소프트웨어 보안 사고의 통계를 보면 "암호화 알고리즘이 깨졌다"는 사례는 거의 없는 반면, "비밀번호·API 키·DB 자격증명이 코드 저장소에 평문으로 커밋됐다"는 사례는 매주 어디선가 일어난다. GitHub의 자체 통계에 따르면 2023년 한 해 동안 공개 저장소에 노출된 시크릿이 1,250만 건이 넘었고, 그 중 91%가 24시간 내에 봇에 의해 자동 수집됐다. 즉 시크릿은 "노출되는 즉시 탈취된다"고 가정하는 게 현실적이다.
이 문제에 대한 클라우드 시대의 답이 중앙 시크릿 매니저 다. 비밀을 코드·환경변수·설정 파일에 박지 말고 별도 서비스에 저장하고, 애플리케이션이 시작할 때 IAM 권한으로 가져오게 한다. 그러면 비밀이 코드 저장소·CI 로그·컨테이너 이미지 어디에도 평문으로 남지 않고, 회전·감사·접근 통제가 한 곳에서 가능해진다. AWS는 이 문제를 두 가지 서비스로 분리했다 — Secrets Manager(2018년 4월 출시, 자동 회전·고가용성 비밀 관리)와 Systems Manager Parameter Store(2016년 출시, 구성·평문 파라미터 무료 저장). 그리고 그 아래에는 가장 엄격한 컴플라이언스 요구를 충족하는 CloudHSM 이 있다. 이 글에서는 세 서비스가 어떤 문제에 답하는지, 어떻게 골라야 하는지, 그리고 가장 자주 마주치는 시나리오를 본다.