CI/CD pipeline에서 secret을 어떻게 다루나요?

Question

Accepted Answer

CI/CD pipeline은 build와 deploy를 위해 **secret**(API key, deploy 자격 증명, 데이터베이스 비밀번호, token)이 필요합니다 — 하지만 이를 안전하지 않게 다루는 것은 심각한 위험입니다. 적절한 **secret 관리**는 pipeline 전체에서 자격 증명을 안전하게 유지합니다.

## 문제: secret은 절대 노출되어서는 안 됨

```text
pipeline은 자격 증명이 필요하지만, secret은 잘못 다루면 주요 보안 위험:
  ⚠️ secret을 코드, pipeline config 파일에 하드코딩하거나 Git에 commit하지 말 것
     (commit된 secret은 이력에 노출됨 — 나중에 "제거"해도)
  ⚠️ secret을 로그에 출력하지 말 것 (pipeline 로그는 보이거나 저장될 수 있음)
→ 유출된 CI/CD secret(deploy key, 클라우드 자격 증명)은 전체 시스템을 손상시킬 수 있음.
```

## 적절한 secret 처리

```text
✓ CI/CD 플랫폼의 SECRETS STORE 사용 — 암호화된 secret을 런타임에 env var로 주입
  (GitHub Actions Secrets, GitLab CI variables 등) — config 파일이 아님
✓ 전용 SECRETS MANAGER 사용 — HashiCorp Vault, AWS Secrets Manager 등
  (런타임에 secret을 가져옴; 중앙화, 감사, 회전 가능)
✓ pipeline에서 secret을 이름으로 참조; 플랫폼이 값을 안전하게 주입:
```

```yaml
# GitHub Actions: secret 참조 (저장소 설정에 암호화되어 저장)
steps:
  - run: ./deploy.sh
    env:
      API_KEY: ${{ secrets.API_KEY }}   # 안전하게 주입, 하드코딩 안 됨, 로그에서 마스킹
```

## 모범 사례

```text
✓ 최소 권한 — pipeline 자격 증명은 필요한 권한만 가져야 함
✓ 단기/임시 자격 증명 선호 (예: 클라우드 role을 맡기 위한 OIDC — 저장된
  장기 key가 전혀 없음)
✓ secret을 정기적으로 회전; 유출 시 즉시 회전
✓ 로그에서 secret 마스킹 (플랫폼이 저장된 secret에 대해 수행); secret 접근 감사
✓ 환경별로 secret 분리 (dev/staging/prod)
```

## 왜 중요한가

CI/CD pipeline에서 secret을 다루는 방법을 이해하는 것이 중요한 이유는, **secret 관리가 중요한 보안 관심사**이고 pipeline이 유출되면 전체 시스템을 손상시킬 수 있는 강력한 자격 증명을 다루므로 필수적인 보안 지식이기 때문입니다.

pipeline은 build와 deploy를 위해 secret(API key, deploy 자격 증명, 데이터베이스 비밀번호)이 필요하지만, 이를 잘못 다루는 것은 **심각하고 흔한 보안 위험**입니다.

근본 규칙 — **secret을 코드나 pipeline config에 하드코딩하지 말고, Git에 commit하지 말며**(나중에 "제거"해도 이력에 노출됨), **로그에 출력하지 말 것** — 을 이해하는 것이 필수적인데, 이러한 실수가 실제로 손상을 주는 자격 증명 유출을 일으키기 때문입니다(유출된 deploy key나 클라우드 자격 증명은 전체 시스템을 손상시킬 수 있음).

**적절한 secret 처리** — CI/CD 플랫폼의 **암호화된 secrets store** 사용(config에 저장하지 않고 런타임에 secret을 환경 변수로 주입), 전용 **secrets manager** 사용(중앙화되고, 감사되며, 회전 가능한 secret을 위한 Vault, AWS Secrets Manager), 그리고 secret을 이름으로 참조하여 플랫폼이 값을 안전하게 주입(그리고 로그에서 마스킹)하게 함 — 을 이해하는 것은 자격 증명을 안전하게 유지하기 위한 필수 실용 지식입니다.

**모범 사례** — **최소 권한**(pipeline 자격 증명이 필요한 권한만 가져 폭발 반경 제한), **단기/임시 자격 증명** 선호(클라우드 role을 맡기 위한 OIDC 같은, 장기 key를 전혀 저장하지 않음 — 현대 모범 사례), secret을 정기적으로 그리고 유출 시 즉시 **회전**, 환경별 secret 분리 — 를 이해하는 것은 성숙하고 안전한 pipeline 실천을 반영합니다.

CI/CD pipeline은 유출 시 시스템을 손상시킬 수 있는 강력한 자격 증명을 다루고, 적절한 secret 관리(secret을 하드코딩/commit/로깅하지 않기, secrets store/manager 사용, 최소 권한, 단기 자격 증명)가 심각한 침해를 방지하는 데 필수적이므로, CI/CD에서 secret을 다루는 방법을 이해하는 것은 안전한 pipeline 구축에 중요한 보안 핵심 지식입니다 — 자동화된 전달에서 실제로 손상을 주는 위험인 자격 증명 유출을 적절한 실천으로 방지하는 고위험 영역입니다.