시크릿 유출 탐지
커밋, 공개, 공유 ‘직전’에 코드나 설정을 붙여넣어, 하드코딩된 API 키·토큰·비밀 키를 탐지합니다 — 유출되기 전에 잡아내기 위한 도구입니다. 모든 처리는 브라우저 내에서 이루어지며, 입력한 내용은 전송되지 않습니다.
코드나 설정을 붙여넣으면 여기에 탐지 결과가 표시됩니다. 처음이라면 위의 ‘예제 사용해 보기’를 누르면 동작을 확인할 수 있습니다.
사용 방법
- 1
노출 직전에 붙여넣으세요: AI가 작성한 코드를 사용하기 전, GitHub에 푸시하기 전, 코드 조각을 공유하기 전.
- 2
알려진 키 형식(AWS / OpenAI / GitHub / Stripe …)과 시크릿으로 보이는 대입을 탐지합니다.
- 3
발견되면 해당 키를 폐기하고 교체(rotate)하세요. 지속적인 보호를 위해서는 자동화로 전환하세요(아래 참조).
왜 중요한가
자주 묻는 질문
Q운영 환경에 들어간 뒤에는 이미 늦은 것 아닌가요?
맞습니다 — 공개된 키는 이미 유출된 것이며, 바로 그렇기 때문에 배포되기 ‘전’에 이 도구를 사용하는 것입니다. 이 도구는 커밋·공개·공유 ‘직전’의 순간을 위한 것입니다. 만약 키가 이미 유출되었다면 정답은 교체(전부 교체)입니다. 지속적인 보호를 위해서는 pre-commit 훅이나 CI의 시크릿 스캐너로 자동화하세요.
Q매번 손으로 붙여넣는 방식은 지속되기 어렵지 않나요?
그렇습니다. 그래서 이 도구는 ‘지금 당장 한 번 확인하고 싶을 때’, ‘공개 직전 마지막 육안 점검’, 또는 학습·체험을 위한 것입니다. 일상적인 방어는 자동화되어야 합니다 — gitleaks / trufflehog를 pre-commit이나 CI에 추가하고, GitHub의 push protection을 활성화하세요.
Q붙여넣은 코드는 어딘가로 전송되나요?
아니요. 탐지는 전적으로 브라우저 내에서(JavaScript 정규식으로) 이루어지며, 입력한 내용은 서버로 전송되지 않습니다.
Q아무것도 탐지되지 않으면 안전한가요?
아니요. 이는 알려진 패턴에 대한 가벼운 탐지일 뿐 망라적이지 않습니다. 탐지 결과가 0이더라도, 설계 원칙으로서 키를 하드코딩하지 않고 공개 산출물에 포함하지 않는 운용이 전제되어야 합니다.