구글을 AI로 해킹해서 7억원 벌기

2026-06-23 · 2026-06-23_hacking-google-with-ai-for-500k-bug-bounty.md

#Cybersecurity #Bug-Bounty #AI-Security #API-Security #Ethical-Hacking #Access-Control

원문 출처

구글을 AI로 해킹해서 7억원 벌기

한 줄 요약

보안 연구자 Arvin Shivram(Brutecat Security)이 AI 기반 자동 펙징(fuzzing) 파이프라인을 구축해 구글의 내부 API 1,500개 이상에서 접근 제어 취약점을 체계적으로 발견했고, 약 3개월 만에 50만 달러(약 7억원) 이상의 버그 바운티를 획득했다.

원문 핵심 내용

연구의 시작과 배경

Arvin Shivram은 'Brutecat'이라는 닉네임으로 잘 알려진 보안 연구자다. 그는 구글이 연구자들에게 소스 코드를 일부 공개하기 시작하면서 구글의 공격 표면(attack surface)을 다시 탐구하기로 결정했다. 핵심 아이디어는 구글의 Discovery Document(기계가 읽을 수 있는 API 스펙, Swagger 문서와 유사)를 자동으로 파싱하고, AI 에이전트를 활용해 각 엔드포인트의 접근 제어를 체계적으로 테스트하는 것이었다.

Discovery Document란 API가 어떤 엔드포인트를 가지고 있는지, 어떤 파라미터를 받는지, 어떤 HTTP 메서드를 지원하는지를 JSON 형식으로 정의한 문서다. YouTube Data API처럼 공개된 API는 누구나 볼 수 있지만, 구글 내부 API의 Discovery Document도 존재하고 — 유효한 API 키만 있으면 접근 가능하다.

1단계: API 키 수집

연구팀은 다음과 같은多渠道으로 API 키를 수집했다.

  • 안드로이드: 60,000개 이상의 APK를 스크래핑
  • iOS: iOS 바이너리 분석
  • 웹: Chrome 확장 프로그램을 만들어 2,800개 이상의 구글 도메인에서 트래픽을 인터셉트

그 결과 약 3,600개의 유효한 API 키를 확보했다. 중요한 점은 하나의 서비스에서 발견된 API 키가 종종 GCP(Google Cloud Platform) 프로젝트에 여러 API를 활성화하고 있다는 것이다. 즉, 한 서비스의 키로 완전히 다른 내부 API에 접근할 수 있다는 의미다.

구글 소유의 키만 골라내기 위해 Cloud Marketplace API를 사용해 프로젝트 번호를 소유 도메인으로 변환했고, google.com, nest.com, fitbit.com, wing.com 도메인의 키만 남겼다.

2단계: 숨겨진 API 발견

/$discovery/rest 엔드포인트를 대량 스캔했다. 구글이 최근 이 경로를 제한했으므로 ?labels=GOOGLE_INTERNAL과 같은 visibility label을 테스트해 숨겨진 엔드포인트를 발견했다. 이 과정을 통해 1,500개 이상의 API 스펙에 접근할 수 있었다.

3단계: 인증 문제 해결 — First-Party Authentication (FPA)

일반적인 Bearer 토큰은 프로젝트 불일치 오류로 실패했다. 연구팀은 구글 내부 gapix 라이브러리에서 유출된 sourcemap을 분석해 First-Party Authentication (FPA) v2를 역엔지니어링했다.

FPA 토큰 구조는 timestamp_sha1hash_identifierKeys 형식이다. 여기서 identifier key는 다음과 같다.

  • e: 이메일 주소
  • u: 가려진 Gaia ID (구글 사용자 고유 식별자)
  • a: 앱 도메인 (Workspace/dasher 계정용)

많은 API가 특정 Origin 헤더를 요구하므로, proto 정의(gaia_mint.AllowedFirstPartyAuth)를 분석해 Origin 화이트리스트를 매핑했다. 또한 브라우저(Referer), 안드로이드(Package/Cert), iOS(Bundle ID) 제한을 우회하기 위해 유효한 헤더 조합을 브루트포싱했다.

4단계: AI 자동 테스트 구성

연구팀은 커스텀 API Explorer를 구축하고 Claude AI를 MCP(Model Context Protocol) 도구와 통합했다. AI에게 제공한 도구는 세 가지였다.

