Google API Key 삭제 후 최대 23분간 지속되는 Revocation Gap 분석

Context

Google Cloud API Key 삭제 요청 후 전 세계 인프라로 전파되는 과정에서 발생하는 일관성 결여 문제. 특정 서버들이 최신 삭제 상태를 즉시 반영하지 못해 발생하는 Revocation Window가 공격자의 악용 경로로 활용됨.

Technical Solution

• 분산 서버 간 상태 전파 지연으로 인한 Eventual Consistency 모델의 한계 노출
• 삭제 요청 후 최대 23분까지 유효한 응답을 반환하는 서버가 잔존하는 구조적 결함
• 요청 라우팅 최적화 및 캐싱 메커니즘으로 인한 지역별 전파 속도의 불균형 발생
• Service Account(약 5초) 및 신규 AQ 포맷 키(약 1분) 대비 구형 API Key의 느린 전파 성능
• 고빈도 요청을 통한 유효 서버 탐색(Server Hunting) 방식의 공격 가능성 확인