앱에서 AI API를 호출하고 있나요?
서버를 통하시나요? 앱에서 직접 호출 하시나요?
Client ID, API Key 등은 어떻게 보호하고 계신가요?
CI/CD를 사용하는 경우 Github Secret에 넣어서 보안을 강화하기도 합니다.
하지만 그걸로 안전할까요?
우리가 iOS 앱을 Xcode로 직접 업로드로 하지 않는 경우는 .ipa로 추출한 파일을 사용합니다.
하지만 이 파일은 패키지 보기를 통해 쉽게 내부를 들여다 볼 수 있습니다.
이 글은 이렇게 ipa를 들여다봄으로써 소스 내부에 심어진 각종 Key들을 탈취하는 여러 방법들을 보여줍니다.
결론은 그냥 Client에 키를 심지 말라네요.
근데 서버를 두더라도 서버에 Client를 증명하려면 결국 뭔가 있어야 할텐데..
절대 방패가 있을까요?
