오늘 스레드에서 충격적인 포스트를 봤습니다. 구글 AI API 키가 노출되어 한 달 요금으로 6,000만 원이 청구된 사례였습니다.
원인은 단순했습니다. API 키를 코드에 직접 하드코딩했고, 누군가 그 값을 무단으로 가져가 썼다는 것이죠.
참 안타깝습니다. POC 수준의 작은 프로젝트 하나가 평범한 직장인 연봉 한 해치를 순식간에 날려버린 겁니다.
SNS를 보면 바이브 코딩 열풍과 함께 이런 보안 사고가 점점 잦아지고 있습니다. 개발자라면 몸에 배어 있어야 할 기본 습관이 있습니다.
- 키 값은 절대 하드코딩하지 않는다.
- 보안 관련 값은
.env에 모아 관리한다. .env는 절대.gitignore에 포함하면 안 된다.- 더 민감한 값은 서버 머신 환경 변수에 직접 심는다.
이 네 가지만 지켜도 금전적 피해는 충분히 막을 수 있습니다.
한 가지 더. 예전에 벤리스튜디오 블로그에도 썼던 이야기인데, AI 에이전트에게 "보안을 점검해줘" 한 마디만 던져도 사고 확률을 절반으로 줄일 수 있습니다. 도구는 이미 손에 있습니다. 쓰느냐 마느냐의 차이일 뿐입니다.