API 키를 코드에 하드코딩했다가 노출된 경험
개인 프로젝트를 깃허브에 올릴 때 API 키를 코드에 직접 써놓은 것을 모르고 push했습니다. 30분 후에 해당 서비스에서 이상한 요금 알림이 왔고, GitHub의 시크릿 스캔 경고도 받았습니다. 즉시 키를 재발급하고 커밋 히스토리에서 제거하는 작업을 진행했습니다.
git filter-branch로 히스토리를 지웠는데 이 과정에서 강제 push가 필요했습니다. 이후로는 `.env` 파일과 `.gitignore` 설정을 프로젝트 생성 첫 단계에서 하는 습관이 생겼습니다. 또한 git-secrets 같은 pre-commit 훅도 개인 프로젝트에 설치했습니다.
보안은 나중에 생각하면 이미 늦다는 것을 직접 경험했습니다.