단순한 코딩 실수로 인해 수천 개의 웹사이트에 API 키가 노출되는 것입니다.

천만 개의 웹페이지를 분석한 결과, 연구원들은 Amazon Web Services, Stripe 및 OpenAI와 같은 주요 서비스에 연결된 키를 포함하여 민감한 API 자격 증명을 실수로 노출하는 수천 개의 웹사이트를 발견했습니다.

API는 오늘날 우리가 사용하는 앱의 중추 역할을 하기 때문에 이는 심각한 문제입니다. 이를 통해 웹사이트는 결제, 클라우드 스토리지, AI 도구 등의 서비스에 연결할 수 있지만 보안을 유지하기 위해 디지털 키에 의존합니다. API 키가 노출되면 누구나 악의적인 의도로 해당 서비스와 상호 작용할 수 있습니다.

수천 개의 사이트에 노출된 민감한 API 키

TechXplore에 따르면 연구원들은 14개의 주요 서비스 제공업체와 연결된 거의 10,000개의 웹페이지에서 1,748개의 고유한 API 자격 증명을 식별했습니다. 이러한 유출은 알려지지 않은 사이트에만 국한된 것이 아니며 일부는 글로벌 은행 및 주요 소프트웨어 개발자가 운영하는 플랫폼에서 나타났습니다.

이러한 유출 중 약 84%는 브라우저를 통해 쉽게 액세스할 수 있는 JavaScript 파일에서 발생했습니다. 이는 자격 증명이 공개적으로 보이는 코드에 효과적으로 저장되었음을 의미합니다.

더욱 우려스러운 점은 이러한 키가 얼마나 오랫동안 노출되어 있었는가입니다. 일부는 최대 12개월 동안 표시되었으며, 일부 드물게 자격 증명이 감지되지 않고 몇 년 동안 공개된 것으로 나타났습니다.

그렇다면 이러한 누출의 원인은 무엇입니까?

이 연구는 문제가 Amazon, Stripe 또는 OpenAI와 같은 서비스 제공업체에 있는 것이 아니라는 것을 분명히 보여줍니다. 대신 문제는 개발자가 API 키를 처리하는 방식에서 비롯됩니다.

많은 경우 개발자는 실수로 웹 사이트의 프런트 엔드 코드에 개인 API 자격 증명을 포함하여 어디를 봐야 할지 아는 사람에게 공개합니다.

API 키 노출을 방지하는 방법은 무엇입니까?

향후 누출을 방지하기 위해 연구원들은 몇 가지 실용적인 단계를 제안합니다. 개발자는 노출된 키를 찾으려면 개인 코드뿐만 아니라 웹사이트의 라이브 버전을 검사해야 합니다.

바이브코딩이 증가함에 따라 기업에는 배포 중에 민감한 데이터를 처리하는 자동화된 웹 사이트 구축 도구에 대한 보다 엄격한 규칙이 필요합니다. 이는 Lovable과 같은 플랫폼이 바이브코딩이 제대로 되지 않은 웹사이트로부터 사용자를 보호하기 위해 안전한 탐색 도구를 추가하기 시작한 이유이기도 합니다.

한편, 서비스 제공업체는 노출된 키가 온라인에 나타나는 순간 이를 표시할 수 있도록 탐지 시스템을 개선해야 합니다. 책임 있는 공개가 이러한 유출을 일부 줄이는 데 도움이 되었지만 문제의 규모는 여전히 상당합니다.

최근 보고서에서는 단순히 웹사이트를 방문하는 것만으로도 기기가 심각한 위험에 노출될 수 있음을 보여주었으며, 이는 일상적인 인터넷 사용자에게 웹 보안이 얼마나 취약한지 강조합니다.

관련 기사

댓글 남기기