비밀

비밀(Secret)은 시스템, 사용자, 또는 애플리케이션이 민감한 행위를 수행하거나 보호된 리소스에 접근하기 위해 사용하는 민감한 정보를 말한다. 일반적으로는 인증자격 증명(Credential), 암호화 키, API 키, 비밀번호 등의 형태로 존재하며, 무단 접근으로부터 보호되어야 할 정보로 간주된다.

주요 예시[편집]

API Key : 외부 서비스 호출을 위해 발급되는 인증 키
Access Token / Refresh Token : 인증된 세션을 식별하거나 갱신하기 위한 토큰
Password : 사용자 인증을 위한 문자열 기반 자격 증명
Private Key : 비대칭 암호화 방식에서 데이터 복호화 또는 서명에 사용되는 키
Database Credential : DB 접속을 위한 사용자명과 비밀번호
OAuth Client Secret : OAuth 기반 인증 시스템에서 클라이언트 애플리케이션이 사용하는 비밀 키
TLS 인증서의 개인키 : HTTPS 통신 시 서버 인증 및 암호화에 사용되는 비밀 정보
환경변수 내 비밀정보 : .env 파일 등에 저장되는 민감 설정 값들

비밀의 수명 주기[편집]

비밀은 생성 → 저장 → 사용 → 갱신/폐기라는 생명 주기를 따르며, 각 단계마다 보안상 주의가 필요하다.

생성(Generate): 안전한 방식으로 랜덤하게 생성
저장(Store): 암호화된 상태로 저장하거나 보안된 저장소에 위탁
전달(Transmit): TLS 등 안전한 채널을 통해 전송
사용(Use): 최소한의 권한 범위에서 사용되도록 제한
회전(Rotate): 일정 주기 또는 유출 발생 시 새로운 비밀로 교체
폐기(Revoke/Destroy): 더 이상 필요 없거나 위험할 경우 파기

비밀의 저장 방법[편집]

저장 방법	특징	주의점
환경변수(.env)	배포 자동화 시 유용	깃에 커밋되지 않도록 .gitignore 필요
비밀 관리 시스템(Secrets Manager)	AWS Secrets Manager, HashiCorp Vault 등	접근 제어 및 감사 기능 제공
키 관리 시스템(KMS)	암호화 키 중심 관리	대칭/비대칭 키 보안성 보장
하드코딩 (Bad Practice)	코드에 직접 삽입	매우 위험하며 반드시 피해야 함
CI/CD 환경 변수	GitHub Actions, GitLab CI 등에서 지원	외부 노출 방지에 주의 필요

비밀 유출 사고 사례[편집]

Uber (2016): GitHub에 하드코딩된 AWS 키가 노출되어 5천만 명의 사용자 데이터 유출
Slack (2022): 버그 리포트에 사용자 토큰이 포함되어 노출됨
Facebook 개발자 키 유출: 디버그 로그 내에 비밀키가 포함되어 외부에 노출됨

비밀 유출 탐지 및 대응[편집]

정적 분석 도구(Secret Scanning) : 코드 내에 비밀 문자열이 하드코딩되어 있는지 탐지 (예: GitGuardian, TruffleHog)
로그 필터링 : 로그에 비밀번호, 토큰, 키가 출력되지 않도록 마스킹
버전 관리 예외 처리 : .gitignore 및 커밋 훅을 통해 비밀이 커밋되지 않도록 방지
비밀 자동 회전 : 일정 주기나 이상 탐지 시 자동으로 새로운 키로 갱신
Zero Trust 환경 : 신뢰할 수 있는 네트워크라는 전제 없이, 최소 권한 원칙과 인증 강화 적용

비밀 관리 모범 사례[편집]

하드코딩 금지: 소스코드에 비밀 절대 포함 금지
최소 권한 원칙: 비밀 사용 범위는 반드시 최소화
정기적인 키 회전: 유효기간 설정 및 회전 주기 관리
모든 비밀에 접근 기록 남기기: 감사 및 이상 탐지를 위해 필수
운영/개발 환경 분리: 서로 다른 키, 서로 다른 접근 정책 설정
CI/CD에서 안전하게 주입: 자동화 프로세스 내에서 보안 유지

같이 보기[편집]

이 비밀 문서는 보안에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.

