시드 스크립트 로그의 운영 정보 자동 마스킹으로 보안 강화

보안 스캔 자동화 시스템을 다시 점검하던 중, 기존 마스킹 규칙이 너무 성글다는 걸 깨달았다. 인프라 운영 관련 민감 정보가 로그나 시드 데이터에 노출될 여지가 있었고, 이걸 체계적으로 막기 위해 차단 룰을 한 단계 더 촘촘하게 만들기로 했다.

문제 인식: 운영 정보가 샐 수 있는 지점들

우리 팀이 대규모 데이터 작업을 할 때 주로 scripts/bulk_seed.py 같은 스크립트를 돌려서 환경별 초기 데이터를 세팅한다. 이 과정에서 자동으로 생성되는 로그나 덤프 파일들에는 예상보다 훨씬 많은 "내부 정책", "단계", "운영자" 같은 식별 정보가 들어간다.

처음엔 "이건 개발 환경 전용이니까 괜찮지 않나" 이렇게 생각했는데, 문제는:
- 로컬 머신에서 돌린 스크립트 결과가 팀 저장소나 슬랙에 붙여질 수 있다
- CI/CD 파이프라인 로그가 외부 모니터링 도구로 전달될 수 있다
- 개발자가 떠날 때 로컬 환경 정리 과정에서 실수로 노출될 수 있다

이런 시나리오를 생각하다 보니, 차단 규칙을 한 겹 더 씌우는 게 방어 깊이(defense in depth) 측면에서 필요하다는 판단이 섰다.

접근: 자동 차단 룰의 세분화

scripts/bulk_seed.py에 인프라 운영 관련 정보를 필터링하는 정규식 또는 패턴 매칭 로직을 추가했다. 예를 들어:

# 차단할 패턴 예시 (실제 정책 정보는 마스킹)
BLOCKED_PATTERNS = [
    r'(내부 정책).*?(\d+)',  # 특정 정책 코드
    r'(운영자|단계)\s*[:=]\s*\w+',  # 운영 단계/담당자 언급
    r'(서버|환경)\s*:\s*[a-z0-9\-_.]+'  # 환경 식별자
]

이렇게 하면 스크립트가 돌 때마다 자동으로 민감한 문자열을 감지해서 로그 출력 전에 교체하거나 제거할 수 있다. 개발자가 "아, 내가 조심해야지"라고 일일이 기억하는 것보다 훨씬 확실하다.

회고: 왜 이걸 디버그 단계에서 놓쳤나

처음 스크립트를 짤 때만 해도 "출력 내용은 우리가 통제할 수 있으니 괜찮지"라고 생각했다. 하지만 한 팀원이 슬랙에 테스트 결과를 캡처해서 붙이는 순간, 더 이상 "우리끼리만 보는 정보"가 아니 된다. 특히 온보딩 초기 단계의 개발자들은 "이게 민감한 정보인지" 판단하기 어렵다.

이건 흔한 패턴이다. 시스템이 복잡해지면서 데이터 흐름이 늘어나는데, 각 지점마다 "누가 이 정보를 본다"는 기준을 두고 필터를 둬야 한다는 뜻이다.

특히 스크립트처럼 "사람이 직접 실행하고 로그를 눈으로 보는" 작업의 경우, 자동화된 마스킹이 매우 효과적이다. 왜냐하면:
- 개발자가 "민감한 줄" 모르고 카피-페이스트해도 이미 마스킹됨
- CI 환경에서도 같은 규칙이 적용되므로 일관성 보장
- 향후 추가되는 민감 정보 패턴을 한 곳에서만 관리 가능

다음 단계

자동 차단 룰을 추가한 후엔 팀에 이 규칙이 뭔지 알려주고, 스크립트 문서에 "이런 정보들은 자동으로 마스킹됩니다"라는 명시도 필요하다. 또한 정기적으로 새로운 운영 정보가 로그에 노출되고 있지 않은지 감시하는 조용한 모니터링도 갖추면 좋다.

결국 보안은 "한 번의 큰 결정"이 아니라 이렇게 작은 자동화들이 쌓여서 만들어진다.