구글(Google) API 키, 젬마이(Gemini)로 인해 보안 위협에 노출

구글(Google)은 젬마이(Gemini) API 활성화 시 기존 API 키에 추가적인 권한(Privileges)을 부여하여, 개발자들에게 예기치 않은 보안 위험을 초래했다. 특히, 웹사이트에 공개적으로 노출된 API 키가 젬마이(Gemini) API에 접근 가능해지면서 데이터 유출(Data Leakage) 및 비용 증가(Cost Increase)의 위험이 발생했다. 이는 구글(Google)이 API 키를 관리하는 방식의 근본적인 문제점을 드러낸다.

구글 클라우드(Google Cloud)에서 API 키를 생성할 때, 기본적으로 모든 API에 접근 가능한 '제한 없음(Unrestricted)' 설정을 제공하는 것은 심각한 문제로 지적된다. 안전하지 않은 기본 설정(Insecure Defaults)은 개발자가 의도하지 않게 젬마이(Gemini) API에 접근할 수 있도록 하여, 잠재적인 공격 표면을 넓힌다. 이는 잘못된 권한 할당(Incorrect Privilege Assignment)으로 이어져 보안 사고의 위험을 높인다.

공격자는 웹사이트 소스 코드에서 API 키를 획득한 후, 젬마이(Gemini) API를 호출하여 개인 데이터(Private Data)에 접근하거나, API 사용 비용을 증가시킬 수 있다. 특히, 젬마이(Gemini) API를 통해 업로드된 파일이나 캐시된 콘텐츠에 접근하여 정보 탈취(Information Theft)를 시도할 수 있다. 또한, API 사용량 할당량을 소진시켜 서비스 중단을 유발할 수도 있다.

구글(Google)은 유출된 API 키를 감지하고, 젬마이(Gemini) API 접근을 제한하는 시스템을 구축하고 있다. 또한, 새로운 API 키 생성 시 젬마이(Gemini) 전용 접근 권한을 기본으로 설정하여 의도하지 않은 접근(Unintended Access)을 방지할 계획이다. 하지만, 기존 API 키에 대한 소급 적용 및 사용자 알림에 대한 구체적인 계획은 아직 발표되지 않았다.