Hugging Face 의 AI 인프라를 위한 비밀 관리 확장

지난 해, 엔지니어링 팀은 비밀과 인증서 관리 방식을 개선하기 시작했습니다. HashiCorp Vault 와 같은 도구를 평가한 후, 최종적으로 Infisical 을 선택했습니다.

이 사례 연구는 Infisical 로의 마이그레이션을 상세히 설명하고, 강력한 기능을 통합하는 방법을 설명하며, 엔지니어가 더 효율적이고 안전하게 작업할 수 있도록 어떻게 지원했는지 강조합니다.

Hugging Face 의 인프라가 AWS 만으로만 구성된 환경에서 Azure 와 GCP 를 포함한 멀티 클라우드 환경으로 진화함에 따라, 엔지니어링 팀은 더 민첩하고 안전하며 중앙 집중식인 비밀 관리 방식을 필요로 했습니다. HashiCorp Vault 와 같은 무거운 솔루션을 채택하거나 기존 시스템을 재설계하는 대신, 개발자 친화적인 워크플로우, 멀티 클라우드 추상화 및 강력한 보안 기능을 갖춘 Infisical 을 선택했습니다.

그들이 직면한 주요 도전 과제는 다음과 같습니다:

• 환경 간 일관되지 않은 관리로 인한 "비밀 사파 (secret sprawl)" 위험 증가.
• 팀이 확장함에 따라 복잡한 권한 관리가 필요했으며, 조직의 SSO (Okta) 와 통합된 엄격한 역할 기반 접근 제어 (RBAC) 가 요구되었습니다.
• 전통적인 .env 파일은 보안과 개발자 생산성을 모두 훼손하는 로컬 개발의 어려움.
• 수동 비밀 회전 부담이 최근 인증서 노출을 포함한 보안 사고 이후 더욱 명확해졌습니다.

또한, 팀은 인프라-as-code 관행을 준수하고, 프로젝트별 비밀 관리 지원하며, 배포 중 자동화와 수동 제어 사이의 원활한 균형을 제공해야 하는 솔루션을 필요로 했습니다.

Infisical 의 유연한 아키텍처는 이상적인 해결책이었습니다. 엔지니어링 팀은 내부 프로젝트 구조를 재검토할 기회를 잡았으며, 프로젝트를 별도의 인프라 및 애플리케이션 도메인으로 분리했습니다. 이는 명확한 관심사 분리와 비밀 회전 관행 표준화를 가능하게 했으며, 최근 보안 사고 이후 최우선 순위였습니다.

Terraform 을 활용하여 AWS 구성에서 Kubernetes 비밀을 생성하는 데 사용되던 경우, Infisical Kubernetes 오퍼레이터로의 전환은 매우 매끄러웠습니다. 이 통합은 모든 환경에 걸쳐 비밀 관리를 표준화하면서 보안 개선을 가능하게 했습니다.

Kubernetes 는 Hugging Face 의 프로덕션 환경의 중심이며, Infisical 의 Kubernetes 오퍼레이터는 비밀 업데이트 자동화에 핵심적인 역할을 했습니다. 오퍼레이터는 Infisical 의 모든 비밀 변경 사항을 지속적으로 모니터링하며, 이러한 업데이트가 해당 Kubernetes 객체로 전파되도록 보장합니다. 변경 사항이 감지되면 종속된 Deployments 를 자동으로 재로드하여 컨테이너가 항상 최신 비밀로 실행되도록 합니다.

예시:

Kubernetes 에서 실행 중인 애플리케이션에 새로운 비밀이 필요합니다. 이 비밀은 Infisical 의 CLI 또는 웹 UI 를 통해 생성할 수 있으며, 개발자는 InfisicalSecret 자원을 생성합니다:

apiVersion: infisical.com/v1alpha1
kind: InfisicalSecret
metadata:
...

CRD 가 적용되면, Infisical 오퍼레이터는 업데이트를 지속적으로 감시합니다. Infisical 에서 변경 사항이 감지되면, 오퍼레이터는 Kubernetes 비밀 (my-app-k8s-secret) 을 자동으로 업데이트합니다.

더욱 더 좋게, 애플리케이션의 Deployment 가 my-app-k8s-secret 를 환경 변수 소스 또는 마운트 볼륨으로 참조하므로, 오퍼레이터는 비밀이 변경될 때 컨테이너 재로드를 자동으로 트리거할 수 있습니다.