  • probe_api: 엔드포인트를 테스트
  • report_vulnerability: 취약점 보고
  • confirm_testing_complete: 테스트 완료 확인

AI는 엔드포인트를 논리적 그룹으로 분류하고, 각 그룹마다 접근 제어 취약점과 IDOR(Insecure Direct Object Reference)을 집중 테스트했다. operation_id 시스템을 구현해 AI가 보고한 취약점을 프론트엔드에서 즉시 재현·검증할 수 있게 했다.

프롬프트 엔지니어링을 통해 잡음을 줄였다. "존재 열거(existence enumeration)는 보고하지 마", "비공개 데이터에 실제로 접근했을 때만 보고해"와 같은 엄격한 규칙을 적용했다. 한 달간의 반복적 프롬프트 튜닝 후 AI의 취약점 보고 정확도가 50%를 넘어섰고, 수동 검토가 효율적으로 가능해졌다.

발견된 주요 취약점

Google Voice 계정 탈취 ($20,000) — P0/S0 (최고 심각도)

gfibervoice-pa.googleapis.com API에 접근 제어가 전혀 없었다. 공격자는 피해자의 Gaia ID만 알면 다음을 수행할 수 있었다.

  • 복구 전화번호, 음성 메일 PIN 등 PII(개인식별정보) 추출
  • 피해자 계정에 임의의 전화번호 할당 (SIM 스왑 공격과 유사)
curl 'https://gfibervoice-pa.googleapis.com/v1/BssGetVoiceSettings?gaiaId=피해자_GAIA_ID' \
  -H 'X-Goog-Api-Key: KEY'

추가로 /btz(zhandler) 디버그 엔드포인트가 내부 서비스 정보를 누출하는 것도 발견했다.

AdExchange 계정 탈취 ($30,000)

테스트 환경(test-adexchangebuyer-googleapis.sandbox.google.com)이 프로덕션 데이터를 가리키고 있었고 접근 제어가 없었다. 공격자는 AdExchange 계정을 읽고, 임의의 계정에 관리자 사용자를 추가할 수 있었다.

POST /v1internal/buyers/6558940734/users
{ "emailAddress": "attacker@gmail.com", "role": "ADMIN" }

Eldar 내부 프라이버시 도구 노출 ($26,674)

eldar-pa.clients6.google.com*.corp.google.com 제한을 우회해 공개적으로 접근 가능했다. 내부 프라이버시 평가, 로그 접근 요청을 읽고, 평가를 생성/공유할 수 있었다.

YouTube 비공개 영상 유출 ($12,000)

Content ID API의 자산 제목에 Auto generated asset - [VIDEO_ID] 형식으로 비공개/비공개 공유 영상 ID가 누출되었다. YouTube 파트너의 미공개 영상을 실시간으로 열거할 수 있었고, Polymarket 같은 예측 시장에서 사전 공개 제품 영상 감지를 통한 내부자 거래 가능성이 제기되었다.

Widevine DRM 키 노출 ($16,004)

공개 API가 모든 Widevine 조직과 암호화 키(PGP, AES)를 목록으로 제공했고, 임의의 사용자를 google 같은 조직에 추가할 수 있었다.

PLX/DataHub 특권 승격 ($12,000)

스테이징 DataHub API의 setIamPolicy가 임의 사용자에게 roles/datahub.owner를 부여할 수 있었다. 이를 통해 ytdata 테이블에서 기가바이트급의 YouTube 비공개 데이터(매출 통계, 채널 ID 등)를 추출했다.

Translation Hub 교차 테넌트 취약점 ($36,500)

translationhub.googleapis.comListOperationsUpdateProjectConfig가 인증 없이 접근 가능했고, 테넌트 간 읽기/쓰기와 GCS(Google Cloud Storage) 데이터 유출이 가능했다.

Vertex AI Search for Commerce ($30,000)

retail.googleapis.comconversationalSearchCustomizationConfig가 인증 없이 읽기/쓰기 가능했고, 프롬프트 인젝션 공격 위험이 있었다.

Cloud Console GraphQL ($60,000+)

여러 취약점이 발견되었다.

  • querySignature 서명 검증 우회
  • GetDashboardAppStats를 통한 App Engine 요청 로그 누출 (CVE-2026-8934)
  • userId를 통한 Vertex Assistant 세션 하이재킹
  • ListBillingAccountCredits를 통한 Maps Platform 빌링 크레딧 및 PII 누출

Nest 장치 비식별화

인증되지 않은 엔드포인트가 Nest 장치의 가려지지 않은 Gaia ID를 반환했다. Nest ID를 증가시켜 Gaia ID를 얻고, 이를 통해 Nest 장치 소유자를 식별할 수 있었다.

