구글이 다양한 서비스에 걸쳐 API 키를 관리하는 방식에서 심각한 보안 허점이 발견됐다. 본래 구글 지도 API 키는 지도를 화면에 표시하기 위해 웹사이트 소스 코드에 직접 삽입되도록 설계되어 공개적으로 노출되는 것이 일반적이었다. 그러나 개발자가 동일한 구글 클라우드 프로젝트 내에서 Gemini API를 활성화하면 권한 상승 문제가 발생한다. 두 서비스가 동일한 인증 자격 증명을 공유하기 때문에, 과거에는 무해했던 공개 식별자가 갑자기 개인 파일에 접근하거나 막대한 비용을 발생시킬 수 있는 위험한 비밀 키로 변하는 것이다.

이 문제의 핵심은 서비스 기능이 확장되는 과정에서 개발자에게 충분한 경고가 제공되지 않았다는 점에 있다. 특히 Gemini가 활성화될 때 기존 키의 권한은 사용자에게 별도의 고지 없이 자동으로 확장되며, 이로 인해 이전에 안전하다고 여겨졌던 공개용 키가 즉각적인 보안 취약점으로 돌변한다. 이러한 아키텍처 설계는 키의 기능적 범위가 시스템 내부에서 변경됨에 따라 과거의 설정이 현대의 보안 리스크가 되는 일종의 함정을 만든 셈이다.

최근 보안 업체인 Truffle Security의 조사는 이 문제의 규모를 명확히 보여준다. 방대한 인터넷 아카이브인 Common Crawl의 2025년 11월 데이터를 분석한 결과, Gemini 엔드포인트에 접근 가능한 활성 API 키가 약 3,000개 가까이 발견됐다. 무엇보다 놀라운 점은 노출된 키 중 일부가 구글 자체 소유였으며, Gemini API가 출시되기 수년 전부터 이미 외부에 노출되어 있었다는 사실이다. 현재 구글은 해당 자격 증명을 회수하고 있으나, 이번 사건은 생성형 AI 시대에 복잡한 서비스 간 인프라 관리의 중요성을 일깨워주고 있다.

구글이 다양한 서비스에 걸쳐 API 키를 관리하는 방식에서 심각한 보안 허점이 발견됐다. 본래 구글 지도 API 키는 지도를 화면에 표시하기 위해 웹사이트 소스 코드에 직접 삽입되도록 설계되어 공개적으로 노출되는 것이 일반적이었다. 그러나 개발자가 동일한 구글 클라우드 프로젝트 내에서 Gemini API를 활성화하면 권한 상승 문제가 발생한다. 두 서비스가 동일한 인증 자격 증명을 공유하기 때문에, 과거에는 무해했던 공개 식별자가 갑자기 개인 파일에 접근하거나 막대한 비용을 발생시킬 수 있는 위험한 비밀 키로 변하는 것이다.

이 문제의 핵심은 서비스 기능이 확장되는 과정에서 개발자에게 충분한 경고가 제공되지 않았다는 점에 있다. 특히 Gemini가 활성화될 때 기존 키의 권한은 사용자에게 별도의 고지 없이 자동으로 확장되며, 이로 인해 이전에 안전하다고 여겨졌던 공개용 키가 즉각적인 보안 취약점으로 돌변한다. 이러한 아키텍처 설계는 키의 기능적 범위가 시스템 내부에서 변경됨에 따라 과거의 설정이 현대의 보안 리스크가 되는 일종의 함정을 만든 셈이다.

최근 보안 업체인 Truffle Security의 조사는 이 문제의 규모를 명확히 보여준다. 방대한 인터넷 아카이브인 Common Crawl의 2025년 11월 데이터를 분석한 결과, Gemini 엔드포인트에 접근 가능한 활성 API 키가 약 3,000개 가까이 발견됐다. 무엇보다 놀라운 점은 노출된 키 중 일부가 구글 자체 소유였으며, Gemini API가 출시되기 수년 전부터 이미 외부에 노출되어 있었다는 사실이다. 현재 구글은 해당 자격 증명을 회수하고 있으나, 이번 사건은 생성형 AI 시대에 복잡한 서비스 간 인프라 관리의 중요성을 일깨워주고 있다.