💣 개발자 디렉토리 노리는 해커들! .env랑 .git 파일이 왜 위험할까?

🤖 요즘 해커들이 노리는 타겟은?

최근 해커들이 .env나 .git 같은 개발 환경 설정 파일을 집중적으로 스캔하고 있다는 소식이 나왔어요.
특히 싱가포르와 미국의 클라우드 서버를 중심으로 무려 4,800개 IP에서 스캔이 발생했을 정도로 규모가 컸다고 해요.

이런 스캔 공격은 뭘 노릴까요?

• .env: 환경 변수 파일. 보통 여기에 DB 비밀번호, API 키, 비밀 토큰 같은 민감한 정보가 들어 있어요.
• .git: 개발 이력과 소스코드가 저장된 폴더. 잘못 노출되면 소스코드를 통째로 복구당할 수 있어요.

---

🧑‍💻 왜 이런 일이 생길까요?

코드를 배포할 때 실수로 개발용 디렉토리를 몽땅 업로드하는 경우가 많아요.
특히 AI 코드 생성기를 사용하는 '입문 개발자'들이 늘어나면서 이런 초보 실수가 증가하는 추세예요.

💡 예시:

scp -r ./my-app/ user@server:/var/www/html
# 👎 이러면 .env, .git 폴더까지 몽땅 업로드됨!

---

🧨 이런 실수의 위험성은?

GitGuardian의 보고서에 따르면, 2024년 한 해 동안 GitHub에 유출된 비밀 키가 3,900만 개나 된다고 해요.
그중 65%가 .env 파일에서 유출되었고, 대부분은 "설마 괜찮겠지" 하고 올린 비공개 저장소에서 나온 거예요.

하지만 비공개라도...

• 계정 해킹되면?
• 실수로 저장소 공개되면?
• 서버에 업로드하면 누구든 URL로 접근 가능하면?

이런 리스크는 언제든지 현실이 됩니다.

---

🧠 공격자들은 어떻게 악용할까?

1. .env 파일로부터 DB 접속 정보 탈취
2. Git 폴더로부터 전체 소스코드/커밋 이력 복구
3. 공개된 AWS 키로 클라우드 자원 탈취
4. 기업 내부 시스템 lateral movement까지 연결 가능

---

🛡️ 우리는 어떻게 대응해야 할까?

🔐 1. 비밀은 절대 코드에 넣지 말기

• .env, .json, .yaml 등 설정 파일은 .gitignore로 제외!

🔍 2. GitHub Push Protection 활성화

• GitHub에서 제공하는 비밀 탐지 도구를 꼭 켜세요!

📦 3. 전용 Secret Management 도구 사용

• HashiCorp Vault, AWS Secrets Manager 등 도구를 쓰는 것도 좋아요.

🔁 4. 주기적인 키 회전(rotate)

• 유출 가능성을 줄이려면 주기적으로 키와 토큰을 교체하세요.

📚 5. 개발자 보안 교육

• AI 툴이 코드를 짜줘도, 보안은 사람이 책임져야 해요.

---

🚨 잊지 마세요!

보안은 단 한 번의 실수로도 뚫립니다.
서버에 .env 파일 하나만 있어도, 해커는 그걸로 시작해 전체 시스템을 장악할 수 있어요.

"나는 잘 몰라서..." 대신, 지금부터라도 .env, .git, credentials.json 같은 파일은
서버에 올리지 않는 습관을 들이세요!

---

혹시 실수로 민감한 파일을 올린 적이 있다면?
👉 지금 당장 키 회전하고, 접근 기록을 확인하세요!