개발 : 프로그래밍, 소프트웨어, 데이터, 솔루션, 보안 ^□^■^⊕, 하드웨어, 컴퓨터, 사무자동화, 인터넷, 모바일, 사물인터넷, 게임, 메타버스, 디자인

보안	CVE • CWE • 관리자권한 • 관리적 보안 • 권한 • 권한관리 • 금융 분산원장기술 보안규범 • 기밀 • 기밀성 • 기술적 보안 • 누설 • 누출 • 누출금지정보 • 니모닉 • 데이터베이스 암호화 • 디지털 워터마킹 • 레인보우 테이블 • 루트킷 • 무결성 • 물리적 보안 • 백신 프로그램 • 버그 바운티 • 보안 • 봇 • 봇넷 • 블랙리스팅 • 블랙박스 • 블록체인 보안 • 비밀 • 비회원 권한 • 사고 • 사용자권한 • 사회공학 • 생체인증 • 시큐어코딩 • 신뢰실행환경 • 암호 • 암호체계 • 암호키 • 예방 • 유출 • 이중인증(2FA) • 인증 • 일회용 비밀번호(OTP) • 잠금장치(시건장치) • 접근 • 접근권한 • 접근제어 • 접근차단 • 정보보호관리체계 • 침입방지시스템 • 침입탐지시스템 • 컴퓨터 바이러스 • 킬 스위치 • 통합위협관리(UTM) • 패치 • 페이로드 • 핀(PIN) • 해킹사고 • 화이트박스 • 회원권한 • 효율성

취약점 공격	51% 공격 • OWASP • 그라인딩 공격 • 네트워크 공격 • 누킹 • 디도스 • 디엔에스 스푸핑(DNS스푸핑) • 랜섬웨어 • 레베톤 • 레이스 공격 • 롱레인지 공격 • 리플레이 공격 • 리플레이 프로텍션 • 멀웨어(악성코드) • 모의해킹 • 무차별 대입 공격 • 미라이 봇넷 • 백도어 • 버그 • 버퍼 오버플로 • 벡터76 공격 • 부채널 공격 • 블랙해커 • 블록보류 공격 • 블록체인 해킹 • 사이트 간 스크립팅(XSS) • 사이트 간 요청 위조(CSRF) • 사전공격 • 셸쇼크 • 스누핑 • 스니퍼 • 스니핑 • 스미싱 • 스파이웨어 • 스푸핑 • 시빌공격 • 아이피 스푸핑(IP스푸핑) • 암호화폐 거래소 해킹 • 암호화폐 해킹 • 애드웨어 • 에스큐엘 인젝션(SQL인젝션) • 에이알피 스푸핑(ARP스푸핑) • 원격파일삽입 • 웜 • 웹셸 • 이클립스 공격 • 인젝션 • 제로데이 공격 • 중간자 공격 • 지능형 지속 공격(APT) • 취약점 • 침해사고 • 크래킹 • 크립토락커 • 크립토재킹 • 키로깅 • 트로이목마 • 패스워드 크래킹 • 페니스펜드 • 포맷스트링 공격 • 피니 공격 • 피싱 • 해커 • 해커원 • 해킹 • 혹스 • 화이트해커

개인정보보호	가명 • 개인정보 • 개인정보보호 • 개인정보보호법 • 성명 • 실명 • 유럽연합 일반개인정보보호법(GDPR) • 익명

양자보안	광자분리공격(PNS) • 복제 불가능성 원리 • 양자보안 • 양자암호 • 측정 후 붕괴

보안 솔루션	V1 • V3 • ZAP • 내PC지키미 • 노턴안티바이러스 • 디아모 • 랩스플러스 • 레드마인 • 레드캐슬 • 맥아피 • 버그질라 • 빅룩 • 빅룩와스 • 빅룩퓨저 • 샤크라 • 소나큐브 • 스패로우 • 스팸스나이퍼 • 시큐브토스 • 시큐어디비 • 아베스트 • 야스카 • 엔스토커 • 엔프로텍트 • 와플즈 • 웹필터 • 제큐어디비 • 제큐어웹 • 지라 • 카스퍼스키 • 파인드벅스 • 피엠디(PMD)

위키 : 인공지능, 개발, 자동차, 교통, 아시아, 세계, 산업, 기업, 단체, 업무, 생활, 지도, 블록체인, 암호화폐, 인물, 행사, 일반

위키원

이름공간

변수

보기

더 보기

검색

비밀

목차