DEV Community

Cover image for Postman API 키 저장 및 수집 여부: 알아야 할 사항
Rihpig
Rihpig

Posted on • Originally published at apidog.com

Postman API 키 저장 및 수집 여부: 알아야 할 사항

요약

네, Postman은 기본적으로 클라우드 동기화가 활성화된 환경 변수에 API 키 및 기타 자격 증명을 저장합니다. Postman이 키를 오용한다는 뜻은 아니지만, 자격 증명이 제3자 서버에 저장된다는 의미입니다. 이러한 동작을 이해함으로써 Postman의 기본 설정이 조직의 보안 요구사항에 맞는지, Apidog와 같은 로컬 우선 도구가 더 적합한 선택일 때가 언제인지 판단할 수 있습니다.

지금 Apidog를 사용해 보세요

💡Apidog는 무료 올인원 API 개발 플랫폼입니다. Apidog는 환경 변수와 API 키를 기본적으로 로컬에 저장하므로, 팀 동기화를 명시적으로 활성화하지 않는 한 자격 증명은 귀하의 장치에 유지됩니다. 신용 카드 없이 Apidog를 무료로 사용해 보세요.

서론

"Postman이 내 API 키를 저장하나요?"라는 질문은 개발자 커뮤니티에서 자주 등장합니다. Reddit의 r/webdev, r/programming 등에서 보안 감사 결과나 보안 팀 요청으로 인해 이런 질문이 반복적으로 제기됩니다.

API 키는 서비스의 비밀번호와 같으므로, 결제 처리기나 클라우드 제공업체의 키가 유출되면 심각한 보안 사고로 이어질 수 있습니다. 개발 도구에 API 키를 저장하는 것은 해당 도구에 대한 신뢰를 확장하는 행위입니다.

대부분의 개발자는 API 키를 공개 저장소에 커밋하지 않지만, Postman과 같은 API 클라이언트 도구에 자격 증명을 저장할 때 데이터가 어디에 저장되는지 명확히 인지하지 못하는 경우가 많습니다. Postman 사용자 수만 해도 3천만 명이 넘습니다.

이 글에서는 Postman의 API 키 저장 동작을 기술적으로 설명하고, 개발자가 실무에서 할 수 있는 대처 방안을 제시합니다.

직접적인 답변: 네, 중요한 맥락과 함께

다음과 같은 경우 Postman은 API 키를 저장합니다.

  • 환경 변수를 사용할 때

    환경 변수(API_KEY 등)에 자격 증명을 저장하고, 클라우드 동기화가 활성화되어 있으면 해당 값이 Postman 클라우드 서버에 자동으로 저장 및 동기화됩니다.

  • 컬렉션 변수를 사용할 때

    컬렉션에 저장된 변수도 동일하게 동기화됩니다.

  • 전역 변수를 사용할 때

    전역 변수 역시 Postman 계정과 동기화됩니다.

  • 자격 증명이 요청 본문 또는 헤더에 포함된 경우

    예를 들어, 요청 헤더에 Authorization: Bearer sk-abc123...와 같이 직접 키를 넣고 컬렉션을 저장하면 이 값도 동기화됩니다.

  • 동기화되지 않는 예외

    Postman Vault에 저장된 값은 클라우드에 동기화되지 않고, 오직 로컬 저장소에만 남습니다. Vault를 사용하려면 직접 변수를 Vault에 저장해야 합니다.

“클라우드 동기화”의 실제 의미

Postman의 클라우드 동기화는 사용자의 워크스페이스 데이터가 Postman 서버에 지속적으로 백그라운드로 업로드됨을 의미합니다. 별도의 저장/동기화 버튼을 누를 필요 없이 모든 변경사항이 자동으로 클라우드에 반영됩니다.

장점은 작업 데이터의 영속성과 기기 간 동기화, 협업입니다. 하지만 이로 인해 로컬 앱에만 있다고 생각한 API 키가 실제로는 노트북과 Postman 클라우드 양쪽에 모두 존재하게 됩니다.

