시크릿 관리
이 태그가 달린 문서 8건
gitleaks로 커밋 전에 시크릿을 막아라: push 전에 API 키 유출 잡기
시크릿은 '유출된 뒤 삭제'할 수 없다. 한 번 커밋되면 Git 히스토리에 남고, push되면 유출된 것으로 다뤄야 한다 — 키를 폐기/교체해야 한다. gitleaks는 정규식/엔트로피로 저장소 전체와 커밋 히스토리를 스캔해 API 키, 개인 키, 토큰을 찾는 무료 도구다. 방어의 핵심은 두 관문: push 전에 로컬에서 막는 pre-commit 훅과, 빠져나간 것을 잡는 CI/cron. .gitignore는 새 추적만 막을 뿐 탐지하지 못하므로, 스캐너가 여전히 필요하다.
비밀번호 관리자는 안전한가? 작동 원리, 클라우드 vs 로컬, 선택법
비밀번호 관리자는 재사용이나 평문 보관보다 안전합니다. 핵심은 제로 지식 암호화: 마스터 비밀번호가 당신의 기기에서만 금고를 복호화하고, 제공자는 암호문만 보관하므로 제공자 침해로도 비밀번호가 노출되지 않습니다. 진짜 단일 지점은 마스터 비밀번호 + 금고 MFA입니다. 용도에 따라 클라우드(Bitwarden/1Password)나 로컬(KeePass)을 고르세요.
1인 개발자와 소규모 운영자를 위한 보안 베이스라인: 표준 세트 전부
베이스라인은 '모두 똑같이 중요'가 아닙니다. 본 사이트의 우선순위: 1) 왕국의 열쇠(MFA, 도메인, 이메일), 2) 시크릿과 코드, 3) 앱 자체, 4) 패치·탐지·복구. 시간이 유한할 때 위에서부터 채우세요. 심각한 침해는 대부분 새로운 공격이 아니라 이 토대의 틈에서 옵니다.
보안 인벤토리 — 서버 여러 대를 운영하는 사람이 놓치는 7가지 점검
1인/소규모 운영자에게 사고는 통제의 부재보다 추적되지 않은 상태에서 옵니다. 경계는 키를 쥔 PC입니다. 신뢰의 뿌리로 2FA를 계층화하고, SSH 키를 매트릭스로 만들어 중복/미사용/고아를 죽이고, 클라우드의 평문 비밀번호를 제거하고, 한 번에 하나씩 되돌릴 수 있게 조치하고, 시크릿을 대장에 두지 마세요. 도구 추가 전에 인벤토리부터.
비밀번호를 Google Drive에 저장하면 안전한가? 제대로 보관하는 법
비밀번호를 평문 Google 문서/시트에 두는 것은 위험합니다: Google 계정 하나가 모든 비밀번호의 단일 실패 지점이 됩니다 — 계정 탈취, 악성 연결 앱, 피싱이 한꺼번에 누출시킵니다. 해법은 전용 비밀번호 관리자입니다(동기화해도 내용은 암호화). Drive를 꼭 써야 한다면 암호화된 금고 파일만 저장하고 계정에 피싱 저항 MFA를 거세요.
공개 디렉터리에 시크릿 파일을 남겨두지 않았나요? 웹루트를 점검하라
웹루트의 모든 것은 누구나 URL로 가져갈 수 있습니다. 남겨진 토큰/자격증명 JSON, .env, 백업은 즉각 노출을 뜻하며 — 공유 템플릿에서 왔다면 모든 사이트가 같은 구멍을 갖습니다. 해법: 공개 디렉터리엔 공개해도 되는 것만, 시크릿은 웹루트 밖에 권한 600으로, 하나 찾으면 모든 사이트와 호스트를 점검하기.
자체 호스팅 Git vs GitHub: 실제로 어느 쪽이 더 안전한가?
Git을 자체 호스팅한다고 '더 안전'해지지 않습니다 — 위험을 옮길 뿐입니다. 실수로 인한 공개 노출 부류는 사라지지만, 서버 패치·백업·커밋 전 시크릿 탐지가 당신에게 넘어옵니다. 그 대가를 치르면 옳은 선택이고, 방치하면 GitHub보다 나쁩니다. 본 사이트의 견해: 자체 호스팅은 보상 통제와 묶일 때만 작동합니다.
Codecov 유출 사고(2021) — CI 안의 '신뢰하던 도구'가 탈취되어 비밀 정보가 새어 나갔을 때
신뢰하던 CI 도구(curl|bash로 실행되는 Bash Uploader)가 상위에서 변조되었습니다. 여러분의 코드는 손대지 않았기 때문에 약 2개월간 알아채지 못한 채 CI 비밀 정보가 유출되었고, 체크섬 검사가 이를 잡아냈습니다. 여러분의 CI에서는 가져온 산출물 검증, 최소 권한 비밀 정보, 로테이션, 이그레스 모니터링이 핵심입니다.