구글 API 키, Gemini API 활성화로 인해 보안 위험 증가!

구글은 공개 식별(Public Identification)과 민감한 인증(Sensitive Authentication)에 동일한 API 키 형식을 사용한다. 이는 개발자들이 API 키를 클라이언트 측 코드에 안전하게 포함하도록 안내해 온 기존 지침과 충돌한다. 특히, Gemini API 활성화 시 기존 API 키에 예고 없이 권한이 부여되는 소급적 특권 확장(Retroactive Privilege Expansion)이 발생한다. 이는 안전하지 않은 기본 설정(Insecure Defaults)과 잘못된 권한 할당(Incorrect Privilege Assignment)으로 이어진다.

공격자는 웹사이트 소스 코드에서 API 키를 획득한 후, Gemini API의 특정 엔드포인트에 접근하여 개인 데이터에 접근(Access private data)하거나 API 사용 요금을 부과(Run up your bill)할 수 있다. 또한, API 사용 할당량을 소진시켜 서비스 중단(Exhaust your quotas)을 유발할 수도 있다. 공격은 웹 페이지에서 API 키를 획득하는 것만으로 시작되며, 이는 매우 쉽게 이루어질 수 있다.

2025년 11월 Common Crawl 데이터셋을 분석한 결과, 2,863개의 라이브 구글 API 키가 이 취약점에 노출된 것으로 확인되었다. 피해 대상에는 주요 금융 기관, 보안 회사, 글로벌 채용 회사, 그리고 구글 자체도 포함되어 있었다. 이는 API 키가 광범위하게 노출(Widespread Exposure)되어 있으며, 잠재적인 피해 규모가 매우 크다는 것을 시사한다.

구글은 이 문제를 인지하고, 유출된 키를 탐지하고 Gemini API 접근을 제한하는 내부 파이프라인을 구축했다. 또한, 근본적인 문제 해결을 위해 노력하고 있다. 사용자들은 GCP 프로젝트에서 Generative Language API가 활성화되어 있는지 확인하고, API 키 설정을 점검하여 무제한 접근 권한(Unrestricted)이 부여된 키가 있는지 확인해야 한다. TruffleHog와 같은 도구를 사용하여 코드, CI/CD 파이프라인, 웹 자산에서 유출된 API 키를 스캔하는 것도 도움이 된다.