실제 운영 환경에서는 Hugging Face 엔지니어들은 Operator 가 자동으로 컨테이너 재시작을 트리거할 수 있음에도 불구하고, 수동 리디플로이 (manual redeployments) 를 기다리는 방식을 선호합니다. 이는 특히 트래픽이 매우 높고 (분당 1000 만 회 이상), 복제본 수가 많은 경우를 제외하고는 배포에 대한 정밀한 제어가 필요하기 때문입니다.

로컬 개발 환경에서는 Infisical 의 CLI 가 secrets 을 직접 개발 환경에 주입함으로써 워크플로우를 간소화합니다. 이는 불안전한 로컬 .env 파일의 필요성을 제거하여 로컬 설정을 프로덕션 표준과 일치시키고 온보딩 (onboarding) 마찰을 줄입니다.

보안 개선은 이 마이그레이션의 핵심을 이루고 있습니다. Okta 와 같은 기존 인증 제공자 (identity providers) 와 Infisical 을 통합함으로써 Hugging Face 는 세밀한 RBAC (Role-Based Access Control) 시스템을 구축했습니다. 권한은 Okta 그룹에서 자동으로 매핑되며, 개발자는 프로젝트에 대한 관리 권한을 유지할 수 있고 프론트엔드 및 백엔드 팀은 적절히 제한된 읽거나 쓰기 접근 권한을 받습니다.

또한, secrets 공유 기능은 Hugging Face 의 ML/AI 연구자들 사이에서 안전한 자격 증명 (credentials) 공유를 가능하게 합니다. 중앙집중식 Infisical 플랫폼은 이전 보안 사고에서 강조되었던 secrets 회전 (rotations) 관리와 감사 (auditing) 를 단순화합니다.

CI/CD 파이프라인과의 원활한 통합은 전체적인 보안 포지션을 더욱 강화했습니다. OIDC 인증과 Terraform 통합을 통해 GitHub Actions 을 사용하여 Infisical 을 배포 파이프라인에 통합했습니다. 안전한 환경 내에서 자체 호스팅 러너 (self-hosted runners) 를 운영함으로써 모든 배포는 프로덕션 등급의 보안 표준을 준수합니다. 이 통합 접근 방식은 리스크를 최소화하고 로컬 개발부터 클라우드 배포까지 일관된 경험을 보장합니다.

Infisical 과 secrets 관리 중앙집중화를 통해 구체적인 개선점이 나타났습니다:

• 엔지니어는 더 이상 귀중한 시간을 낭비하지 않고 환경 secrets 를 수동으로 구성할 필요가 없습니다. 셀프 서비스 워크플로우는 온보딩과 일상 개발 사이클을 가속화했습니다.
• 자동화된 감사와 세밀한 접근 제어는 신속한 사고 대응을 가능하게 하고 보안을 '왼쪽으로 이동 (shift left)'하는 접근 방식을 촉진했습니다.
• 클라우드 제공자, Kubernetes 클러스터, CI/CD 파이프라인 간의 일관된 통합은 secrets 관리의 불일치를 제거하여 인프라의 보안과 신뢰성을 강화했습니다.

Hugging Face 의 Infrastructure 책임자인 Adrien Carreira 는 다음과 같이 언급했습니다:

"Infisical 은 우리가 보안 포지션을 개선하고 엔지니어링 시간을 절약하기 위해 필요한 모든 기능과 보안 설정을 제공했습니다. 로컬에서 작업하거나, 프로덕션에서 Kubernetes 클러스터를 운영하거나, CI/CD 파이프라인 내에서 secrets 를 운영할 때, Infisical 은 원활한 사전 구축된 워크플로우를 제공합니다."

Hugging Face 의 Infisical 마이그레이션은 여러 클라우드 플랫폼에 걸쳐 secrets 을 관리하는 기술 중심의 엔지니어링 중심 접근 방식이 큰 혜택을 줄 수 있음을 보여줍니다. 유사한 문제를 해결하기 위해 Infisical 을 사용하는 것은 보안 강화를 유지하면서 더 효율적으로 작업할 수 있는 실용적인 방법입니다.

보안 경로가 가장 쉬운 경로로 만들 때, 팀은 secrets 를 관리하는 대신 혁신적인 제품을 구축하는 데 집중할 수 있습니다.

유사한 접근 방식을 채택하기感兴趣的 팀을 위한:

• Secure GitOps Workflows: A Practical Guide to Secrets Management
• Kubernetes Secrets Management in 2025 - A Complete Guide
• Platform Documentation
• CLI Reference

이 기술 사례 연구는 infisical.com/customers/hugging-face 에서 게시된 원래 사례 연구에서adapted되었습니다.