API 응답에 워터마크를 삽입해 데이터 유출 출처를 추적하는 기법

Context

API 서비스에서 고객별 고유 API 키를 부여하는 구조를 활용한다. 고객이 데이터를 스크래핑하거나 재판매해도 출처를 특정할 방법이 없었다.

Technical Solution

• [좌표] → [API 키 기반 결정론적 노이즈를 추가]하여 ±0.0003도 범위 오프셋 삽입
• [가격 범위] → [API 키별로 범위 경계를 ±2달러 shifting]하여 고객별 고유 버킷 생성
• [데이터셋] → [실제 존재하지 않는 Phantom Records 삽입]하여 복사 증거 확보
• [텍스트] → [보이지 않는 Unicode 문자열 삽입]하여 텍스트 기반 추적 가능
• [응답 메타데이터] → [눈에 보이는 경고 메시지 추가]하여 억제 효과 부여

Impact

없음

Key Takeaway

워터마크는 비파괴적(non-destructive)이며 동일한 입력과 API 키에 대해 항상 동일한 결과를 반환하는 결정론적(deterministic) 성질을 가져야 한다.