교훈과 시사점

이 연구는 AI가 방어 도구를 넘어 대규모 취약점 발견 엔진으로 진화하고 있음을 보여준다. 구글 같은 세계적 기업조차 내부 API에서 체계적인 접근 제어 실패가 존재하며, AI의 자동화 능력은 이러한 취약점을 인간이 수동으로 찾을 때보다 훨씬 빠르고 광범위하게 발견할 수 있다.

Hacker News 커뮤니티 반응

HN 스토리 Hacking Google with A.I. For $500k는 게시된 지 얼마 되지 않아 댓글이 아직 많지 않다 (16포인트). 게시가 초기 단계이므로 의미 있는 커뮤니티 분석은 아직 불가능하다.

새로운 시각

1. AI 해킹의 양날: 연구자와 범죄자의 무장 경쟁

이 연구가 시사하는 가장 중요한 점은 AI가 보안 연구자와 악의적 해커 모두에게 '무기'가 되었다는 사실이다. 구글 스스로도 2026년 5월, AI를 이용해 제로데이 취약점을 발견·무기화하려는 범죄 해커 그룹을 차단했다고 발표했다. Brutecat의 연구는 '양심적인' 측면을 보여준다면, 같은 방법론이 악의적으로 사용될 경우 수천 개 API를 몇 주 만에 스캔해 취약점을 발견할 수 있다. 이는 보안 산업이 'AI vs AI' 경쟁 시대에 진입했음을 의미한다.

2. Discovery Document: 문서는 무기이자 방어막

이 연구의 핵심은 Discovery Document — 본래 API 개발을 돕기 위한 문서 — 가 공격자에게 완벽한 공격 지도가 된다는 점이다. 구글 내부 API의 스펙이 공개되어 있다는 사실 자체가 위험하며, GOOGLE_INTERNAL 같은 visibility label로 숨겨둔 문서조차 우회 가능했다. 역으로 생각하면, API 스펙의 접근을 철저히 통제하는 것이 API 보안의 첫 번째 방어선이 되어야 한다는 교훈이 있다. 문서화 자체가 공격 표면을 확장할 수 있다는 역설을 보여준다.

3. 스테이징 환경의 프로덕션 데이터: 만년 취약점

AdExchange와 PLX/DataHub 사례에서 공통적으로 드러난 것은 '테스트 환경이 프로덕션 데이터를 가리킨다'는 고전적 실수다. 이는 수십 년간 소프트웨어 보안에서 반복되는 문제지만, AI 자동화 시대에 이 취약점은 훨씬 더 위험해졌다. AI 에이전트가 스테이징 환경의 API를 테스트하다가 프로덕션 데이터에 접근할 수 있다면, 이는 단순 실수가 아니라 대량 데이터 유출로 직결된다. 테스트 환경과 프로덕션의 격리는 이제 '선택'이 아닌 '필수'가 되었다.

자녀/미래 영향

아인, 석현, 은한에게

이 글은 자녀들에게 두 가지 중요한 교훈을 전한다.

첫째, 기술의 양면성. AI는 창의적인 도구이자 위험한 무기다. 아인과 석현, 은한이 미래에 AI를 사용할 때, '이 기술이 악용되면 어떻게 될까'를 항상 함께 생각해야 한다. Brutecat의 연구자는 양심적으로 구글에 보고해 보상을 받았지만, 같은 기술을 악의적으로 쓴다면 수백만 사용자의 개인 정보가 유출될 수 있었다.

둘째, 사이버 보안의 중요성. 이 연구는 '구글도 해킹된다'는 것을 보여준다. 자녀들이 성장하는 세상은 디지털 보안이 일상적인 위험이 될 수 있는 세상이다. 강력한 비밀번호, 2단계 인증, 개인 정보 공유에 대한 경계는 단순한 '부모의 잔소리'가 아니라 실제 위협에 대한 방어다. 특히 Google Voice 계정 탈취 사례는 전화번호 하나로 계정이 뚫릴 수 있음을 보여준다.

실용적 조언: 자녀들이 코딩이나 해킹에 관심을 가질 경우, Bug Bounty 프로그램(하커원, 구글 VRP 등)과 같은 '양심적인 해킹' 경로를 소개해 주는 것이 좋다. 불법 해킹과 윤리적 해킹의 차이를 일찍 이해하도록 돕는 것이 중요하다.

관련 노트