문의하기
블로그

공개된 Google Cloud API Key와 AI API 환경에서 확대되는 공격 표면

공개된 Google Cloud API Key가 Gemini API 접근 권한으로 이어질 수 있다는 연구 결과가 공개되며 AI API 환경에서 공격 표면(Attack Surface) 확대 가능성이 제기되고 있다.

최근 인터넷에 노출된 수천 개의 Google Cloud API Key가 발견되면서 클라우드 및 AI API 환경에서 새로운 보안 위험이 제기되고 있다. 보안 매체 The Hacker News에 따르면 약 2,800개 이상의 Google API Key가 웹사이트의 클라이언트 코드에서 공개된 상태로 발견되었으며, 일부 키는 Gemini API와 같은 AI API 서비스에 접근 가능한 상태인 것으로 확인되었다. API Key는 일반적으로 Google Maps나 Firebase와 같은 서비스 연동을 위해 클라이언트 코드에서 사용되는 경우가 많다. 그러나 특정 환경에서는 이러한 키가 AI API 호출이나 클라우드 리소스 접근으로 이어질 가능성도 존재한다.

이번 사례는 단순한 API Key 관리 문제를 넘어 AI API 환경에서 공격 표면(Attack Surface)이 어떻게 확대될 수 있는지를 보여주는 사례로 볼 수 있다.

Google Cloud API Key 노출 문제

Google Cloud API Key는 Google Cloud 서비스에 대한 요청을 인증하기 위해 사용되는 식별 값이다.

일반적으로 다음과 같은 서비스에서 사용된다.

  • Google Maps API
  • Firebase
  • Cloud 서비스 연동
  • 웹 애플리케이션 클라이언트 코드

많은 웹 서비스에서는 이러한 API Key가 JavaScript 코드에 포함된 상태로 웹 페이지에서 공개되는 경우가 존재한다. 일부 API는 공개 환경에서도 동작하도록 설계되어 있기 때문에 이러한 구조 자체가 항상 취약점으로 간주되지는 않는다. 그러나 문제가 되는 상황은 클라우드 프로젝트에서 추가 API 서비스가 활성화될 때 발생할 수 있다. 예를 들어 프로젝트에서 Gemini API와 같은 AI 서비스가 활성화될 경우, 기존에 생성된 API Key가 별도의 제한 설정 없이 해당 API endpoint에 접근 가능한 상태가 될 수 있다. 이 경우 웹 페이지 코드에 노출된 API Key가 의도하지 않게 AI API 접근 권한을 갖게 되는 상황이 발생할 수 있다.

AI API 확산과 새로운 공격 표면

AI API 환경에서 Google Cloud API Key 노출로 확대되는 보안 위험, AI 생성

과거 API Key 노출은 주로 다음과 같은 문제로 이어졌다.

  • 서비스 남용
  • API 요청 과금 증가
  • 일부 데이터 접근

그러나 AI API가 연결된 환경에서는 위험이 다음과 같이 확대될 수 있다. 예를 들어 공격자는 노출된 API Key를 이용해 다음과 같은 활동을 수행할 가능성이 있다.

  • 대규모 AI API 호출 자동화
  • LLM 기반 데이터 분석 악용
  • AI 기반 자동화 공격 환경 구축
  • 클라우드 리소스 남용

특히 AI API는 자동화된 요청을 통해 대량의 API 호출이 가능하기 때문에 비용 공격이나 서비스 남용으로 이어질 가능성도 존재한다. 실제로 공개된 사례 중에서는 유출된 Google Cloud API Key가 악용되어 약 82,000달러 이상의 클라우드 비용이 발생한 사례도 보고된 바 있다. 이러한 사례는 AI API 서비스 확산이 기존 API Key 노출 위험을 더욱 확대시키고 있음을 보여준다.

노출된 API Key 탐지를 위한 Attack Surface Monitoring

Google Cloud API Key와 같은 인증 정보가 클라이언트 코드나 개발 환경에서 노출되는 사례가 증가하면서, 조직 외부에 공개된 자산을 지속적으로 모니터링하는 것이 중요해지고 있다.

특히 API 기반 서비스와 클라우드 환경에서는 다음과 같은 외부 공격 표면이 존재할 수 있다.

