시크릿
Secret Sprawl이란?
동의어: 시크릿 스프롤 · 시크릿 확산 · 시크릿 산재 · 크리덴셜 확산 · Credential Sprawl · Secrets Sprawl
자격증명, API 키, 토큰이 코드 리포, CI 시스템, 환경 변수 저장소, 채팅, 위키, 문서에 흩어져 있고 단일 인벤토리나 소유권 기록이 없는 상태. 복사본이 몇 개 있는지 파악이 안 되어 하나의 값을 교체하는 데도 비용이 크게 듭니다. 2026년 4월 Vercel 환경변수 노출, 같은 달 Bitwarden CLI npm 공급망 사고가 시크릿 스프롤이 만들어낸 전형적 결과입니다.
시크릿 카테고리의 다른 용어
- Credential시스템에 신원을 증명하는 비밀값. 비밀번호, API 키, OAuth 토큰, TLS 개인키, SSH 키, JWT 등이 모두 해당합니다. NHI 보안 맥락에서 "크리덴셜"은 보통 사람 비밀번호가 아닌 기계 간 인증 시크릿을 가리킵니다. 운영 현장에서는 "시크릿(secret)"과 혼용됩니다.
- Secret Scanning코드 리포, CI 로그, 컨테이너 이미지, SaaS 문서, 채팅 기록 등에서 우발적으로 커밋된 자격증명을 자동으로 탐지하는 과정. 현대 시크릿 스캐닝은 단순 정규식(노이즈가 많음)을 넘어 엔트로피 분석, 문맥 파싱, 제공자별 validator로 유출된 키가 실제 살아 있는지 검증한 후 알람을 냅니다. Cremit Argus는 공개·비공개 코드와 SaaS 표면 전반에서 이를 수행합니다.
- Credential Leakage자격증명이 접근 권한 없는 사람에게 우발적으로 노출되는 사건. 공개 리포에 커밋된 API 키, 로그에 찍힌 토큰, Slack에 붙여넣어진 시크릿, 클라이언트 JS 번들에 포함된 .env 파일 등이 해당합니다. Secret Sprawl(인벤토리 문제)과 달리, 노출은 즉각 로테이션과 스코프 검토, 로그 포렌식이 필요한 실시간 사건입니다.