피드로 돌아가기
구글을 AI로 해킹해서 7억원 벌기
GeekNewsGeekNews
Security

구글을 AI로 해킹해서 7억원 벌기

AI 기반 API Fuzzing 자동화로 3개월 만에 50만 달러 바운티 획득

neo2026년 6월 23일13advanced

Context

Google의 방대한 API 표면적은 수동 보안 분석으로 커버하기 불가능한 규모임. 특히 내부용 API와 숨겨진 엔드포인트가 혼재하여 인증 및 접근 제어(Access Control) 누락 지점을 전수 조사하는 데 한계가 존재함.

Technical Solution

  • Discovery Document와 GraphQL SDL을 파싱하여 AI가 이해 가능한 API 명세서 자동 확보
  • 61,200개 APK 및 트래픽 캡처를 통한 유효 API Key 수집 및 Cloud Marketplace API 기반의 Google 소유권 검증 로직 구현
  • FPA v2 헤더 생성 메커니즘을 복원하여 API Key와 결합한 인증 우회 및 권한 획득 체계 구축
  • AI의 오탐을 줄이기 위해 Operation ID 기반의 원클릭 재현 시스템을 구축하여 검증 비용 최소화
  • AI가 모든 엔드포인트를 최소 1회 테스트하도록 강제하는 Ralph Wiggum loop 기반의 완전 탐색 워크플로우 설계
  • 인프라 특이점을 추상화하고 페이로드 작성에만 집중하도록 AI MCP 도구와 백엔드 처리 로직을 분리한 아키텍처 채택

1. API 명세서(Swagger, Proto)가 외부로 노출되어 내부 엔드포인트 구조가 유출되고 있지 않은지 검토

2. Staging/Sandbox 환경이 Production 데이터베이스를 참조하여 접근 제어 없이 실제 데이터가 노출되는지 확인

3. API Gateway 수준의 인증 외에 개별 엔드포인트 내부에서 비즈니스 로직 기반의 권한 검사(IAM check)가 누락되었는지 전수 조사

4. 내부용 전용 API(corp.google.com 등)가 외부 망에서 도달 가능한지 네트워크 격리 상태 점검

원문 읽기