자체 자산 점검 사례

git 이력 속 활성 API 키 2종,
정기 점검에서 검출했습니다.

2026년 5월 정기 점검 중 발생한 자체 검증 사례입니다. 외부 악용이 발생하기 전 자체 검증을 통해 회피했습니다.

배경

정기 매주 점검 사이클 중 하나였습니다. 해당 자산은 지속적으로 개발 중인 서비스로, 수십 명의 커밋 이력이 누적되어 있었습니다.

현재 코드에는 시크릿이 없었습니다. 문제는 과거 커밋이었습니다.

발견 내용

P0

활성 API 키 (서비스 A)

6개월 전 커밋에 포함. 현재도 유효한 상태 확인. 즉시 폐기 필요.

P0

활성 API 키 (서비스 B)

2개월 전 커밋에 포함. 테스트용으로 추정되었으나 실제 프로덕션 키였음.

* 실제 서비스명 및 키 내용은 공개하지 않습니다.

Papurion이 수행한 과정

01

TruffleHog 실행

git history 전체를 대상으로 TruffleHog를 실행했습니다. 현재 파일뿐 아니라 삭제된 커밋까지 탐색합니다.

02

시크릿 검출

2종의 API 키가 검출되었습니다. 각각 다른 커밋에 포함되어 있었고, 하나는 6개월 전 push된 항목이었습니다.

03

활성 상태 검증

Papurion이 검출된 키의 활성 여부를 자동 검증했습니다. 2종 모두 실제 서비스에서 유효한 상태로 확인되었습니다.

04

AI 분류 및 권장 조치

Claude Opus가 두 항목을 모두 P0으로 분류했습니다. "즉시 키 폐기, 새 키 발급, git history rewrite 또는 공개 repo 전환 주의"를 한국어로 작성했습니다.

05

정리 완료

키 폐기 및 재발급에 30분이 소요되었습니다. 보고서 수신 후 당일 처리를 완료했습니다.

이 사례가 보여주는 것

현재 코드를 아무리 점검해도 git history는 남습니다. 시크릿이 한 번 push되면, 그 커밋이 삭제되지 않는 한 이력에 남아 있습니다.

정기 점검은 이 누적을 막습니다. 6개월 후 발견보다 매주 발견이 낫습니다.

Papurion은 이 점검을 자동화합니다. 사람이 수동으로 git log를 뒤지지 않고도 도구가 자동으로 결과를 정리합니다.

고객 사례

외부 고객 점검 사례는 NDA 및 고객 동의가 완료된 경우에 한해 공개합니다. 현재는 자체 자산 사례만 공개되어 있습니다. 고객 사례 공개에 동의하시는 경우 contact@papurion.com으로 연락 주십시오.

지금 시작하세요.

대시보드에서 바로 시작하세요. 기업용 도입은 영업팀에 문의해 주세요.

대시보드 시작 →영업팀 문의

contact@papurion.com · 영업일 24시간 이내 답장