요약
네, Postman은 기본값으로 클라우드 동기화가 활성화된 환경 변수에 API 키 및 기타 자격 증명을 저장합니다. 이것이 Postman이 키를 오용한다는 의미는 아니지만, 자격 증명이 제3자 서버에 존재한다는 것을 의미합니다. 이를 이해하면 Postman의 기본 설정이 보안 요구 사항에 맞는지, 그리고 Apidog와 같은 로컬 우선 도구가 더 나은 선택일 때를 결정하는 데 도움이 됩니다.
서론
"Postman이 내 API 키를 저장하나요?"라는 질문은 개발자 커뮤니티에서 정기적으로 나옵니다. Reddit의 r/webdev 또는 r/programming을 검색하면, 보안 감사 결과나 보안 팀과의 대화로 인해 촉발되어 똑같은 것을 묻는 개발자들의 스레드를 찾을 수 있을 것입니다.
이러한 우려는 정당합니다. API 키는 본질적으로 서비스의 비밀번호입니다. 결제 처리기의 API 키가 유출되면 사기성 청구가 발생할 수 있습니다. 클라우드 제공업체 키가 유출되면 무단 리소스 생성, 데이터 유출 또는 수만 달러의 청구서가 발생할 수 있습니다. 개발 도구에 이러한 키를 저장하는 개발자들은 해당 도구에 대한 신뢰를 확장하고 있는 것입니다.
대부분의 개발자는 API 키를 공개 GitHub 리포지토리에 커밋하지 않아야 한다는 것을 알고 있습니다. API 클라이언트 도구에 대한 인식은 더 낮습니다. Postman은 3천만 명 이상의 사용자를 보유하고 있으며, 이는 많은 개발자가 자격 증명이 어디로 가는지 완전히 이해하지 못한 채 도구에 자격 증명을 저장하고 있음을 의미합니다.
이 글은 API 키 저장 질문에 대한 직접적이고 기술적인 답변을 제공하고, 이에 대해 무엇을 할 수 있는지 설명합니다.
직접적인 답변: 네, 중요한 맥락과 함께
Postman은 다음 시나리오에서 API 키를 저장합니다:
환경 변수를 사용할 때. Postman의 환경 시스템은 요청에서 사용할 자격 증명을 저장하는 표준 방식입니다. `API_KEY`라는 환경 변수를 `sk-abc123...` 값으로 생성하면, 클라우드 동기화가 활성화되었을 때 해당 값이 Postman의 클라우드 서버에 동기화됩니다. 이것이 기본 동작입니다.
컬렉션 변수를 사용할 때. 컬렉션 수준에 저장된 변수도 동일한 방식으로 동기화됩니다.
전역 변수를 사용할 때. 전역 변수는 Postman 계정에 동기화됩니다.
자격 증명이 요청 본문 또는 헤더에 나타날 때. 요청 헤더에 자격 증명(예: `Authorization: Bearer sk-abc123...`)을 하드코딩하고 컬렉션을 저장하면, 해당 값이 동기화됩니다.
기본적으로 동기화되지 않는 것: Postman Vault에 저장된 값. Vault는 Postman의 클라우드에 명시적으로 동기화되지 않는 로컬 자격 증명 저장소입니다. 환경 변수 대신 수동으로 자격 증명을 저장해야 합니다.
“클라우드 동기화”가 실제로 의미하는 것
Postman에서 클라우드 동기화는 작업 공간 데이터의 복사본이 Postman 서버에 지속적으로 유지됨을 의미합니다. 이는 백그라운드에서 자동으로 발생합니다. "저장" 또는 "동기화"를 클릭할 필요가 없습니다. 작업하는 동안 변경 사항이 클라우드로 전파됩니다.
목적은 협업과 지속성입니다. 노트북이 고장 나도 Postman 클라우드에 있기 때문에 작업이 손실되지 않습니다. 기기를 변경하면 컬렉션과 환경이 계정에 동기화되어 따라옵니다.
보안상의 함의는 노트북의 앱에만 있다고 생각할 수 있는 API 키가 실제로는 두 곳, 즉 노트북과 Postman 클라우드에 모두 존재한다는 것입니다.
