July 19, 2025

🔑 클라이언트 코드에 민감한 API 키 직접 노출: 보안 침해와 서비스 남용의 지름길

React

보안

아키텍처

빌드&번들링

Summary

클라이언트 사이드 코드에 API 키나 민감한 설정 정보를 직접 포함하는 것은 심각한 보안 취약점입니다. 공격자가 이를 탈취하여 서비스 남용, 데이터 유출 등의 문제가 발생할 수 있습니다. 가장 안전한 방법은 백엔드 프록시 서버를 통해 키를 관리하는 것이며, 클라이언트 번들에 노출될 수밖에 없는 공개 키의 경우에도 환경 변수를 사용하고 해당 서비스의 보안 설정을 활용하여 오용을 방지해야 합니다.

Why Wrong?

클라이언트 사이드 코드(JavaScript 번들, HTML 등)는 사용자의 브라우저에서 실행되며, 개발자 도구를 통해 누구나 쉽게 접근하여 내용을 분석하고 디컴파일할 수 있습니다. 여기에 API 키나 인증 토큰, 민감한 설정 값 등을 직접 노출하는 것은 다음과 같은 심각한 보안 취약점을 야기합니다.

보안 취약점: 악의적인 사용자가 코드를 분석하여 민감한 API 키를 탈취할 수 있습니다. 이는 해당 API 서비스에 무단으로 접근하거나 오용할 수 있는 통로가 됩니다.
서비스 남용 및 비용 발생: 탈취된 API 키는 주로 외부 서비스(지도 API, 결제 API, AI API 등)의 할당량을 소모하거나, 공격자가 자체적으로 개발한 악성 서비스에 연동하여 금전적 피해를 입힐 수 있습니다. 예를 들어, 지도 API 키가 노출되면 무단으로 과도한 요청을 발생시켜 불필요한 사용료를 청구당할 수 있습니다.
데이터 유출 위험: 민감한 API 키가 데이터베이스나 다른 백엔드 서비스와 연동되어 있다면, 키 탈취는 곧 중요한 데이터 유출의 통로가 될 수 있습니다.
유지보수 어려움: 개발, 테스트, 프로덕션 환경마다 다른 키를 관리하기 어렵고, 키 변경 시마다 코드 전체를 재배포해야 하는 번거로움이 발생합니다.

How to Fix?

민감한 API 키는 절대 클라이언트 번들에 직접 포함해서는 안 됩니다. 다음 방법을 통해 안전하게 관리해야 합니다.

백엔드 프록시 서버 활용 (가장 권장): 가장 강력한 보안 방법입니다. 민감한 API 키가 필요한 모든 요청은 프런트엔드에서 직접 외부 API 서비스로 보내는 대신, 개발자가 통제하는 백엔드 서버(프록시)를 거쳐 백엔드에서 API 키를 사용하여 실제 외부 API 서비스에 요청을 보냅니다. 백엔드 서버는 API 키를 환경 변수로 안전하게 관리하며, 클라이언트는 오직 백엔드 프록시 서버와 통신합니다. 이 방식은 API 키가 클라이언트에게 전혀 노출되지 않도록 합니다.
환경 변수 사용 (빌드 시 주입, 공개 키에 한함): 애플리케이션을 빌드할 때 .env 파일 등을 통해 환경 변수를 주입합니다. 이 방법은 빌드된 클라이언트 번들에 값이 포함되므로, 여전히 개발자 도구를 통해 키가 노출될 수 있다는 점을 인지해야 합니다. 따라서 클라이언트에서 직접 사용될 수밖에 없는 공개(public) API 키에 한해서 사용해야 합니다. (예: Google Analytics ID, 공개용 지도 API 키 등). 중요한 것은 해당 서비스에서 제공하는 **도메인 제한(Domain Restrictions)**이나 **IP 제한(IP Restrictions)**과 같은 추가 보안 설정을 반드시 적용하여 오용을 방지해야 합니다.

핵심은 "공개되어도 무방한 키"와 "절대 공개되어서는 안 되는 키"를 구분하고, 후자의 경우 반드시 서버 측에서 관리하는 것입니다.

