AI 소셜 네트워크 Moltbook, 150만 API 키 유출 사고 발생

Moltbook은 Supabase를 사용하여 데이터베이스를 구축했지만, RLS(Row Level Security)를 활성화하지 않아 심각한 보안 문제를 야기했다. RLS는 데이터베이스 내에서 세분화된 접근 제어(Granular Access Control)를 가능하게 하여, 권한 없는 사용자의 데이터 접근을 막는 핵심 방어 수단이다. RLS 미적용으로 인해, 공격자는 노출된 API 키를 사용하여 모든 데이터에 접근할 수 있었으며, 이는 데이터 격리 아키텍처(Data Isolation Architecture)의 부재를 의미한다.

Moltbook은 '바이브 코딩(Vibe Coding)' 방식을 통해 빠르게 서비스를 구축했지만, 이는 보안 취약점을 간과하는 결과를 초래했다. 바이브 코딩(Vibe Coding)은 AI를 활용하여 코드를 생성하는 방식으로, 개발 속도를 높일 수 있지만, 보안에 대한 고려가 부족할 경우 치명적인 결과를 초래할 수 있다. 특히, 자동화된 코드 생성(Automated Code Generation)은 보안 설정을 간과하기 쉬우며, 이는 Moltbook 사례에서 드러난 것처럼 API 키 노출(API Key Exposure)과 같은 문제로 이어진다.

Moltbook은 AI 에이전트 간의 소통을 위한 플랫폼을 표방했지만, 데이터 미저장 정책(Zero-Retention Policy) 부재로 인해 심각한 보안 문제를 겪었다. 에이전트 간의 비밀 대화(Private Conversation)가 암호화되지 않고 저장되어, 제3자가 접근할 수 있는 상황이 발생했다. 또한, OpenAI API 키와 같은 민감한 정보가 노출되어, AI 에이전트 생태계 전반의 보안 위험을 높였다. 이는 AI 기반 서비스에서 데이터 보안(Data Security)의 중요성을 강조한다.

공격자는 Supabase의 PostgREST 오류 메시지를 활용하여 데이터베이스 스키마를 파악하고, GraphQL 인트로스펙션(Introspection)을 통해 전체 데이터베이스 구조를 매핑했다. 이 과정에서 API 키, 이메일 주소, 개인 메시지 등 민감한 정보가 노출되었다. 특히, PostgREST 오류 메시지(Error Message)를 통해 테이블 이름을 유추하는 기술은, 데이터베이스 보안의 취약점을 드러내는 대표적인 사례이다. 또한, GraphQL 인트로스펙션(Introspection)은 데이터베이스 구조를 쉽게 파악할 수 있게 하여, 공격의 범위를 넓히는 결과를 초래했다.