FakeKey: 실제 키를 가짜 키로 대체하는 Rust 기반 API 키 보안 도구

FakeKey는 Rust 기반의 API 키 보안 도구로, 애플리케이션 환경에서 실제 API 키를 가짜 키로 대체합니다. 이 도구는 최근 LiteLLM과 Axios 사건에서 볼 수 있는 공급망 공격 위험을 해결합니다. 이러한 사건에서는 손상된 라이브러리가 API 키를 즉시 스캔하고 유출할 수 있었습니다.

FakeKey 작동 방식

FakeKey는 에이전트와 종속성이 정상 작동 중에는 가짜 API 키만 볼 수 있도록 보장하며 작동합니다. 실제 키는 안전하게 암호화되어 시스템의 기본 키체인에 저장됩니다. HTTP/S 요청이 전송되는 순간에만 FakeKey가 실제 키를 요청에 다시 주입합니다.

이 접근 방식은 손상된 환경에서도 유출된 키를 무의미하게 만듭니다. 출처에서 설명한 대로: "종속성이 손상되더라도 공격자는 쓸모없는 문자열만 훔칠 수 있습니다."

해결하는 문제

이 도구는 모든 소프트웨어와 NPM 종속성이 공급망 공격으로부터 안전하다고 보장하는 것이 거의 불가능한 현실을 해결합니다. 이러한 공격은 피해가 발생한 후에야 발견되는 경우가 많으며, API 키는 종종 환경 파일에 노출됩니다. 여기에는 청구와 연결된 LLM 키와 Feishu(Lark) 키와 같은 민감한 토큰이 포함됩니다.

FakeKey는 중독을 완전히 방지하려고 시도하는 대신, 손상된 종속성이 가짜 키에만 접근할 수 있도록 보장하여 유출을 무의미하게 만드는 접근 방식을 변경합니다.

출처 및 이용 가능성

FakeKey는 GitHub에서 https://github.com/happyvibing/fakekey에서 이용할 수 있습니다. 이 도구는 최근 공급망 보안 사건에 대응하여 개발되었으며, 완전한 종속성 보안을 보장할 수 없는 환경에서 API 키 보호에 대한 다른 접근 방식을 나타냅니다.