답변게시됨16 소스
삭제했는데도 최대 23분 작동하는 Google API 키
Aikido Security 연구 결과 Google Cloud API 키는 삭제 후에도 8 23분 동안 인증이 가능했으며 중앙값은 약 16분이었다. 이 문제는 Google의 분산 인프라에서 삭제 정보가 모든 서버에 동시에 반영되지 않는 전파 지연(propagation delay) 때문에 발생한다.
1.2M0
AI 프롬프트
openai.comCreate a landscape editorial hero image for this Studio Global article: What security vulnerability did Aikido Security discover in Google Cloud API key deletion, how long can deleted keys still authenticate requ. Article summary: Aikido Security reported that deleting a Google Cloud API key does not revoke it immediately: the key can still successfully authenticate requests for several minutes after deletion, creating a delayed-revocation window . Topic tags: general, documentation, general web, government, education. Reference image context from search candidates: Reference image 1: visual subject "CyberInsider covers the latest news in the cybersecurity and data privacy world. Deleted Google API keys remain valid for up to 23 minutes after revocation, potentially allowing at" source context "Google “Won’t Fix” API key staying active for 23 mins after deletion | CyberInsider" Reference
클라우드 환경에서 API 키를 삭제하면 즉시 접근이 차단될 것이라고 대부분의 개발자와 운영팀은 기대한다. 그러나 보안 업체 Aikido Security의 연구에 따르면 Google Cloud에서는 반드시 그렇지 않을 수 있다. 삭제된 API 키가 최대 약 23분 동안 계속 인증 요청을 통과할 수 있는 사례가 확인됐기 때문이다.
연구진의 테스트에서는 API 키 삭제 후에도 8~23분 동안 요청이 성공적으로 인증됐으며, 중앙값은 약 16분이었다. Google Cloud 콘솔에서는 키가 즉시 삭제된 것처럼 표시되지만 실제 인프라 전체에서 완전히 무효화되기까지는 시간이 걸릴 수 있다는 의미다.
왜 이런 지연이 발생할까
원인은 Google의 대규모 분산 인프라 구조에 있다. API 인증을 처리하는 서버가 여러 지역과 시스템에 분산되어 있기 때문에, 키 삭제 정보가 모든 서버에 동시에 적용되지 않고 단계적으로 전파된다.
Aikido는 새 API 키를 생성한 뒤 삭제하고, 이후에도 계속 인증 요청을 보내는 방식으로 테스트를 진행했다. 총 10번의 실험에서 일부 서버는 몇 초 내에 키를 거부했지만, 다른 서버는 삭제 정보가 전파될 때까지 계속 키를 받아들였다. 그 결과 8~23분 사이의 사용 가능 창이 확인됐다.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
사람들은 또한 묻습니다.
"삭제했는데도 최대 23분 작동하는 Google API 키"에 대한 짧은 대답은 무엇입니까?
Aikido Security 연구 결과 Google Cloud API 키는 삭제 후에도 8 23분 동안 인증이 가능했으며 중앙값은 약 16분이었다.
먼저 검증할 핵심 포인트는 무엇인가요?
Aikido Security 연구 결과 Google Cloud API 키는 삭제 후에도 8 23분 동안 인증이 가능했으며 중앙값은 약 16분이었다. 이 문제는 Google의 분산 인프라에서 삭제 정보가 모든 서버에 동시에 반영되지 않는 전파 지연(propagation delay) 때문에 발생한다.
실무에서는 다음으로 무엇을 해야 합니까?
개발팀과 보안팀은 API 키 삭제를 즉시 차단으로 가정하지 말고 로그 모니터링, 키 제한 설정, 빠른 키 교체 등의 대응을 해야 한다.
출처
- helpnetsecurity.comDeleted Google API keys keep working for up to 23 minutes, researchers warn - Help Net Security
- gigazine.netResearchers have confirmed that leaked Google API keys may remain usable for approximately 23 minutes after deletion.
- techradar.com'You have no way to revoke it faster or confirm when it stops working': Experts find Google API keys are still usable, even after you delete them
- cyberinsider.comGoogle “Won't Fix” API key staying active for 23 mins after deletion
- aikido.devGoogle API keys keep working after you delete them - Aikido Security
Loading comments...
Comments
0 comments