  • 웹 애플리케이션 프론트엔드 코드
  • 공개된 API endpoint
  • 개발 및 테스트 환경
  • 클라우드 기반 서비스 설정

이러한 환경에서 노출된 API Key나 서비스 정보는 공격자가 웹 페이지 소스 코드나 JavaScript 파일을 분석하는 과정에서 쉽게 수집될 수 있다.

Criminal IP ASM에서는 Risks 메뉴를 통해 외부에 노출된 다양한 인증 정보와 보안 위험 요소를 탐지하고 목록 형태로 확인할 수 있다. 예를 들어 웹 애플리케이션 코드에 직접 포함된 Hard-coded API Key와 같은 노출 사례를 식별할 수 있다.

Criminal IP ASM Risks 메뉴에서 탐지된 Hard-coded API Key 노출 사례

또한 API Key는 코드 내부뿐 아니라 GitHub와 같은 공개 저장소에 업로드된 개발 파일에서 발견되는 경우도 존재한다. 이러한 경우에도 API Key가 외부에서 접근 가능한 상태로 노출될 수 있으며, Criminal IP ASM에서는 이러한 공개 저장소 기반 노출 사례 역시 보안 위험 요소로 식별할 수 있다.

Criminal IP ASM Risks 메뉴에서 탐지된 API Key 노출 사례

이처럼 외부에 공개된 API Key는 공격자에게 유용한 접근 정보를 제공할 수 있다. 공격자는 노출된 Key를 이용해 AI API 호출을 자동화하거나 서비스를 남용하고, 클라우드 리소스를 악용하거나 비용 기반 공격을 수행할 가능성이 있다. 이러한 인증 정보 노출은 단순한 API 사용 문제를 넘어 다양한 형태의 보안 위협으로 이어질 수 있다.
따라서 조직은 ASM 기반 보안 관리 체계를 구축하여 API Key 노출, 개발 환경 노출, 데이터 유출과 같은 외부 공격 표면을 지속적으로 모니터링하고 조기에 대응할 필요가 있다.

Tag Search를 통한 잠재적 Data Leak 탐지

API Key와 같은 민감 정보는 코드 노출뿐 아니라 인터넷에 공개된 서비스 환경에서도 발견되는 경우가 있다. 따라서 외부에서 접근 가능한 자산을 탐색하는 과정 역시 중요하다.

Criminal IP에서는 Tag Search 기능을 통해 특정 서비스 환경이나 데이터 노출 가능성이 있는 자산을 탐색할 수 있다. 예를 들어 Criminal IP Asset Search에서 Data Leak 태그 기반 검색을 수행하면 인터넷에 노출된 잠재적인 데이터 유출 환경을 확인할 수 있다.

Search Query: tag: “Data Leak”

Criminal IP Asset Search에서 tag: “Data Leak” 태그를 통해 인터넷에 노출된 잠재적 데이터 유출(Data Leak) 자산을 탐색한 결과 화면

Tag 기반 탐색을 통해 다음과 같은 환경을 식별할 수 있다.

  • 특정 클라우드 서비스와 연결된 서버
  • API endpoint가 노출된 서비스
  • 개발 및 테스트 환경
  • 잠재적인 데이터 노출(Data Leak) 환경

이러한 Tag 기반 탐색 방식은 공격자가 실제로 수행하는 인터넷 정찰(OSINT) 방식과 유사한 구조를 가진다. 또한 Tag Search 기능은 보안 전문가뿐 아니라 일반 사용자도 웹 인터페이스를 통해 활용할 수 있어 인터넷에 노출된 서비스 환경이나 잠재적인 데이터 노출 가능성을 확인하는 데 활용될 수 있다.

Tag: Data Leak가 확인되는 한 자산 예시

검색 결과 중 일부 자산에서는 웹 서버의 서비스 정보와 취약점 정보가 외부에 노출된 상태가 확인되었다.

예를 들어 특정 서버에서는 Apache 웹 서버와 PHP 환경 정보가 HTTP 응답 헤더를 통해 식별되었으며, 다수의 CVE 취약점이 함께 탐지된 상태였다. 이러한 정보는 공격자가 서비스 환경을 파악하고 취약한 소프트웨어 버전을 식별하는 데 활용될 수 있다. 또한 해당 자산은 클라우드 호스팅 환경에서 운영되는 서버로 확인되었으며 Data Leak 태그가 부여된 상태였다. 이러한 환경에서는 설정 오류나 개발·테스트 환경 노출로 인해 민감한 데이터나 서비스 정보가 외부에서 접근 가능한 상태가 될 가능성이 존재한다.

