무슨 일이 있었나
2026년 6월 27일, Google Cloud는 에이전트식 AI 워크로드를 목표로 하는 3가지 새로운 VPC Service Controls 기능을 발표했습니다: (1) 에이전트 ID(SPIFFE 기반, 암호화 증명)는 이제 수신/송신 경계 규칙에 일급 IAM 주체로 직접 추가될 수 있습니다 — 개별 또는 플릿 전체, 손상 시 즉시 취소 가능; (2) MCP 속성(mcp.toolName, mcp.method, mcp.tool.isReadOnly)을 기반으로 한 조건부 경계 규칙으로 도구 수준 정책 집행 활성화(예: 읽기는 허용하되 이메일 발송 차단); (3) Gemini Enterprise Agent Platform과의 네이티브 통합으로 Agent Platform이 VPC-SC 경계 내에 있을 때 모든 공개 인터넷 접근을 자동으로 차단합니다.
왜 중요한가
VPC Service Controls는 Google Cloud의 확립된 데이터 반출 방지 레이어로 수백 개의 엔터프라이즈에서 사용됩니다. AI 에이전트를 네트워크 경계 주체로 취급하도록 확장하는 것 — MCP 수준 도구 세분화와 함께 — 새로운 제품을 요구하지 않고 프롬프트 주입 반출(OWASP ASI01) 및 과도하게 권한 부여된 에이전트 위험을 직접 완화하는 중요한 아키텍처 전환입니다.
적용 범위
에이전트식 AI 워크로드를 배포하는 Google Cloud 플랫폼 및 보안 팀들은 지금 에이전트 ID 경계 규칙을 구현해야 합니다. Cloud Storage, BigQuery, 또는 Workspace 데이터에 접근하는 워크로드가 있는 경우 특히 긴급합니다.