OIDC 기반 인증 설계: GitHub Actions, EKS, Cloud Provider 연동

GitHub Actions에서 AWS에 배포할 때 Access Key를 Repository Secret에 저장하고 있다면, 그 Key는 누가 마지막으로 교체했는지, 어떤 권한이 붙어 있는지 확인해볼 필요가 있습니다. 팀원이 퇴사해도 Key는 남아 있고, 유출되면 교체할 때까지 무제한으로 사용됩니다. OIDC(OpenID Connect)는 이 문제를 구조적으로 해결합니다. 장기 자격 증명을 저장하지 않고, 실행 시점에 단기 토큰을 발급받아 사용하는 방식입니다.핵심 요약OIDC 기반 인증은 장기 자격 증명(Access Key, Service Account Key) 자체를 제거하여 유출 위험을 구조적으로 줄입니다.GitHub Actions, EKS Pod, GKE Pod 모두 동일한 원리로 동작합니다: 워크로..

GitHub Actions와 Jenkins 차이: CI/CD 도구 선택 기준

CI/CD 도구를 선택할 때 "Jenkins가 레거시니까 GitHub Actions로 가자"라는 판단은 위험합니다. 팀 규모, 빌드 볼륨, 보안 요구사항, 운영 역량에 따라 적합한 도구가 다릅니다. 이 글에서는 두 도구의 구조적 차이를 분석하고, 상황별 선택 기준을 정리합니다.핵심 요약GitHub Actions는 GitHub과 통합된 SaaS CI/CD 서비스로, 별도 인프라 운영 없이 시작할 수 있습니다.Jenkins는 자체 호스팅 오픈소스 CI/CD 서버로, 높은 유연성과 커스터마이징이 가능하지만 운영 부담이 있습니다.소규모 팀이 GitHub을 사용하고 있다면 GitHub Actions가 대부분 적합합니다.빌드 볼륨이 크거나 네트워크 격리 요구사항이 있다면 Jenkins가 비용/보안 측면에서 유리할 ..

CI/CD 파이프라인을 구축했지만, 보안 검증 없이 빌드와 배포만 자동화하고 있다면 — 공격자에게 자동으로 문을 열어주는 파이프라인을 운영하는 셈입니다. DevSecOps는 보안을 파이프라인의 마지막 관문이 아니라 모든 단계에 내장하는 접근 방식입니다.핵심 요약DevSecOps는 DevOps 워크플로우에 보안을 자동화하여 통합하는 문화이자 실천 방법입니다. 도구 하나를 추가하는 것이 아니라 개발-보안-운영의 협업 구조를 바꾸는 것입니다.Shift Left 원칙: 보안 검증을 배포 직전이 아니라 코드 작성 시점부터 적용합니다. 늦게 발견할수록 수정 비용이 급격히 증가합니다.파이프라인 보안 자동화의 핵심 단계는 SAST(정적 분석), SCA(의존성 검사), 컨테이너 이미지 스캔, Secret 탐지, DAST..

GitHub Actions 워크플로우에 AWS Access Key를 하드코딩해서 Push한 적이 있다면, 이미 한 번은 위험에 노출된 적이 있습니다. 워크플로우 파일은 Git 히스토리에 남고, Fork된 저장소에서도 보입니다. 이 글에서는 CI/CD 파이프라인에서 인증 정보를 안전하게 다루는 방법을 단계별로 정리합니다.핵심 요약GitHub Actions Secret은 저장 시 libsodium sealed box로 암호화되며, 로그에 출력되면 자동으로 ***로 마스킹됩니다.Secret의 범위는 Repository, Environment, Organization 3단계로 나뉘며, 최소 권한 원칙에 따라 가장 좁은 범위를 선택해야 합니다.Environment Secret에 보호 규칙(Required Revi..

코드를 Push하면 Docker 이미지가 자동으로 빌드되고, 테스트를 통과한 뒤 프로덕션에 배포됩니다. 이 흐름을 GitHub Actions로 구성하는 방법을 단계별로 설명합니다. 단순히 "돌아가는" 파이프라인이 아니라, 캐싱으로 빌드 시간을 줄이고, OIDC로 보안을 강화하고, 이미지 스캔으로 취약점을 차단하는 운영 수준의 워크플로우를 만듭니다.핵심 요약GitHub Actions에서 Docker 이미지를 빌드하려면 docker/build-push-action을 사용합니다. BuildKit 기반으로 Multi-platform 빌드와 레이어 캐싱을 지원합니다.AWS ECR에 Push할 때는 OIDC 인증을 사용하면 장기 Access Key 없이 임시 자격 증명으로 접근할 수 있습니다.레이어 캐싱(cache..

CI/CD 파이프라인은 코드 변경이 발생했을 때 빌드, 테스트, 배포를 자동으로 실행하는 워크플로우입니다. 수동 배포의 실수와 지연을 줄이고, 코드 품질을 일관되게 유지하는 것이 핵심 목적입니다.핵심 요약CI(Continuous Integration)는 코드 변경을 자주 통합하고, 빌드와 테스트를 자동 실행하는 프로세스입니다.CD는 Continuous Delivery(수동 승인 후 배포)와 Continuous Deployment(자동 배포)로 구분됩니다.파이프라인의 기본 단계는 Source → Build → Test → Deploy이며, 조직에 따라 보안 스캔, 승인 게이트 등이 추가됩니다.도구 선택보다 "어떤 단계에서 무엇을 검증할 것인가"를 먼저 설계하는 것이 중요합니다.파이프라인 실패 시 빠른 피드..