점차 많은 브라우저들이 티켓 예약이나 다양한 품목 쇼핑처럼 사용자를 대신해 행동을 수행하는 에이전트 기능(agentic features)을 실험하고 있습니다. 그러나 이러한 에이전트 기능은 데이터 또는 금전적 손실로 이어질 수 있는 보안 위험성도 동반합니다.
Google은 Observer 모델과 사용자 동의(consent)를 활용하여 Chrome의 사용자 보안을 보장하는 접근 방식을 상세히 설명했습니다. 회사는 지난 9월 Chrome에 에이전트 기능을 사전 공개했으며, 이 기능들은 향후 몇 달에 걸쳐 순차적으로 배포될 예정이라고 밝혔습니다.
Google은 에이전트 활동을 통제하기 위해 여러 모델의 도움을 받고 있다고 언급했습니다. 특히 Google은 특정 작업을 위해 플래너(planner) 모델이 수립한 작업 항목들을 면밀히 검증하는 ‘User Alignment Critic’을 Gemini를 활용하여 구축했다고 밝혔습니다. 이 비평가 모델(Critic model)이 계획된 작업들이 사용자의 최종 목표와 부합하지 않는다고 판단하면, 플래너 모델에게 전략을 재고하도록 요청합니다. Google은 크리틱 모델이 제안된 작업의 메타데이터만 검토할 뿐, 실제 웹 콘텐츠에 직접 접근하지는 않는다고 덧붙였습니다.
나아가, 에이전트가 금지되거나 신뢰할 수 없는 사이트에 접근하는 것을 막기 위해 Google은 'Agent Origin Sets'를 사용하고 있습니다. 이는 모델이 읽기 전용 오리진(read-only origins)과 읽기/쓰기 가능 오리진(read-writeable origins)에만 접근하도록 제한하는 방식입니다. 읽기 전용 오리진이란 Gemini가 콘텐츠를 소비하도록 허용된 데이터를 의미합니다. 예를 들어, 쇼핑 사이트에서 상품 목록 정보는 해당 작업과 관련되지만, 배너 광고는 그렇지 않습니다. 유사하게 Google은 에이전트가 페이지 내 특정 iframe에만 클릭하거나 텍스트를 입력하도록 제한했습니다.
회사는 블로그 게시물을 통해 다음과 같이 설명했습니다. "이러한 구분을 통해 에이전트가 이용할 수 있는 데이터는 제한된 오리진에서만 얻을 수 있으며, 이 데이터는 쓰기 가능 오리진으로만 전달될 수 있습니다. 이는 크로스 오리진 데이터 유출의 위협 벡터를 제한합니다. 또한, 읽기 가능한 범위 밖에 있는 데이터를 모델에 아예 전송하지 않는 방식 등으로 브라우저가 자체적인 분리(separation)를 강제할 수 있게 합니다."
Google은 또 다른 Observer 모델을 통해 URL을 조사함으로써 페이지 탐색 과정에서도 점검을 수행하고 있다고 전했습니다. 이를 통해 유해성이 의심되는 모델 생성 URL로의 탐색을 방지할 수 있다고 회사 측은 밝혔습니다.
이 검색 거대 기업은 민감한 작업에 대해서도 사용자 개입을 거치도록 조치를 취하고 있습니다. 예를 들어, 에이전트가 은행 정보나 의료 데이터와 같은 민감한 사이트로 이동하려 할 때는 먼저 사용자에게 요청합니다. 로그인이 필요한 사이트의 경우, Chrome이 비밀번호 관리자를 사용하도록 사용자에게 명시적인 승인을 요청합니다. Google에 따르면, 에이전트 모델은 비밀번호 데이터에 노출되지 않습니다. 또한, 구매나 메시지 전송과 같은 중요한 작업을 수행하기 전에도 사용자에게 반드시 확인을 거치게 할 것이라고 덧붙였습니다.
Google은 이와 더불어, 원치 않는 동작을 방지하기 위한 프롬프트 주입 분류기(prompt-injection classifier)를 도입했으며, 연구자들이 만들어낸 공격에 대해서도 에이전트 기능을 테스트하고 있다고 공개했습니다.
AI 브라우저 개발사들 역시 보안에 높은 관심을 보이고 있습니다. 실제로 이달 초 Perplexity는 에이전트를 대상으로 하는 프롬프트 주입 공격을 방지하기 위해 새로운 오픈 소스 콘텐츠 탐지 모델을 공개했습니다.
[출처:] https://techcrunch.com/2025/12/08/google-details-security-measures-for-chromes-agentic-features