Gemini API 키 노출 사고, 삭제보다 먼저 봐야 할 5가지 보안 기준

최근 보안 업체 Aikido의 연구와 TechCrunch 보도에 따르면, 노출된 Google API 키를 삭제한 후에도 일정 시간 동안 인증이 유지될 수 있다는 점이 지적되었습니다.

이는 API 키가 유출되었을 때 대시보드에서 단순히 ‘삭제’ 버튼을 누르는 것만으로는 즉각적인 과금 및 남용 방어가 어려울 수 있음을 시사합니다.

안전한 AI API 활용을 위해서는 삭제에 의존하기보다, 사전에 API/앱 제한, 프로젝트 분리, 할당량(Quota) 및 예산 알림 설정 등 다중 보안 체계를 구축하는 것이 필수적입니다.

가장 기본적이면서도 강력한 방어책입니다. API 키를 생성할 때 해당 키가 호출할 수 있는 API의 종류(예: Generative Language API)를 제한해야 합니다. 또한, 특정 IP 주소, 웹사이트 도메인, 또는 모바일 앱에서만 키를 사용할 수 있도록 ‘애플리케이션 제한’을 걸어두면 키가 유출되더라도 외부 환경에서 악용될 확률을 크게 낮출 수 있습니다.

테스트 환경과 실제 서비스(Production) 환경에서 같은 프로젝트와 API 키를 공유하는 것은 위험합니다. 프로젝트를 분리하면 한 곳에서 보안 문제가 발생하더라도 다른 서비스로 피해가 번지는 이른바 ‘폭발 반경(Blast Radius)’을 최소화할 수 있습니다.

API 키를 GitHub와 같은 공개 저장소에 올리거나, 프론트엔드 코드(브라우저 앱)에 직접 적어두는(하드코딩) 행위는 피해야 합니다. 서버 측 환경 변수(.env)를 통해 관리하거나, Secret Manager와 같은 보안 서비스를 활용하는 것이 권장됩니다.

비정상적인 트래픽 폭증이나 과금 폭탄을 막기 위해 API 호출 할당량을 설정하세요. 예산 알림을 설정해 두면 예상치 못한 비용 발생 시 빠르게 인지할 수 있습니다.

키가 유출되었을 때 ‘삭제’만 누르고 안심해서는 안 됩니다. 유출이 의심될 때는 제한, 교체, 삭제, 로그 및 비용 점검 순서로 대응하는 런북을 팀 내에 공유하세요.

노출 발견 즉시 키 ‘삭제’ 버튼만 클릭하고 별도의 후속 조치를 하지 않는 방식입니다.

해당 키의 권한을 즉시 최소한으로 축소합니다.

새로운 API 키를 생성하고 서비스에 적용합니다.

기존 키를 비활성화하고 완전히 삭제합니다.

Google Cloud 로그 및 결제 대시보드 이상 여부를 확인합니다.

누구나 쉽게 AI API를 발급받아 애플리케이션을 만들 수 있는 시대가 되면서, 보안의 최전선이 거대 IT 기업에서 개인 개발자와 소규모 팀으로 이동하고 있습니다. 보안은 이제 개발 후반에 챙기는 옵션이 아니라, 키를 발급받는 첫 순간부터 설계해야 하는 기본값이 되었습니다.

소규모 스타트업이나 개인 개발자의 경우, API 키 유출은 즉각적인 ‘과금 폭탄’으로 이어질 수 있습니다. 특히 키 삭제 후에도 일시적으로 권한이 유지될 수 있다는 점은 초기 대응 속도와 사전 제한 설정의 중요성을 극대화합니다.

이번 보도 이후 Google Cloud 및 Gemini API 팀이 키 회수 지연(Revocation Latency) 시간을 단축하기 위한 인프라 업데이트나 정책 변경을 발표할지 지켜볼 필요가 있습니다.

발급된 모든 API 키에 특정 API 제한이 걸려 있는가?

발급된 모든 API 키에 IP 또는 도메인 제한이 걸려 있는가?

테스트 프로젝트와 서비스 중인 프로젝트가 분리되어 있는가?

GitHub 등 저장소 검색을 통해 하드코딩된 키가 없는지 확인했는가?

예산 알림(Budget Alerts)이 50%, 90%, 100% 구간별로 설정되어 있는가?