Before Code (Bad)

// src/config.js (민감한 API 키를 직접 포함)
export const GOOGLE_MAPS_API_KEY = "AIzaSy_YOUR_SUPER_SECRET_GOOGLE_MAPS_KEY_XYZ123";
export const STRIPE_SECRET_KEY = "sk_test_YOUR_STRIPE_SECRET_KEY_ABC456"; // 절대 공개되면 안 되는 비밀 키!

// src/App.js
import { GOOGLE_MAPS_API_KEY, STRIPE_SECRET_KEY } from './config';

function App() {
  // 클라이언트에서 민감한 키를 직접 사용하는 코드 (매우 위험)
  // Google Maps API Key를 사용하여 지도 로드
  // Stripe 결제 연동 (서버 측에서 처리해야 할 secret key를 클라이언트에서 사용)
  console.log("Google Maps API Key:", GOOGLE_MAPS_API_KEY);
  console.log("Stripe Secret Key:", STRIPE_SECRET_KEY); // 이 키는 절대 클라이언트에 있으면 안 됩니다!

  return (
    <div>
      <p>Your map or payment integration here</p>
    </div>
  );
}

After Code (Good)

// 방법 1: 환경 변수를 통한 빌드 시 주입 (공개 키에 한함, Vite.js 예시)
// 1. .env 파일 (프로젝트 루트 디렉토리)
//    VITE_APP_GOOGLE_MAPS_API_KEY="AIzaSy_YOUR_GOOGLE_MAPS_PUBLIC_KEY_XYZ123"
//    (참고: VITE_ 접두사는 Vite가 클라이언트 번들에 노출할 환경 변수를 식별하는 방법입니다)

// 2. src/App.js
function App() {
  // 공개용 API 키 (예: 지도 API, 클라이언트 전용 분석 툴 키 등)
  // 해당 서비스에서 제공하는 도메인/IP 제한 등 보안 조치 필수!
  const googleMapsApiKey = import.meta.env.VITE_APP_GOOGLE_MAPS_API_KEY;

  console.log("Google Maps API Key (Public):");

  return (
    <div>
      <p>Using environment variables for public keys.</p>
    </div>
  );
}

// 방법 2: 백엔드 프록시 서버를 통한 안전한 관리 (권장, 민감한 비밀 키에 필수)
// 1. 프론트엔드 코드: src/api.js
async function processPayment(paymentDetails) {
  // 클라이언트는 민감한 Stripe Secret Key를 직접 사용하지 않고,
  // 백엔드 프록시 서버의 엔드포인트로 결제 요청을 보냅니다.
  const response = await fetch('/api/process-payment', {
    method: 'POST',
    headers: { 'Content-Type': 'application/json' },
    body: JSON.stringify(paymentDetails),
  });
  if (!response.ok) {
    throw new Error('Payment failed');
  }
  return response.json();
}

// 2. 백엔드 (Node.js + Express 예시)
// server.js
// require('dotenv').config(); // .env 파일에서 환경 변수 로드
// const express = require('express');
// const app = express();
// const stripe = require('stripe')(process.env.STRIPE_SECRET_KEY); // 서버에서 환경 변수로 안전하게 관리

// app.use(express.json());

// app.post('/api/process-payment', async (req, res) => {
//   const { amount, tokenId } = req.body;
//   try {
//     const charge = await stripe.charges.create({
//       amount,
//       currency: 'usd',
//       source: tokenId,
//       description: 'Example Charge',
//     });
//     res.json({ success: true, charge });
//   } catch (error) {
//     console.error('Stripe error:', error);
//     res.status(500).json({ message: 'Payment processing failed', error: error.message });
//   }
// });

// app.listen(3000, () => console.log('Proxy server listening on port 3000'));

Vite와 같은 모던 빌드 툴에서 환경 변수를 클라이언트 사이드 코드에 안전하게 주입하는 방법을 설명합니다. (단, 클라이언트 노출 시 보안 위험은 여전히 존재함을 명심해야 합니다.)

https://vitejs.dev/guide/env-and-mode.html

Google Cloud Platform에서 API 키를 생성하고 사용하는 모범 사례를 제시하며, 키 노출 방지를 위한 제한 설정 및 백엔드 프록시 사용의 중요성을 강조합니다.

https://cloud.google.com/docs/authentication/api-keys#securing_api_keys