AWS Secrets Manager – 1부: 기본 개념과 주요 기능

✅ Secrets Manager란?

AWS Secrets Manager는 데이터베이스 자격 증명, 애플리케이션 인증 정보, OAuth 토큰, API 키 및 기타 민감한 보안 정보를 안전하게 저장하고 주기적으로 교체할 수 있도록 도와주는 서비스입니다. 이를 통해 애플리케이션 코드에 하드코딩된 인증 정보 없이 , 런타임 시 동적으로 자격증명을 검색할 수 있어 보안 사고 위험을 크게 줄일 수 있습니다.

 

🔐 하드코딩 제거와 동적 조회

Secrets Manager를 사용하면 보안 자격 증명을 코드에 하드코딩할 필요 없이, 런타임 중 API 호출을 통해 필요한 시점에 자격증명을 가져올 수 있습니다. 이를 통해 코드 누출로 인한 자격 증명 유출 위험을 방지하고, 자격 증명을 주기적으로 교체하며, IAM 역할을 통해 최소 권한으로 접근을 제어할 수 있습니다.

 

🛡️ 보안 자격 증명의 자동 암호화

Secrets Manager에 저장되는 모든 보안 암호는 AWS Key Management Service(KMS)를 통해 자동으로 암호화됩니다.

대부분의 경우 AWS에서 관리하는 키인 aws/secretsmanager를 기본적으로 사용하며, 필요시 고객이 직접 관리하는 키(CMK)로 설정할 수도 있습니다. 또한 KMS 정책에서 kms:ViaService 조건을 사용해 Secrets Manager에서 오는 요청만 허용하는 것도 가능합니다.

🔁 보안 암호 교체 (Rotation)

Secrets Manager는 보안 자격 증명을 주기적으로 자동 교체할 수 있습니다. 최대 4시간 간격으로 교체가 가능하며, 단일 사용자 교체 방식 또는 대체 사용자 교체 방식을 선택할 수 있습니다. Amazon RDS, Aurora, Redshift 같은 일부 서비스는 Lambda 없이 교체가 가능하고, 그 외의 경우 Lambda 함수를 직접 구현하여 자동 교체를 구성할 수 있습니다.

※Tip. 교체가 활성화된 Secret은 “Rotation status: Enabled” 상태로 표시되며, 콘솔 또는 CLI로 확인 가능합니다.

 

⚡ Secrets 캐싱 (성능 향상 및 비용 절감)

Secrets Manager는 API 호출마다 요금이 발생하므로, SDK에서 제공하는 캐싱 기능을 사용하면 보다 효율적으로 보안 정보를 사용할 수 있습니다. Java, Python, .NET, Go, Rust 등 다양한 언어에서 캐싱 기능을 제공하며, Lambda나 ECS, EKS 같은 환경에서도 적용이 가능합니다.

 

🔍 AWS CodeGuru Reviewer와 통합

Secrets Manager는 AWS CodeGuru Reviewer와 연동되어, 코드 내에 하드코딩된 자격 증명(예: 비밀번호, DB 연결 문자열, 사용자 이름 등)을 자동으로 탐지할 수 있습니다. Java, Pyton 등 주요 언어에서 하드코딩된 보안 정보를 탐지하며, 해당 내용을 Secrets Manager로 이전하라는 권장 사항을 코드 리뷰 단계에서 확인할 수 있습니다. -> 추후 CodeGuru Reviewer 정리 예정

 

🔒 자격 증명 저장이 중요한 이유

하드코딩된 자격 증명 또는 민감한 정보가 노출되면 다음과 같은 문제가 발생할 수 있습니다.

• 민감 데이터에 대한 무단 접근
• 보안 감사 및 추적 어려움
• 개인정보보호법, GDPR, HIPAA 등 규정 준수 실패

Secrets Manager를 통해 이러한 자격 증명을 안전하게 저장하고 자동으로 교체함으로써, 보안 태세를 강화하고 규정 준수를 보다 쉽게 달성할 수 있습니다.

 

다음 2부 예고

다음 글에서는 다음 내용을 다룰 예정입니다:

• IAM 정책 및 리소스 기반 정책 구성
• aws:sourceVpc, blockPublicPolicy 조건을 활용한 접근 제어
• VPC Endpoint 기반 보안 강화
• 보안 암호 삭제 보호 및 복구
• 다중 리전 복제 전략