네. 프로젝트와 연결된 패키지명, apikey값등이 포함된 google-service.json파일의 정보만 알면 누구든지 새로 프로젝트생성해서 db에 crud할 수 있습니다. 안드로이드 클라이언트 내에 포함되어있는 파일에서 얻을 수 있는 정보들이기 때문에 그냥 배포하는것은 아무래도 위험하죠. 난독화 방법도 있겠지만 클라이언트 쪽 보안은 완벽하진 않을테니 위험하죠. 그래서 security rules를 전체 경로에서 read/write를 모두 true로 할 경우 콘솔에서 위험한 보안상태 경고를 알려주는 것이죠. security rules에 대해 알아보셔서 클라이언트들에게 제한된 엑세스 권한을 주시거나, admin모듈을 적용한 서버 혹은 functions를 배포하고, 모든 crud권한을 admin권한에서만 가능하도록 하시는것도 방법일듯해요.