패킷 캡처·kubeconfig 공유 전 시크릿 노출 체크리스트

기본 점검 순서

1. pcap을 공유하기 전 내부 IP, DNS query, host name, cookie, Authorization header, payload 포함 여부를 확인합니다.
2. kubectl context와 namespace를 명령 실행 전에 확인하고, production cluster에는 별도 read-only 권한을 사용합니다.
3. kubeconfig, service account token, client certificate, cloud credential이 문서·채팅·이슈에 첨부되지 않도록 제외합니다.
4. Zero Trust/WARP/Tailscale 환경의 private route, MagicDNS, device name, user identity가 캡처에 남을 수 있음을 고려합니다.
5. 외부 벤더에게 전달할 때는 packet slice, sanitized log, 재현 단계 중심으로 최소 정보만 전달합니다.
6. 문제 해결 후 임시 RBAC, debug pod, port-forward, capture file, 공유 링크를 회수합니다.

주의할 점과 운영 팁

• pcap은 화면 캡처보다 훨씬 많은 인증·내부망 정보를 담을 수 있습니다.
• kubectl의 현재 context 착각은 단순 조회보다 apply/delete 사고로 이어질 수 있습니다.
• Authorization 헤더와 cookie는 일부 도구 화면에서 숨겨도 원본 pcap에는 남아 있습니다.
• 내부 DNS 이름과 IP 대역도 공격 표면 정보입니다.
• 외부 지원 요청에는 원본 kubeconfig 대신 재현 가능한 오류 메시지와 redacted 로그를 우선 사용하세요.

관련 공식 다운로드 안내

자주 묻는 질문