들어가며지난 #132 SBOM과 Sigstore에서 공급망 공격을 빌드·서명·정책 레이어에서 막는 방법을 다뤘습니다. 그 위에 마지막으로 남는 구멍이 하나 있습니다. 서명된 이미지가 런타임에 들고 있는 크리덴셜입니다.DB 비밀번호, API 키, OAuth 클라이언트 시크릿, 내부 시스템 토큰. 이것들이 application.yml·환경변수·Dockerfile ENV에 평문으로 박혀 있다면, 이미지 SBOM이 그대로 유출 경로가 됩니다. 2025년 Nx npm 토큰 유출도 결국은 CI 러너에 박혀 있던 장기 토큰이 원인이었습니다.오늘은 "코드와 이미지에서 시크릿을 완전히 분리하고, 런타임에만 주입받는" 표준 패턴을 Spring Boot + Kubernetes + AWS/Vault 맥락에서 정리합니다.1부 ..