Postman은 이 데이터를 저장 시 AES-256, 전송 중에는 TLS로 암호화합니다. 그러나 암호화가 곧 무제한 안전을 의미하지는 않습니다. 서비스 제공을 위해 Postman이 복호화 및 접근 권한을 가지므로, 계정 침해(피싱, 비밀번호 유출 등) 시 API 키도 노출될 수 있습니다.

Postman의 개인정보 처리방침 요약

Postman의 개인정보 처리방침은 워크스페이스 콘텐츠에 대한 데이터 처리자(data processor) 역할임을 명시합니다. 즉, 서비스를 제공/개선하기 위해서만 데이터를 처리하며, 제3자에게 판매하지 않습니다.

  • 목적 제한

    워크스페이스 데이터는 서비스 제공/개선을 위해서만 사용

  • 하위 처리자

    인프라, 지원, 분석을 위해 제3자 서비스를 사용하며, 하위 처리자 목록을 공개

  • 정부 요청

    미국 법 집행기관의 요청(국가 안보 서한 포함)에 따라 데이터를 제공할 수 있음

  • 침해 통지

    데이터 침해 시 사용자에게 통지

  • 데이터 삭제

    계정 삭제 시 데이터도 삭제, 단 백업 보존 일정이 존재할 수 있음

조직의 보안 정책이 제3자 클라우드에 API 자격 증명 저장을 허용하는지 반드시 확인해야 합니다.

워크스페이스 가시성 측면

Postman의 워크스페이스는 공개(Public), 팀(Team), 비공개(Private)로 구분됩니다.

공개 워크스페이스는 인증 없이 누구나 접근할 수 있으며, 2023년 CloudSEK의 조사에 따르면 3만 개가 넘는 공개 워크스페이스에서 실제 API 키 및 자격 증명이 노출된 사례가 발견됐습니다.

워크스페이스를 잘못 공개 설정하면 클라우드 보안과 무관하게 자격 증명이 인터넷 전체에 노출될 수 있으므로, 워크스페이스 가시성 설정을 반드시 점검해야 합니다.

가장 위험한 대상

다음과 같은 경우 위험도가 높아집니다.

  • 프로덕션 자격 증명을 저장하는 경우

    실제 서비스의 API 키를 Postman에 입력하면, 해당 키가 클라우드에 저장됩니다.

  • 팀 워크스페이스의 접근 권한이 광범위할 때

    여러 명이 동일한 팀에 속해 있고, 광범위한 권한을 가진 경우 단일 계정 침해로 모두 노출될 수 있습니다.

  • 규제 산업(의료, 금융, 공공 등)에서 일하는 경우

    API 키 저장 위치에 규제가 있는 경우, 클라우드 저장은 규정 위반 소지가 있습니다.

  • 높은 권한의 API 키를 사용하는 경우

    관리자 권한, 클라우드 인프라, 결제 관련 키는 노출 시 피해가 극심합니다.

  • 계약직/컨설턴트가 클라이언트 키를 저장하는 경우

    개인 Postman 계정에 클라이언트의 자격 증명을 저장하면, 해당 키가 외부 제3자 서버에 존재하게 되어 클라이언트 보안에 위협이 됩니다.

Postman Vault의 구조와 한계

Postman Vault는 자격 증명을 로컬에만 저장하는 기능입니다.

사용방법:

  1. Vault에 값을 저장
  2. 요청에서 {{vault:variable_name}} 문법으로 참조

Vault에 저장된 값은 클라우드와 동기화되지 않아, API 키를 안전하게 로컬에만 보관할 수 있습니다.

한계점:

  • 기존 환경 변수 대신 Vault를 사용해야 하므로, 팀 전체의 워크플로우와 온보딩 문서가 변경되어야 함
  • 모든 팀원이 각자 로컬 Vault를 따로 설정해야 하며, 자격 증명이 팀 기능을 통해 공유되지 않음 (비밀 공유 메커니즘 필요)
  • 요청 헤더/본문에 직접 입력한 키, 컬렉션/전역 변수에 저장된 키는 Vault로 보호되지 않음

로컬 우선 도구 및 대안 모델

기본값의 차이

  • Postman: 클라우드 동기화가 기본적으로 활성화
  • Apidog: 동기화를 켜지 않는 한 데이터는 로컬에만 저장
    • 환경 변수 등은 SQLite 데이터베이스에 저장, 팀 동기화 미사용 시 API 키가 외부로 나가지 않음

구성 없이도 비밀을 안전하게 관리해야 하는 개발자라면 Apidog처럼 기본적으로 로컬 저장을 지향하는 도구가 효과적입니다.

