노출된 Google API 키로 Gemini AI 데이터 무단 접근 가능

Google API 키, Gemini AI 데이터 보안에 새로운 위협 발생

보안 연구진은 과거 저위험으로 간주되던 Google API 키(예: Google Maps 클라이언트 측 코드에 삽입된 키)가如今 Gemini AI 어시스턴트에 대한 인증 수단으로 악용되어 민감한 사용자 데이터를 탈취할 수 있는 심각한 보안 위험을 발견했습니다. 이 문제는 클라우드 기반 AI 서비스의 공격 표면이 진화하고 있음을 보여줍니다.

위협의 주요 세부 사항

• 누가: 과거 비민감 서비스(예: Maps, Translate)에 사용되던 Google API 키가 위협 행위자에 의해 Gemini AI 데이터 접근에 악용되고 있습니다.
• 무엇을: 노출된 API 키를 통해 Gemini AI에 인증하면 채팅 기록, 사용자 프롬프트 등 민감한 상호작용 데이터를 추출할 수 있습니다.
• 언제: 이 문제는 2024년 중반 공개되었으나, 실제 악용 시점은 명확하지 않습니다.
• 왜: 원래 저위험 서비스를 위해 설계된 API 키에 Google이 확장된 권한을 부여하면서 의도치 않게 고위험 AI 기능에 접근이 가능해진 것입니다.

---

기술적 분석

클라이언트 측 코드(예: JavaScript, 모바일 앱)에 삽입된 Google API 키는 오랫동안 Maps와 같은 서비스에서 공개 데이터 접근만 허용해 저위험으로 간주되었습니다. 그러나 Google이 이러한 키를 Gemini AI와 통합하면서 새로운 공격 벡터가 탄생했습니다:

• 인증 우회: 공격자는 노출된 키를 이용해 추가 검증 없이 Gemini AI에 인증할 수 있습니다.
• 데이터 유출: 인증 후 위협 행위자는 사용자가 생성한 콘텐츠(AI 채팅 로그, 커스텀 프롬프트 등)를 탈취할 수 있습니다.
• CVE 미할당: 현재까지 이 문제는 전통적인 취약점이 아닌 설계 수준의 위험으로 간주되어 CVE ID가 부여되지 않았습니다.

---

영향 분석

이 문제의 파급력은 조직과 개발자에게 다음과 같은 영향을 미칩니다:

• 확장된 공격 표면: Gemini AI를 직접 사용하지 않는 애플리케이션이라도 Google API 키가 노출되면 위험에 처할 수 있습니다.
• 데이터 프라이버시 위험: 기업 기밀 또는 민감한 프롬프트 등 AI 상호작용 데이터가 유출될 수 있습니다.
• 규정 준수 문제: AI 데이터에 대한 무단 접근은 GDPR, CCPA 등 데이터 보호 규정을 위반할 수 있습니다.

---

대응 및 모범 사례

보안 팀과 개발자는 노출 위험을 줄이기 위해 즉각적인 조치를 취해야 합니다:

1. API 키 권한 제한

   • Google Cloud의 API 키 제한 기능을 활용해 특정 서비스(예: Maps)에만 접근을 허용합니다.
   • 가능하면 클라이언트 측 코드에 키를 삽입하지 말고 서버 측 인증을 사용합니다.

2. 비정상 사용 모니터링

   • Google Cloud의 API 키 모니터링을 활성화해 이상 활동을 탐지합니다.
   • 예기치 않은 인증 시도에 대한 경고를 설정합니다.

3. 노출된 키 교체

   • 공개된 키는 즉시 재생성하고 모든 종속성을 업데이트합니다.

4. 제로 트러스트 원칙 적용

   • 저위험 서비스라도 API 키를 민감한 자격 증명으로 취급합니다.
   • 가능하면 단기 토큰을 사용해 장기 위험을 줄입니다.

---

결론

이번 사건은 클라우드 제공업체가 기능을 확장함에 따라 API 보안을 지속적으로 재평가해야 한다는 필요성을 강조합니다. 조직은 API 키 사용을 사전에 감사하고 최소 권한 원칙을 적용해 무단 데이터 유출을 방지해야 합니다.

자세한 내용은 BleepingComputer의 원문 보고서를 참조하세요.