VS Code拡張機能によるAPIキー漏洩を防ぐ方法

Context

IDE 확장 프로그램이 사용자 권한으로 파일 시스템에 직접 접근하는 구조적 특성으로 인한 Supply Chain Attack 위협 증대. .env 파일이나 하드코딩된 키가 로컬 워크스페이스에 Plain Text로 존재함에 따라 확장 프로그램 침해 시 인증 정보가 즉시 노출되는 한계 노출.

Technical Solution

• 파일 시스템 기반 시크릿 저장 방식에서 환경 변수 및 Secret Manager 중심의 런타임 주입 구조로 전환
• 개발/스테이징/운영 환경별 API Key 분리 및 물리적 네트워크 격리를 통한 Blast Radius 최소화
• 정적 API Key를 대체하는 Short-lived Token 도입으로 탈취된 인증 정보의 유효 기간 제한
• Least Privilege 원칙 기반의 Fine-grained Token 설계를 통해 권한 범위를 특정 API 수준으로 제한
• .gitignore를 보안 제어 도구가 아닌 단순 관리 도구로 정의하고, Git History 내 잔존 시크릿 제거를 위한 git filter-repo 적용
• 로컬 전용 값(Local-only values) 활용을 통해 팀 간 동기화 대상에서 시크릿을 제외하는 저장소 분리 설계