정용환 기자
공동으로 코드를 작성하는 서비스를 악용하고 개발자가 이를 눈치채지 못한 채 공개해 버린 오픈AI API 키를 스크래핑해 GPT-4를 무료로 사용하는 수법이 확인됐다고 한다.
현재 GPT-4 같은 대규모 언어 모델을 이용하려면 오픈AI 사이트에서 계정을 만들어 신용카드를 등록해야 한다. 계정을 만들면 AI를 이용하기 위한 고유 API 키가 부여되므로 앱 개발자는 자신의 앱에 이 키를 통합해 AI를 활용한 앱을 개발할 수 있다.
API 키를 이용하면 사용량에 따라 요금이 부과되기 때문에 오픈AI는 API 키에 대해 설명하는 페이지에서 API 키는 비밀이며 API 키를 다른 사람에게 공유하거나 브라우저 또는 다른 클라이언트 측 코드에 게시하지 말라고 경고하고 있다.
하지만 보도에 따르면 타인으로부터 훔친 API 토큰을 이용하고 디스코드 서버 등을 통해 다른 사람에게 무료로 기능을 제공하고 있는 사례를 발견했다. 도난당한 API 키 중에는 2023년 6월 사용량이 1,039.37달러에 달한 것도 있었다고 한다.
이런 API 키는 온라인 코딩 플랫폼(Replit)을 통해 유출된 것으로 보인다. 보도에 따르면 디스코드 채팅 로그를 조사한 결과 3월 투고된 한 메시지는 얼마 전 리플릿을 스크래핑하자 오픈AI API 키가 1,000개 이상 발견됐다고 보고했다고 한다.
리플릿에서 사용자는 프로젝트(Repl)를 만들 수 있으며 이 프로젝트는 기본적으로 게시 상태다. 리플릿에는 API 키를 취급하기 위한 기능(Secrets)이 있으며 일부는 실수로 토큰을 이곳에 저장하는 대신 Repl 코드에 직접 쓰고 있다. 사용자는 자신의 토큰을 직접 보호할 책임이 있으며 공개 코드에 이런 토큰을 저장해선 안 된다.
디스코드 서버 커뮤니티 내 반응은 바로 그만둬야 한다는 의견도 있지만 구글 클라우드 계정 API가 도난당했다는 화제가 드물다는 걸 지적하며 구글 API 키가 도난당하지 않은 이유는 구글이 더 나은 인증 절차를 갖고 있기 때문이라고 밝혔다. 오픈AI 측은 자사는 큰 오픈 리포지토리 자동 스캔을 수행하고 오픈AI 키를 발견하는 즉시 모든 걸 취소하고 있다며 또 API 키가 생성됐을 때 API 키를 공개하지 않기 위해 사용자에게 조언하고 사용자가 자신의 API 키를 공개했을 수 있다고 생각한다면 곧바로 키를 업데이트라라는 메시지가 표시된다고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
이원영 기자
