환경변수란 무엇인가 – 서버에서 비밀번호를 코드에 넣으면 안 되는 이유

목차

1. 코드에 비밀번호를 직접 쓰면 생기는 일
2. 환경변수란 무엇인가?
3. 리눅스에서 환경변수 사용하는 방법
4. .env 파일로 환경변수 관리하기
5. 환경변수를 절대 GitHub에 올리면 안 되는 이유
6. 서비스별 환경변수 설정 방법
7. 정리 및 다음 단계

1. 코드에 비밀번호를 직접 쓰면 생기는 일

개발을 처음 배울 때 아래처럼 데이터베이스 비밀번호를 코드에 직접 넣는 경우가 많습니다.

 

 

const db = mysql.connect({
  host: 'localhost',
  user: 'root',
  password: 'mypassword123'
});

이 코드를 GitHub에 올리면 공개 저장소라면 전 세계 누구나 비밀번호를 볼 수 있습니다. 비공개 저장소라도 실수로 공개로 바꾸는 순간 노출됩니다. 실제로 GitHub에 올라간 AWS 액세스 키나 데이터베이스 비밀번호가 수분 내에 악용되는 사례가 빈번하게 발생합니다.

이 문제를 해결하는 방법이 바로 환경변수입니다.

2. 환경변수란 무엇인가?

**환경변수(Environment Variable)**는 운영체제 수준에서 저장되는 키-값 쌍의 변수입니다. 프로그램이 실행될 때 이 변수를 읽어서 사용할 수 있기 때문에, 민감한 정보를 코드에 직접 쓰지 않고 외부에서 주입할 수 있습니다.

쉬운 비유로 설명하면, 환경변수는 배우가 대사를 말하기 전에 스태프에게 전달받는 쪽지와 같습니다. 대본(코드)에는 "비밀번호 입력" 자리만 표시해두고, 실제 비밀번호는 공연 직전 별도로 전달받는 방식입니다.

3. 리눅스에서 환경변수 사용하는 방법

현재 설정된 모든 환경변수를 확인하려면 아래 명령어를 사용합니다.

 

 

printenv

특정 환경변수 값만 확인할 때는 변수명 앞에 $를 붙입니다.

 

 

echo $HOME

환경변수를 현재 세션에만 임시로 설정할 때는 export를 사용합니다. 터미널을 닫으면 사라집니다.

 

 

export DB_PASSWORD=mypassword123

영구적으로 설정하려면 ~/.bashrc 파일을 열어 맨 아래에 추가합니다.

 

 

sudo nano ~/.bashrc

파일 안에 아래와 같이 작성하고 저장합니다.

 

 

export DB_PASSWORD=mypassword123
export DB_HOST=localhost

저장 후 변경 사항을 즉시 적용합니다.

 

 

source ~/.bashrc

4. .env 파일로 환경변수 관리하기

여러 개의 환경변수를 관리할 때는 .env 파일을 사용하는 것이 일반적입니다. 프로젝트 루트 디렉토리에 .env 파일을 만들고 아래와 같이 작성합니다.

 

 

DB_HOST=localhost
DB_USER=root
DB_PASSWORD=mypassword123
DB_NAME=myapp
SECRET_KEY=mysecretkey
AWS_ACCESS_KEY=AKIAXXXXXXXX

Node.js에서는 dotenv 패키지를 사용해 .env 파일을 읽어옵니다.

 

 

require('dotenv').config();
const dbPassword = process.env.DB_PASSWORD;

이렇게 하면 코드 어디에도 실제 비밀번호가 들어가지 않습니다.

5. 환경변수를 절대 GitHub에 올리면 안 되는 이유

.env 파일에 민감한 정보를 모아뒀다면, 이 파일이 GitHub에 올라가지 않도록 반드시 .gitignore 파일에 추가해야 합니다. .gitignore 파일에 아래 줄을 추가합니다.

 

 

.env
.env.local
.env.production

이미 GitHub에 .env 파일을 올렸다면 단순히 파일을 삭제한다고 해결되지 않습니다. Git은 커밋 히스토리를 보존하기 때문에, 이전 커밋을 통해 내용을 볼 수 있습니다. 이 경우 해당 비밀번호와 키를 즉시 변경해야 합니다.

6. 서비스별 환경변수 설정 방법

systemd로 관리하는 서비스에 환경변수를 주입할 때는 서비스 파일을 편집합니다.

 

 

sudo systemctl edit 서비스명

편집기가 열리면 아래 형태로 추가합니다.

 

 

[Service]
Environment="DB_PASSWORD=mypassword123"
Environment="SECRET_KEY=mysecretkey"

AWS를 사용한다면 Parameter Store나 Secrets Manager를 활용하면 환경변수를 더 안전하게 저장하고 관리할 수 있습니다. 팀 단위 프로젝트라면 이런 클라우드 서비스를 활용하는 것이 더 안전합니다.

7. 정리 및 다음 단계

오늘 배운 핵심을 정리합니다.

• 환경변수는 코드 외부에서 민감한 정보를 프로그램에 전달하는 방법입니다.
• 데이터베이스 비밀번호, API 키 같은 민감한 정보는 절대 코드에 직접 써서는 안 됩니다.
• .env 파일에 환경변수를 모아 관리하고, 반드시 .gitignore에 추가해 GitHub에 올라가지 않도록 합니다.
• 이미 GitHub에 올렸다면 해당 비밀번호와 키를 즉시 변경해야 합니다.

다음 글에서는 리눅스 프로세스 백그라운드 실행 방법 – nohup과 & 차이를 알아보겠습니다.