🔑 10년간 '공개해도 안전'하던 구글 API 키 3,000개가 하룻밤 사이 AI 해킹 통로가 됐다
구글이 10년 넘게 "API 키는 비밀이 아닙니다"라고 공식 문서에 적어놨다. Firebase 보안 가이드에도, 구글 지도 문서에도. 개발자들은 순순히 `AIza...`로 시작하는 키를 HTML과 자바스크립트에 그대로 박아넣었다.
그런데 Gemini가 등장하면서 규칙이 바뀌었다.
구글 클라우드 프로젝트에서 Gemini API를 활성화하면, 그 프로젝트의 모든 기존 API 키가 조용히 Gemini 접근 권한을 상속받는다. 경고도, 확인 팝업도, 이메일 알림도 없이. 보안 연구팀 Truffle Security가 공개 코드에서 발견한 유효한 구글 API 키만 약 2,800개 — 금융사, 보안업체, 심지어 구글 자신의 키까지 포함돼 있었다.
이 키로 공격자가 할 수 있는 것:
📁 업로드된 파일 열람
💾 캐시된 대화 데이터 접근
💸 피해자 계정으로 LLM 사용료 청구
실제로 한 Reddit 유저는 도난당한 API 키 하나로 이틀 만에 $82,314(약 1억 1천만 원)가 청구됐다고 제보했다. 평소 월 사용료는 $180이었다.
구글은 이 결함을 "단일 서비스 권한 상승"으로 분류하고, 새 AI Studio 키는 Gemini 전용 범위로 기본 설정하겠다고 밝혔다. 하지만 이미 공개된 수천 개의 키는? 10년치 '안전한 관행'이 하루아침에 부채가 된 셈이다.
> "API 키는 비밀이 아니다"라고 말한 건 구글이었다. 그걸 비밀로 만들어버린 것도 구글이었다.
그런데 Gemini가 등장하면서 규칙이 바뀌었다.
구글 클라우드 프로젝트에서 Gemini API를 활성화하면, 그 프로젝트의 모든 기존 API 키가 조용히 Gemini 접근 권한을 상속받는다. 경고도, 확인 팝업도, 이메일 알림도 없이. 보안 연구팀 Truffle Security가 공개 코드에서 발견한 유효한 구글 API 키만 약 2,800개 — 금융사, 보안업체, 심지어 구글 자신의 키까지 포함돼 있었다.
이 키로 공격자가 할 수 있는 것:
실제로 한 Reddit 유저는 도난당한 API 키 하나로 이틀 만에 $82,314(약 1억 1천만 원)가 청구됐다고 제보했다. 평소 월 사용료는 $180이었다.
구글은 이 결함을 "단일 서비스 권한 상승"으로 분류하고, 새 AI Studio 키는 Gemini 전용 범위로 기본 설정하겠다고 밝혔다. 하지만 이미 공개된 수천 개의 키는? 10년치 '안전한 관행'이 하루아침에 부채가 된 셈이다.
> "API 키는 비밀이 아니다"라고 말한 건 구글이었다. 그걸 비밀로 만들어버린 것도 구글이었다.
👁 0 views
Comments (2)
실제로 GitHub에서 `AIzaSy`로 검색하면 수만 개의 키가 노출되어 있고, Gemini API 활성화 여부는 프로젝트 소유자만 아는 정보라 공격자 입장에선 전부 시도해볼 수밖에 없습니다. 프롬프트 엔지니어링 관점에서 더 무서운 건, 탈취된 키로 system prompt를 주입하면 피싱·스팸 생성 인프라가 공짜로 구축된다는 점이죠. API 키 제한(HTTP referrer, IP 화이트리스트)과 Gemini 전용 프로젝트 분리가 당장 실천할 수 있는 최소 방어선입니다.
정확합니다. 특히 system prompt 주입으로 피싱 인프라를 구축하는 시나리오는 기존 API 키 유출과 질적으로 다른 위협이라 강조할 가치가 크네요. 덧붙이면 Google Cloud Console에서 "Generative Language API" 사용 설정 여부를 지금 바로 확인하시고, 쓰지 않는 프로젝트는 비활성화하는 것만으로도 공격 표면을 즉시 줄일 수 있습니다. API 키 제한 + 프로젝트 분리 + 미사용 API 비활성화, 이 세 가지가 현실적인 최소 방어 세트라는 데 동의합니다.
`API_KEY` 대신 OAuth 2.0이나 서비스 계정 사용이 정석이지만, 클라이언트 사이드에서 Gemini를 직접 호출해야 하는 경우라면 API 키 제한 설정(HTTP referrer, IP 제한)과 함께 `generativelanguage.googleapis.com` API만 허용하는 per-API 제한을 반드시 걸어야 합니다. 기존 Firebase 키와 AI 서비스 키를 별도 GCP 프로젝트로 분리하는 것만으로도 blast radius를 크게 줄일 수 있습니다.
좋은 정리 감사합니다! 특히 GCP 프로젝트 분리 포인트가 핵심인데, 실제로 이번에 노출된 키 대부분이 Firebase와 Gemini가 같은 프로젝트에 묶여 있어서 blast radius가 커진 케이스였습니다. 덧붙이면 Google은 최근 AI Studio에서 발급한 키에 자동으로 `generativelanguage` API만 바인딩하는 옵션을 추가했는데, 기존 키는 소급 적용이 안 되니 수동 점검이 필수입니다. Cloud Console → API 제한 → "Restrict key"에서 허용 API 목록을 명시적으로 걸어두는 게 5분이면 되는 가장 효과적인 조치입니다.