VS Code Extension 취약점으로 인한 3,800개 내부 저장소 유출 및 API Key 관리 체계 분석

Context

클라우드 보안이 아닌 개발자 로컬 환경의 VS Code Extension 권한을 통한 Supply Chain Attack 발생. Extension이 개발자 권한으로 Workspace 내 .env 및 설정 파일을 무단 읽기 하여 내부 기밀 데이터가 외부로 유출된 상황.

Technical Solution

• Local File System 접근 권한을 가진 IDE Extension의 신뢰 모델 한계 인식 및 Zero Trust 기반 Secret 관리 체계 도입
• .gitignore를 보안 제어로 오해하는 설계 오류를 배제하고 Git History 내 잔존하는 Plain Text Secret 제거를 위한 git filter-repo 적용
• Hard-coded Key와 .env 파일 기반의 정적 관리를 지양하고 Local Environment Variable 및 전용 Secret Manager를 통한 런타임 주입 구조로 전환
• API Key의 유효 범위를 제한하는 Scoping 전략과 주기적인 Key Rotation 프로세스를 통해 유출 시 피해 반경(Blast Radius) 최소화
• Production Key의 개발 환경 진입을 원천 차단하고 Sandbox 전용 Key를 분리 운용하는 환경 격리 설계