Firebase Browser Key 노출로 인한 13시간 만의 €54,000 비용 스파이크 발생

€54k spike in 13h from unrestricted Firebase browser key accessing Gemini APIs

2026년 4월 16일1분intermediate

AI 요약

Context

Firebase Authentication만 사용하던 기존 프로젝트에 Firebase AI Logic을 추가하여 Gemini API를 연동한 구조. Client-side에서 API Key를 직접 노출하는 Unrestricted Browser Key 설정을 유지한 아키텍처적 취약점 존재.

Technical Solution

Client-side API 호출 구조에서 발생한 비정상적 자동화 트래픽 유입 확인
API Key 제한 설정 부재로 인한 외부 무단 접근 및 Gemini API 호출 폭증
비용 이상 징후 탐지 후 API 비활성화 및 Credentials Rotation 수행
서버 사이드 호출 구조로의 전환을 통한 API Key 은닉 및 접근 제어 필요성 식별
App Check 도입을 통한 정당한 클라이언트 요청 검증 체계 구축 검토
Quota 설정을 통한 API 호출 상한선 지정으로 비용 리스크 제어

실천 포인트

1. Browser Key 사용 시 API 제한(API Restrictions) 설정 여부 확인

2. Client-side API 호출을 Server-side로 이전하여 Key 은닉 적용

3. Firebase App Check를 통한 유효 클라이언트 인증 강제

4. 비용 알람 외에 물리적 호출 한도를 제한하는 Quota 설정 적용

5. Credentials Rotation 주기 설정 및 유출 시 즉각 대응 프로세스 수립

태그

#API Security #Firebase #Client-side Vulnerability #Gemini API #Cost-Management

원문 읽기