OpenAI API - API Key Disabled

OpenAI API - API Key Disabled  ( OPEN AI의 API Key 가 비 활성화 되었습니다.)

 

메일 본문

 

Hi there,

We have determined that your OpenAI API key "billcorea" (sk-pro...Y8A) was leaked, and have disabled it with immediate effect.

This may be because you committed your API key to an online service such as GitHub, or your key may have been compromised in another way.

Head over to the API Keys page to create a new API key.

If your API key was stored in any locations–for instance, in code you are running–it will need to be updated before you can run this code again.

Finally, we ask that you please review our help center guides on Best practices for API key safety and Preventing unauthorized usage.

Best,
The OpenAI team

 

이 메일 본문은 openAI에 설정해 두었던 API Key 가 disable 되었다는 알림의 편지입니다.   

 

왜 API Key 가 자동적으로 제한이 되어 disable 되었는 가?

 

API 키는 사용자와 서비스 간의 인증을 위한 도구로 사용됩니다  Google AI Studio 등 web으로 들어가 사용하는 경우에는 직접 사용하는 것이 되기 때문에 관리가 원할 하기는 하겠지만, 

 

API을 사용하는 것은 자동화 등을 하기 위한 방법으로 사용되기 때문에 노출되는 경우 과대한 비용 산출이 요청 될 수 도 있고 해서 인지 client 앱에 노출 되는 것을 제한하게 됩니다. 

 

유출되는 경로는 어떻게 되는 가?

 

1. 개발자들은 github에 개발 중인 source을 저장하기도 합니다. 이런 경우 제한에 걸릴 수 있습니다. API key 값이 github 등에 저장 되지 않도록 해야 합니다. 

 

2. client 앱 (android 앱)에 BuildConfig 등으로 생성되어 배포되지 않도록 해야 합니다.  배포된 앱은 debug의 대상이 될 수 있기 때문에 주의되어야 합니다. 

 

어떻게 막을 수 있는 가?

 

1. API 키도 암호화등을 통해 제한적으로 나마 방어를 할 수 있습니다.  이 경우 암호화 키값이 노출되면  보안에 취약해질 수 있습니다.

 

2.  API Key을 서버에 저장해 두고 호출해서 client에서 가져와 사용하는 방법이 있을 것 같습니다. 이 바이버도 서버가 탈취된다면 동일하기는 하겠지만, 그래도 1안보다는 나은 방법이 되지 않을까 싶습니다.

 

대안의 적용방안은 ?

 

성능과 보안이 잘 적용된 서버가 있으면 좋기는 하겠지만,  개인 개발자가 그런 서버를 보유하기는 힘들 것 같습니다. 그래서 찾을 수 있는 것이 serverless를 적용해 보는 것이 좋을 것 같습니다. 

 

개발일기 # 번외편2 : 난 서버가 없는데(Serverless) cloud function 사용해 보기

개발일기 # 번외편2 : 난 서버가 없는데(Serverless) cloud function 사용해 보기

 

참고해 보시길 바랍니다.  기타 글과 관련된 질문이 있으시면 댓글로 달아 주세요.