피드로 돌아가기
How to Stop Leaking AWS Keys to GitHub (And What to Do When You Already Did)
Dev.toDev.to
Security

11분 내 GPU 탈취 방지를 위한 다층적 Secret Scanning 아키텍처

How to Stop Leaking AWS Keys to GitHub (And What to Do When You Already Did)

Alan West2026년 5월 20일6intermediate

AI 요약

Context

개발자의 실수나 Git History 내 잔존하는 Credential이 공공 저장소에 노출되는 보안 취약점 발생. 자동화 스캐너에 의한 즉각적인 AWS Key 탈취로 인해 단시간 내 대규모 인프라 비용이 청구되는 치명적 리스크 상존.

Technical Solution

  • Pre-commit Hook 도입을 통한 Local 단계의 Secret 유출 원천 차단
  • Gitleaks 기반의 정적 분석을 커밋 단계에 강제하여 잘못된 파일의 Staging 방지
  • GitHub Actions의 fetch-depth: 0 설정을 통한 전체 Git History 기반의 Server-side Scanning 구현
  • 유출 즉시 Credential Rotation을 우선 수행하여 공격자의 API 접근 권한 무력화
  • git-filter-repo를 활용한 History Rewriting으로 유출된 데이터의 물리적 완전 제거
  • IAM Role 및 OIDC Federation 기반의 Short-lived Credentials 전환으로 Blast Radius 최소화

실천 포인트

- .pre-commit-config.yaml에 gitleaks 훅 설정 적용 - CI/CD 파이프라인 내 Full History 스캔 설정(`fetch-depth: 0`) 확인 - 영구 Access Key 대신 IAM Identity Center 기반의 임시 자격 증명 도입 - .gitignore에 *.env, *.pem, .aws/ 등 민감 경로 사전 정의 - 사고 발생 시 'Credential Rotation -> CloudTrail 감사 -> History Purge' 순서 준수

태그

#IAM Role#Blast Radius#Git Hooks#Secret Scanning#OIDC
원문 읽기