시크릿 확산이란?

사전적 정의 (Dictionary Definition)

시크릿 확산(Secret Sprawl)은 API 키, 비밀번호, 인증 토큰, 인증서와 같은 민감한 자격 증명(Secrets)이 소스 코드 저장소, 설정 파일, CI/CD 파이프라인, 개발자 도구 등 정보 기술(IT) 인프라 전반에 걸쳐 무분별하게 배포 및 노출되는 현상을 의미합니다. 이는 주로 마이크로서비스 아키텍처(MSA)의 확산과 클라우드 네이티브 환경의 복잡성 증가로 인해 관리해야 할 자격 증명의 수가 급증하면서 발생하며, 중앙 집중식 관리 체계의 통제를 벗어나 보안 사각지대를 형성하는 주요 원인이 됩니다.

실무 사용 예시 (Practical Use Case)

개발자가 애플리케이션 개발 과정에서 외부 API와의 연동을 위해 소스 코드 내부에 인증 키를 직접 기입(Hardcoding)하고, 이를 그대로 버전 관리 시스템(Git)에 공유하여 외부로 유출되는 사례가 대표적입니다. 또한, 자동화된 배포 프로세스인 CI/CD 파이프라인의 설정값이나 로그 파일 내에 평문 형태로 자격 증명이 남게 되어 권한이 없는 사용자가 이를 확인하게 되는 상황에서도 시크릿 확산이라는 용어가 사용됩니다.

관련 단어 (Related Words)

• 시크릿 매니지먼트 (Secrets Management)
• 하드코딩된 자격 증명 (Hardcoded Credentials)
• 단일 실패 지점 (Single Point of Failure, SPOF)