특히 API 기반 서비스나 클라우드 애플리케이션이 함께 운영되는 경우, API endpoint, 인증 키, 또는 서비스 설정 정보와 같은 민감한 데이터가 외부 공격 표면을 통해 노출될 위험도 존재한다.

대응 및 권고 사항

Google Cloud API Key 노출 위험을 줄이기 위해서는 다음과 같은 보안 관리가 필요하다.

  • API Key 사용 범위 제한
  • 클라이언트 코드 및 공개 저장소에 Key 포함 방지
  • 정기적인 Key rotation
  • 불필요한 API 서비스 비활성화
  • 최소 권한 원칙 적용

또한 Criminal IP와 같은 Attack Surface Management 도구를 활용해 인터넷에 노출된 서비스와 개발 환경을 지속적으로 점검하면 API Key 노출이나 데이터 유출 가능성을 사전에 탐지하는 데 도움이 될 수 있다.

FAQ

Q1. Google API Key가 노출되면 어떤 보안 위험이 발생할 수 있나요?

Google API Key는 Google Cloud 서비스에 대한 요청을 인증하는 데 사용됩니다. 만약 API Key가 웹 페이지 소스 코드나 공개 저장소 등에 노출될 경우 공격자가 해당 Key를 이용해 API 요청을 수행할 수 있습니다. 이는 서비스 남용, 데이터 접근, 대량 API 호출에 따른 비용 발생 등의 문제로 이어질 수 있습니다.

Q2. AI API 환경에서 API Key 노출 위험이 더 커지는 이유는 무엇인가요?

AI API는 자동화된 요청을 통해 대량 호출이 가능하기 때문에 노출된 API Key 하나만으로도 상당한 규모의 서비스 남용이 발생할 수 있습니다. 또한 일부 API에서는 데이터 접근 기능이 포함될 수 있어 보안 영향 범위가 확대될 수 있습니다.

Q3. API Key 노출 문제는 어떻게 탐지할 수 있나요?

API Key 노출은 코드 보안 문제뿐 아니라 외부 공격 표면 문제이기도 합니다. ASM(Attack Surface Management) 기반 보안 도구를 활용하면 인터넷에 노출된 서버, 서비스, 개발 환경 등을 탐지해 잠재적인 데이터 노출 환경을 확인할 수 있습니다.

결론

이번 Google Cloud API Key 노출 사례는 AI API 환경에서 공격 표면이 어떻게 확장될 수 있는지를 보여주는 사례라고 볼 수 있다. AI 서비스가 빠르게 확산되는 환경에서 API Key 노출은 단순한 서비스 남용 문제를 넘어 대량 API 호출, 데이터 접근, 클라우드 비용 공격 등 다양한 보안 위협으로 이어질 수 있다. 따라서 조직은 API Key 관리뿐 아니라 외부 공격 표면 관리(ASM) 관점에서 인터넷에 노출된 자산과 서비스 환경을 지속적으로 점검하는 보안 전략을 구축할 필요가 있다.

관련하여 OpenClaw Part II: 1-Click RCE와 현실화되는 AI 에이전트 보안 위협 글을 참고할 수 있다.

Criminal IP (criminalip.io/ko/register) 에 가입하면 즉시 취약 자산 탐지를 시작할 수 있습니다. 또한 아래 버튼을 통해 데모를 요청하고, 엔터프라이즈 환경에서 외부에 노출된 자산을 대상으로 한 Criminal IP의 위협 인텔리전스(TI) 분석을 직접 확인해 보세요.


본 리포트는 AI 기반 사이버 위협 인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었다.
지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 검색할 수 있다.

데이터 출처: Criminal IP (https://www.criminalip.io/ko), TheHackerNews (https://thehackernews.com/2026/02/thousands-of-public-google-cloud-api.html), 데일리시큐 (https://www.dailysecu.com/news/articleView.html?idxno=205480)

관련 글: https://www.criminalip.io/ko/knowledge-hub/blog/33074

공개된 Google Cloud API Key와 AI API 환경에서 확대되는 공격 표면 | CIP Blog | Criminal IP