AI 기반 Vibe Coding으로 인한 RLS 누락 및 150만 건의 토큰 유출 사례 분석

Context

AI 프롬프트 기반의 빠른 개발 주기(Vibe Coding) 도입으로 인한 구현 속도 향상 및 배포 가속화. 기능 구현의 'Happy Path'에만 집중한 결과, 데이터베이스 접근 제어 및 인증 체계와 같은 'Unhappy Path'의 보안 설계 누락.

Technical Solution

• Supabase Public API Key의 클라이언트 노출을 전제로 한 아키텍처 설계
• Database 계층의 Row-Level Security(RLS) 설정을 통한 사용자별 데이터 접근 권한 강제
• Frontend 코드 내 API Key 및 Secret의 직접 노출 배제 및 환경 변수 관리 체계 수립
• API Endpoint별 인증 요구 사항 정의 및 명시적 Public 선언을 통한 접근 제어
• Registration 및 Data Endpoint에 Rate Limiting 적용을 통한 무차별 대입 공격 방어
• Gitleaks 및 Snyk 등 자동화 도구를 통한 Credential 유출 및 의존성 취약점 사전 스캔