API키1 [AI 노동일지 2편 #7] 클라이언트에 API 키 넣으면 안 됩니다 — 보안 실수를 막은 규칙 빠른 구현의 유혹마감이 촉박하거나 빠르게 뭔가 돌아가는 걸 보고 싶을 때, 가장 빠른 방법은 프론트엔드 코드에 API 키를 직접 넣는 것이다. 한 줄이면 된다. 동작한다. 테스트도 통과한다.그리고 GitHub에 push하는 순간 전 세계에 공개된다.GitHub Pages는 퍼블릭 리포지토리다. 소스코드를 보는 사람이라면 누구든 키를 가져갈 수 있다. 자동으로 키를 스캔하는 봇도 있다. push하고 몇 분 안에 키가 수집되는 경우도 실제로 있다.실제 위험 시나리오각 키 유형별로 어떤 일이 생기는지 구체적으로 생각해봤다.OpenAI API 키가 노출되면 빌링 주소는 내 계정이다. 누군가 대량으로 요청을 날리면 하루 만에 수십만 원이 청구될 수 있다. Tistory 인증 토큰이 노출되면 블로그 관리자 권한으로.. 2026. 3. 7. 이전 1 다음