자동화 보안의 기초
① API 키는 코드에 박지 않는다
가장 흔한 사고. GitHub에 푸시한 코드에 키가 들어 있어서 해커가 줍는 사례가 매주 발생합니다. Make.com Connection 기능으로 캡슐화하세요.
② 운영용과 학습용을 분리
학습 중에는 진짜 운영 DB를 절대 건드리지 마세요. 별도의 sandbox 시트/계정을 따로 두는 것이 정석입니다.
③ 자동 삭제·자동 송금은 검수 단계 필수
“자동”이라는 단어가 매력적이지만, 되돌릴 수 없는 액션(삭제/송금)은 사람의 한 번 클릭이 들어가도록 설계하세요.
④ 외부 입력은 항상 검증
웹훅으로 들어온 데이터, 폼 제출 데이터는 무조건 화이트리스트 검증을 거쳐야 합니다.
⑤ 권한 최소화
API 토큰의 권한을 “필요한 최소”로 발급. 예: 조회만 필요하면 읽기 전용 키.