Postman은 이 데이터를 암호화합니다. 특정 방식은 저장 데이터에 대한 AES-256 암호화와 전송 중 데이터에 대한 TLS입니다. 이는 표준적이고 합리적인 암호화입니다. 키는 Postman 데이터베이스 어딘가에 평문으로 저장되어 있지 않습니다.
그러나 암호화가 접근 불가능을 의미하는 것은 아닙니다. Postman은 서비스를 제공하기 위해 데이터에 접근할 수 있습니다. Postman 계정이 침해되면(피싱, 자격 증명 스터핑 또는 Postman의 데이터 유출을 통해) 저장된 API 키는 접근 권한을 얻은 사람에게 잠재적으로 접근 가능합니다.
Postman의 개인정보 처리방침이 자격 증명에 대해 말하는 것
Postman의 개인정보 처리방침은 워크스페이스 콘텐츠에 대해 그들을 데이터 처리자(data processor)이지 데이터 관리자(data controller)가 아니라고 설명합니다. 그들은 서비스를 제공하기 위해 귀하의 데이터를 처리합니다. 그들은 귀하의 워크스페이스 콘텐츠를 제3자에게 판매하지 않습니다.
데이터 처리 문서의 주요 내용:
목적 제한. Postman은 워크스페이스 콘텐츠를 마케팅 또는 재판매가 아닌 서비스 제공 및 개선을 위해 사용한다고 명시합니다.
하위 처리자. Postman은 인프라, 지원 및 분석을 위해 제3자 서비스를 사용합니다. 이러한 하위 처리자는 서비스 제공의 일환으로 귀하의 데이터를 처리할 수 있습니다. Postman은 문서에 하위 처리자 목록을 게시합니다.
정부 요청. 미국 회사로서 Postman은 국가 안보 서한을 포함한 미국 법 집행 기관의 요청에 따릅니다. 미국 서버에 저장된 데이터는 법적 절차를 통해 강제될 수 있습니다.
침해 통지. Postman의 약관에는 보안 침해 통지 조항이 포함되어 있습니다. 귀하의 데이터가 침해에 연루된 경우, Postman은 계약상 귀하에게 통지해야 합니다.
데이터 삭제. 계정을 삭제하면 Postman은 귀하의 데이터를 삭제합니다. 백업 보존 일정은 다를 수 있습니다.
이는 B2B SaaS 회사의 일반적인 정책입니다. 나쁜 의도를 나타내는 것은 아닙니다. 문제는 조직의 보안 정책이 API 자격 증명을 제3자 클라우드 서비스에 저장하는 것을 허용하는지, 그리고 Postman이 실제로 하는 일에 대해 해당 정책을 검토했는지 여부입니다.
워크스페이스 가시성 측면
클라우드 동기화 외에도 Postman의 API 키 위험에는 워크스페이스 가시성이라는 두 번째 측면이 있습니다.
Postman 워크스페이스는 공개(Public), 팀(Team), 또는 비공개(Private)일 수 있습니다. 공개 워크스페이스는 인증 없이 누구에게나 접근 가능합니다. Postman의 공개 API 네트워크에서 검색할 수 있습니다.
2023년에 CloudSEK 연구원들은 실제 API 키, 토큰 및 기타 자격 증명을 포함하는 30,000개 이상의 공개 Postman 워크스페이스를 발견했습니다. Razorpay 및 New Relic을 포함한 회사들은 공개 워크스페이스에 민감한 자격 증명을 가지고 있었습니다. 노출은 침해로 인한 것이 아니었습니다. 개발자들이 동일한 워크스페이스에 실제 자격 증명이 환경 변수에 저장되어 있다는 것을 깨닫지 못한 채 워크스페이스를 공개로 설정했기 때문이었습니다.
이것이 두 번째이자 별개의 위험입니다. Postman의 클라우드 보안을 신뢰하더라도, 워크스페이스 가시성을 잘못 구성하면 자격 증명이 전체 인터넷에 노출될 수 있습니다.
