간단한 코딩 실수가 수천 개 웹사이트에서 API 키를 노출하고 있음

source https://www.digitaltrends.com/computing/a-simple-coding-mistake-is-exposing-api-keys-across-thousands-of-websites/

1천만 개 웹페이지를 분석한 결과, 연구자들은 아마존 웹 서비스, 스트라이프, 오픈AI와 같은 주요 서비스에 연결된 민감한 API 자격 증명이 수천 개 웹사이트에서 우연히 노출되고 있음을 발견함.

이는 심각한 문제로, API는 우리가 사용하는 앱의 근본적인 역할을 함. API는 웹사이트가 결제, 클라우드 저장소, AI 도구와 같은 서비스에 연결되도록 하지만, 보안을 유지하기 위해 디지털 키에 의존함. 노출되면 API 키를 통해 악의적인 의도로 해당 서비스와 상호작용할 수 있음.

수천 개 사이트에서 노출된 민감한 API 키

연구자들은 14개 주요 서비스 제공업체와 관련된 1,748개의 고유 API 자격 증명을 거의 10,000개의 웹페이지에서 확인함. 이러한 유출은 잘 알려지지 않은 사이트에 국한되지 않고, 일부는 글로벌 은행과 주요 소프트웨어 개발자가 운영하는 플랫폼에서도 발견됨.

이 유출의 약 84%는 브라우저를 통해 쉽게 접근할 수 있는 JavaScript 파일에서 발생함. 이는 자격 증명이 공개적으로 보이는 코드에 효과적으로 존재하고 있음을 의미함.

더욱 우려스러운 점은 이러한 키가 노출된 기간임. 일부는 최대 12개월 동안 보였고, 몇몇 드문 경우는 수년 동안 공개 상태로 남아 있었음.

그렇다면 이러한 유출의 원인은 무엇인가?

연구는 문제의 원인이 아마존, 스트라이프, 오픈AI와 같은 서비스 제공업체에 있지 않음을 분명히 함. 대신, 문제는 개발자가 API 키를 처리하는 방식에서 발생함.

많은 경우, 개발자는 웹사이트의 프론트엔드 코드에 개인 API 자격 증명을 우연히 포함시켜, 이를 찾는 사람에게 노출되게 함.

API 키 노출 방지 방법

미래의 유출을 방지하기 위해 연구자들은 몇 가지 실용적인 조치를 제안함. 개발자는 공개된 키를 잡기 위해 웹사이트의 라이브 버전을 스캔해야 함, 단순히 개인 코드를 확인하는 것만으로는 부족함.

vibecoding의 증가로 인해, 기업은 배포 중 민감한 데이터를 처리하는 자동화된 웹사이트 구축 도구에 대한 stricter 규칙이 필요함. 이는 Lovable과 같은 플랫폼이 사용자 보호를 위해 안전한 브라우징 도구를 추가하기 시작한 이유이기도 함.

한편, 서비스 제공업체는 노출된 키가 온라인에 나타나는 즉시 경고할 수 있는 탐지 시스템을 개선해야 함. 책임 있는 공개가 일부 유출을 줄이는 데 도움이 되었지만, 문제의 규모는 여전히 상당함.

이것도 꾸준히 나오는 얘기 중에 하나죵…