키를 조심하세요: iOS 앱에서의 LLM API 자격 증명 유출에 관한 실증적 연구

대규모 언어 모델 (LLMs)이 모바일 애플리케이션에 급격히 통합되면서 새로운 유형의 자격 증명 보안 위험이 등장했습니다. 바로 LLM 추론 서비스에 대한 무단 접근을 허용하여 개발자에게 금전적 손실을 입히는 자격 증명 유출 문제입니다. 자격 증명 유출에 관한 기존 연구는 주로 Android 앱에 집중되어 왔으며, 현재까지 iOS 애플리케이션에서의 LLM API 키 유출을 체계적으로 조사한 실증적 연구는 없었습니다. 본 연구에서는 LLM이 통합된 앱의 API 키 유출에 대한 최초의 심층적인 실증적 연구를 제시합니다. 우리는 표준화된 프로세스를 통해 1,092개의 후보군에서 필터링된 444개의 iOS 애플리케이션으로 구성된 고품질 데이터셋을 구축하였으며, 소스 코드 접근이나 바이너리 복호화 없이도 트래픽 가로채기 (traffic interception), 제공자별 키 추출 (provider-specific key extraction), 그리고 능동적 유효성 확인 (active validity confirmation)을 통해 LLM API 키 유출을 탐지하는 동적 분석 프레임워크인 LLMKeyLens를 개발했습니다. 우리의 분석 결과, 최소 10개 이상의 제공자를 아우르는 282개의 애플리케이션이 네트워크 트래픽에서 악용 가능한 LLM API 자격 증명을 노출하고 있음을 발견했습니다. 우리는 세 가지 유출 패턴을 식별했습니다: JWT 기반 토큰 유출 (48%), 인증되지 않은 백엔드 프록시 접근 (33%), 그리고 평문 (plaintext) API 키 전송 (19%)입니다. 해결 조치를 평가하기 위해, 우리는 책임 있는 공개 (responsible disclosure) 3개월 후 동일한 282개의 취약한 애플리케이션을 재분석했습니다. 그 결과, 보고된 취약점을 해결한 앱은 28%에 불과했으며, 72%는 여전히 악용 가능한 상태로 남아 있었습니다. 지속적인 문제는 인증되지 않은 백엔드와 결함이 있는 JWT 구현에서 기인했습니다. 우리의 연구 결과는 LLM API 키 유출이 iOS 생태계에서 만연하며 지속적이라는 것을 보여주며, 이는 개발자의 관행과 보안 통합 원칙 사이의 체계적인 격차를 드러냅니다. 또한, 안전한 LLM 통합을 위해서는 개발자의 인식뿐만 아니라 제공자의 명시적인 보안 가이드라인과 플랫폼 수준의 강제 조치가 필요함을 시사합니다.