가장 위험한 대상
모든 개발자가 Postman의 자격 증명 처리로 인해 동일한 수준의 위험에 직면하는 것은 아닙니다. 다음의 경우 위험이 더 높습니다:
Postman에 프로덕션 자격 증명을 저장하는 경우. 프로덕션 키로 프로덕션 API에 대해 테스트한다는 것은 프로덕션 자격 증명이 Postman 클라우드에 있다는 의미입니다. 이는 일반적이며 실제로 위험합니다.
팀 워크스페이스에 광범위한 접근 권한이 있는 경우. 50명 회사 전체가 모든 워크스페이스에 접근할 수 있는 동일한 Postman 팀에 속해 있다면, 단일 계정 침해로 모든 자격 증명이 노출됩니다.
규제 산업에서 일하는 경우. 의료, 금융, 정부 및 방위 조직은 특정 데이터가 저장될 수 있는 위치에 대한 명시적인 규칙을 가지고 있는 경우가 많습니다. PHI 또는 금융 데이터를 보유한 시스템에 접근 권한을 부여하는 API 키를 제3자 클라우드에 저장하는 것은 이러한 규칙을 위반할 수 있습니다.
API 키에 높은 권한이 있는 경우. 공개 API에 대한 읽기 전용 키는 위험이 낮습니다. 클라우드 인프라 또는 결제 처리기를 위한 관리자 키는 위험이 높습니다. 노출의 결과는 키의 권한 수준에 따라 달라집니다.
계약직 또는 컨설턴트인 경우. 클라이언트 API 자격 증명을 개인 Postman 계정에 저장한다는 것은 클라이언트 자격 증명이 개인 계정에 연결된 제3자 서버에 존재한다는 의미입니다. 해당 계정이 침해되면 클라이언트 보안이 위험해집니다.
Postman Vault가 상황을 바꾸는 방식
이러한 우려를 해결하기 위해 도입된 Postman Vault는 자격 증명 값을 사용자 기기에 로컬로 저장합니다. Vault의 값은 Postman 클라우드와 동기화되지 않습니다. 요청에서 `{{vault:variable_name}}` 구문을 사용하여 참조합니다.
이는 의미 있는 보안 개선입니다. Vault에 저장된 API 키는 Postman 서버에 없습니다.
제한 사항: 의도적인 행동 변화가 필요합니다. 개발자들은 환경 변수에 대한 수년간의 습관적인 기억을 가지고 있습니다. Vault는 각 팀원이 자신의 로컬 Vault를 설정해야 하며, 이는 자격 증명이 Postman의 팀 기능을 통해 공유되지 않음을 의미합니다. 팀원 온보딩을 위한 별도의 비밀 공유 메커니즘이 필요합니다.
Vault는 또한 요청 헤더 또는 본문에 직접 나타나는 자격 증명, 또는 컬렉션 및 전역 변수에 있는 자격 증명을 다루지 않습니다.
로컬 우선 도구 및 대체 모델
로컬 우선 도구의 근본적인 차이는 기본값에 있습니다. Postman의 경우 클라우드 동기화는 사용자가 끄지 않는 한 켜져 있습니다(그때도 자격 증명에는 특히 Vault가 필요합니다). Apidog의 경우 사용자가 동기화를 켜지 않는 한 데이터는 로컬에 유지됩니다.
Apidog의 환경 변수는 사용자 기기의 로컬 SQLite 데이터베이스에 저장됩니다. 사용자의 명시적인 조치 없이는 어디로도 동기화되지 않습니다. 팀 동기화를 활성화하지 않으면 API 키는 사용자 기기를 떠나지 않습니다.
구성 없이도 비밀을 안전하게 처리할 도구가 필요한 개발자에게는 이것이 의미 있는 차이입니다. Vault에 대해 알거나 구성하고 전체 팀에 사용법을 교육할 필요가 없습니다. 안전한 동작이 기본 동작입니다.
Bruno는 이를 더욱 발전시켜 모든 것을 파일 시스템의 파일에 저장합니다. Apidog와 같은 클라우드 옵션은 전혀 없습니다. 로컬 전용이 필수 요구 사항이라면 Bruno는 이 질문을 완전히 없애줍니다.
