트 공격을 차단하는 방어책을 강화했다.

브라우징 툴 취약점은 민감 정보가 외부로 유출될 가능성을 높였다. 공격자가 제미나이에게 특정 URL을 검색하도록 유도하면서 사용자 데이터를 쿼리 매개변수로 삽입하면, 민감 정보가 공격자 서버로 전송될 수 있었다. 구글은 이러한 외부 요청을 차단하는 조치를 완료했다.

<저작권자 Copyright ⓒ 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지>