Bruno

모든 데이터를 파일 시스템에 저장하며, 클라우드 옵션이 전혀 없습니다. 로컬 전용이 필수라면 완전한 대안이 될 수 있습니다.

실용적인 권장 사항

  • 현재 저장된 내용을 점검하세요

    Postman 환경에서 모든 변수(API 키, 토큰, 비밀번호 등)를 검토하여 어떤 자격 증명이 클라우드에 저장되어 있는지 파악합니다.

  • 자격 증명은 Postman Vault에 저장하세요

    꼭 필요할 경우에만 Vault를 사용하고, 팀 내 문서 및 온보딩 프로세스를 Vault 중심으로 업데이트하세요.

  • 권한이 제한된 테스트용 키 사용

    최소 권한/개발 환경 전용 API 키를 발급해 테스트에 사용하고, 운영/관리자 키는 절대 사용하지 마십시오.

  • 워크스페이스 가시성 검토

    자격 증명이 포함된 워크스페이스가 공개로 설정되어 있지 않은지 반드시 확인하고, 가급적 기본 비공개(Private)로 유지하세요.

  • 위협 모델을 고려하세요

    개인 프로젝트/테스트 등 중요하지 않은 경우에는 Postman의 기본 설정도 괜찮을 수 있습니다.

    그러나 프로덕션, 규제 대상, 클라이언트 작업 등에서는 추가 보안 절차(예: Vault, 로컬 우선 도구)를 권장합니다.

FAQ

Q. Postman이 내 API 키 또는 워크스페이스 데이터를 판매하나요?

A. 아니요. Postman의 개인정보 처리방침에 따르면 워크스페이스 콘텐츠를 판매하지 않으며, 서비스 제공/개선을 위해서만 사용합니다.

Q. 내 Postman 계정이 침해되면 공격자가 내 API 키를 얻을 수 있나요?

A. 네. 클라우드에 동기화된 환경 변수에 키가 저장되어 있다면 공격자가 접근할 수 있습니다.

→ 자격 증명은 Vault에 저장하고, Postman 계정에 MFA(다단계 인증)를 반드시 활성화하세요.

Q. Postman은 다단계 인증을 지원하나요?

A. 네. 인증 앱을 통한 MFA를 지원합니다. MFA를 활성화하면 계정 침해 위험이 크게 줄어듭니다.

Q. Postman Vault의 API 키는 안전한가요?

A. Vault에 저장된 키는 로컬에만 저장되고 클라우드로 동기화되지 않습니다. 로컬 PC가 침해되지 않는 한 안전합니다. 계정만 침해된 경우에는 Vault 데이터는 노출되지 않습니다.

Q. 어떤 클라우드 도구에도 API 키를 저장할 수 없다면 무엇을 사용해야 하나요?

A. Bruno는 클라우드 구성 요소가 아예 없는 옵션입니다. 로컬 모드의 Apidog도 모든 데이터를 장치에 저장합니다. 팀 협업이 필요하다면 Hoppscotch 자체 호스팅 혹은 Apidog 자체 호스팅으로 제3자 클라우드 의존 없이 운영할 수 있습니다.

Q. Postman 클라우드에서 API 키를 어떻게 제거하나요?

A. Postman 환경에서 자격 증명이 포함된 변수를 삭제하고, 필요하다면 Vault 참조로 변경하세요. 기록 동기화 데이터 등은 계정 설정 메뉴에서 워크스페이스 및 관련 데이터를 삭제해야 완전히 제거됩니다.

"Postman이 내 API 키를 수집하나요?"라는 질문에 대한 답변은, 기본 설정 및 일반적인 사용 패턴에서는 '네'입니다. 이는 Postman이 나쁜 제품임을 의미하지 않습니다. 민감한 자격 증명을 저장하기 전, 데이터 저장 모델을 이해하고, 보안 요구사항에 따라 적절하게 Vault 또는 대체 도구를 선택하세요.

Top comments (0)