공개 API Key 오용 및 Quota 관리 허점으로 인한 수만 달러의 AI 청구 비용 발생

Context

Google Cloud Maps API Key의 공개 설정 권장 관행과 Gemini AI 모델 접근 권한의 통합으로 인한 보안 취약점 발생. 클라이언트 사이드에 노출된 API Key가 AI Inference 요청에 활용되며 비정상적인 트래픽 급증으로 연결된 구조적 한계점 분석.

Technical Solution

• Frontend에 공개된 Maps API Key가 Gemini 모델 접근 권한을 포함하도록 설계된 통합 인증 구조의 허점 파악
• API Key의 Scope 제한 부족으로 인해 Third-party 공격자가 고비용의 NanoBanana 및 Veo 3 모델을 무단 호출하는 경로 형성
• Spending Cap 설정에도 불구하고 시스템이 임의로 Spending Tier를 상향 조정하는 자동 확장 로직의 부재
• API Key 노출 방지를 위한 Backend Proxy 도입 필요성 및 권한 세분화(Least Privilege) 적용 필요성 제기