실용적인 권장 사항
현재 저장된 내용을 감사합니다. Postman 환경을 열고 모든 변수를 검토하세요. API 키, 토큰, 비밀번호, 비밀을 찾으세요. Postman 클라우드에 무엇이 있는지 아세요.
자격 증명에 Postman Vault를 사용하세요. Postman에 남아 있어야 하는 자격 증명은 Vault로 마이그레이션하세요. 팀의 문서 및 온보딩 프로세스를 업데이트하세요.
테스트에는 범위가 제한되고 권한이 제한된 키를 사용하세요. 최소한의 필수 권한을 가진 개발 및 테스트 전용 API 키를 생성하세요. 테스트 키가 유출되더라도 영향은 제한됩니다. 개발 도구에서 관리자 또는 프로덕션 키를 절대 사용하지 마세요.
워크스페이스 가시성을 검토하세요. 자격 증명이 있는 워크스페이스가 공개로 설정되어 있지 않은지 확인하세요. 모든 워크스페이스는 기본적으로 비공개로 설정하세요.
위협 모델을 고려하세요. 개인 프로젝트 및 중요하지 않은 API의 경우 Postman의 현재 설정은 아마 괜찮을 것입니다. 프로덕션 자격 증명, 규제 대상 데이터 또는 클라이언트 작업의 경우 Postman으로 보안을 달성하기 위한 추가 단계는 로컬 우선 도구를 사용하여 피하는 것이 더 쉬울 수 있습니다.
FAQ
Postman이 내 API 키 또는 워크스페이스 데이터를 판매하나요?아니요. Postman의 개인정보 처리방침은 사용자 워크스페이스 콘텐츠를 판매하지 않는다고 명시합니다. 그들은 서비스를 제공하고 개선하기 위해 사용합니다.
내 Postman 계정이 침해되면 공격자가 내 API 키를 얻을 수 있나요?네, 클라우드에 동기화되는 환경 변수에 키가 저장되어 있다면 그렇습니다. 이것이 자격 증명에 Postman Vault를 사용하고 Postman 계정에 다단계 인증을 활성화하는 것이 모두 중요한 이유입니다.
Postman은 다단계 인증을 지원하나요?네. Postman은 인증 앱을 통한 MFA를 지원합니다. MFA를 활성화하면 계정 침해 위험을 크게 줄일 수 있습니다.
Postman Vault의 API 키는 안전한가요?Postman Vault에 저장된 키는 로컬에 저장되며 Postman 클라우드와 동기화되지 않습니다. 사용자의 로컬 기기와 마찬가지로 안전합니다. 기기가 침해되면 Vault 내용에 접근할 수 있습니다. 하지만 Postman 또는 사용자의 기기를 침해하지 않고 Postman 계정을 침해한 사람에게는 접근할 수 없습니다.
어떤 클라우드 도구에도 API 키를 저장할 수 없다면 무엇을 사용해야 하나요?Bruno는 클라우드 구성 요소가 전혀 없는 가장 엄격한 옵션입니다. 로컬 모드의 Apidog는 모든 것을 장치에 저장합니다. 클라우드 도구가 전혀 없는 팀 환경의 경우 Hoppscotch 자체 호스팅 또는 Apidog 자체 호스팅을 통해 제3자 클라우드에 의존하지 않고 협업할 수 있습니다.
Postman 클라우드에서 API 키를 어떻게 제거하나요?Postman 환경으로 이동하여 자격 증명이 포함된 변수를 삭제하고 Vault 참조로 대체하세요. 기록 동기화 데이터를 제거하려면 Postman 계정 설정에서 워크스페이스와 관련 데이터를 삭제해야 합니다.
"Postman이 내 API 키를 수집하나요?"라는 질문에 대한 답변은 기본 설정 및 일반적인 사용 패턴에서는 '네'입니다. 이것이 Postman을 나쁜 제품으로 만드는 것은 아닙니다. 민감한 자격 증명을 저장하기 전에 데이터 모델을 이해하고, 보안 요구 사항에 따라 Vault 또는 대체 도구를 사용해야 한다는 것을 의미합니다.