피드로 돌아가기
Google users fight for refunds as unauthorized API usage bills soar
The RegisterThe Register
Security

API Key 공유 범위 확장과 자동 Quota 상향으로 인한 비용 폭증 사례 분석

Google users fight for refunds as unauthorized API usage bills soar

2026년 5월 13일9intermediate

AI 요약

Context

Google Maps API Key를 Client-side에 노출하는 기존 가이드를 준수한 구조에서 보안 취약점 발생. 동일 Key가 Gemini 모델 등 고비용 API까지 접근 가능한 통합 권한 구조로 변경되며 비정상적 호출에 무방비한 설계 한계 노출.

Technical Solution

  • API Key의 권한 범위를 특정 서비스로 제한하는 API Client Restrictions 도입
  • HTTP Referrer 및 IP Address 기반의 호출 출처 제한 설정을 통한 Key 탈취 시 무효화
  • 서비스별 독립적인 Key 생성 체계 구축으로 단일 Key의 권한 남용 방지
  • Client-facing Key와 Server-side Key의 완전 분리 아키텍처 적용
  • 자동 Tier 상향 로직으로 인한 비용 폭증 방지를 위한 명시적 Spending Cap 검토
  • Gemini 및 Maps API 간의 Key 공유 불가능하도록 강제하는 정책적 격리 적용

실천 포인트

1. public repository에 API Key가 포함되었는지 정기적인 Secret Scanning 수행

2. API Key 생성 시 반드시 서비스 제한(API Restrictions) 및 애플리케이션 제한(Client Restrictions) 설정

3. 클라이언트 사이드 노출 Key는 읽기 전용 혹은 저비용 서비스로만 권한 제한

4. Cloud Billing 알림 설정 및 자동 Quota 상향 정책의 트리거 조건 확인

태그

#Credential Leakage#API Key Management#Least Privilege#Security Governance#Quota Management
원문 읽기