호주의 인공지능 컨설턴트 제시 데이비스(Jesse Davis)는 최근 터무니없는 사건을 겪었습니다.그는 Google Cloud 계정에 US$7(약 RMB 50)의 월예산만 설정했지만, 깨어났을 때 US$18,392(약 RMB 132,400)라는 엄청난 금액의 청구서를 받았습니다.밤새 몇 시간 만에 전체 비용이 발생했습니다.
Davis는 Google AI 개발 플랫폼의 보안 사양을 잘 알고 있다고 주장합니다. 그는 매일 각 프로젝트의 API 키를 구성하고, 독립적인 청구 계정을 분할하고, 2단계 인증 및 클라우드 감사 로그를 활성화합니다.
그러나 Davis는 공격자가 키를 훔친 것이 아니라 그가 몇 달 전에 게시한 클라우드 호스팅 서비스에 대한 공개 링크를 발견했다는 사실을 발견했습니다.공개 링크는 외부로 공유된 적도 없고 검색 엔진에 의해 색인화되지도 않았음에도 불구하고 여전히 해커들에 의해 사용되었으며 60,000건 이상의 요청이 시작되었습니다.
공식 Google 에이전트 프로그램은 컨테이너에 일반 텍스트로 저장된 API 키 환경 변수를 자동으로 읽고 각 액세스 요청에 대한 인증 서명을 완성합니다.
따라서 다음날 아침 일찍 예산 경고가 밀렸을 때 데이비스의 신용카드에서 미화 6,881달러(약 47,000위안)가 인출되었습니다.구글 고객센터와 통화 중 약 US$10,321(약 70,500위안)의 추가 비용이 추가되었습니다.
하지만 구글 클라우드에는 원래 이런 사고를 예방할 수 있는 9가지 보안 기능이 있었지만 기본적으로 모두 꺼져 있었다.
설상가상으로 Google은 사전 통지 없이 Davis의 계정을 자동으로 업그레이드했습니다. 이 계정은 원래 레벨 2 권한을 갖고 있었으며 소비 한도는 미화 2,000달러(약 14,400위안)였습니다.
비정상적인 소비가 US$1,000(약 RMB 7,200) 임계값을 초과하면 시스템이 자동으로 수준을 높이고 소비 한도는 US$20,000~US$100,000(약 RMB 144,000~720,000 RMB)로 직접 완화됩니다.
다행히 구글은 결국 모든 연체금을 면제해줬고, 은행은 차감된 금액을 환불해줬다. Davis는 보안 취약점을 논의하기 위해 Google 경영진과의 회의 일정을 잡았습니다.
비슷한 사건이 많이 있습니다. Google Cloud 커뮤니티 포럼의 많은 사용자가 비슷한 경험을 보고했습니다.
평소 클라우드 서비스를 사용하던 일본 사용자는 설명할 수 없이 44,000달러(약 316,800위안)의 요금을 청구했습니다. API 인터페이스를 수동으로 종료한 후에도 청구서는 여전히 미화 128,000달러(약 921,600위안)로 증가했습니다.
지난 3월에는 다른 사용자의 API 키가 남용되어 이틀 만에 US$82,314.44(약 RMB 592,700)의 청구서가 청구되었지만 계정의 일일 월 사용량은 US$180(약 RMB 1,296)에 불과했습니다.
네트워크 보안 회사인 Truffle Security Co.는 Google Cloud가 원래 프로젝트 식별 코딩에만 사용되었던 통합 형식 API 키 설계를 채택했다고 경고했습니다.
프로젝트가 대형 모델 인터페이스 서비스를 열면 기존 일반 키가 자동으로 유료 인증 인증서로 업그레이드됩니다. 키가 유출된 후 공격자는 마음대로 결제 인터페이스를 호출하여 클라우드 서비스 청구서를 긁을 수 있습니다.
Google이 여전히 API 권한 규칙을 수정하지 않고 보안 문제를 해결하지 않는다면 이러한 엄청난 수수료 공제 사건은 계속해서 발생할 것입니다.
