API 키 보호: 악성 VS 코드 확장으로부터 안전하게 (opens in new tab)

2026년 5월 20일, GitHub은 공격자들이 약 3,800개의 내부 코드 저장소에서 데이터를 훔쳤다고 확인했습니다. 침입 경로는 GitHub 서버의 제로데이 취약점이 아니었습니다. 한 직원의 노트북에 설치된 오염된 VS Code 확장 프로그램이었습니다. 이 확장 프로그램은 개발자와 동일한 파일 시스템 권한으로 실행되었고, 접근 가능한 소스 코드, 구성 파일, 작업 공간의 자격 증명을 읽을 수 있었습니다. API 키를 보호하려면 결론은 단순합니다. 가장 약한 연결 고리는 클라우드가 아니라 개발자 머신과 그 위에서 실행되는 도구입니다. 오늘 Apidog 사용해 보기 요약 (TL;DR) 손상된 IDE 확장 프로그램이나 유출된 저장소로부터 API 키를 보호하려면 실제 자격 증명을 개발 도구가 읽을 수 있는 위치에 두지 않아야 합니다. 실행할 작업은 다음과 같습니다. 소스 코드와 커밋된 .env 파일에서 비밀 정보를 제거합니다. .gitignore를 보안 제어가 아니라 실수 방지 ...