Lovable 한국어 문서

보안 개요

API 키 감지, 데이터베이스 접근 제어, AI 기반 보안 스캐닝으로 개발 중 그리고 배포 전에 앱을 보호하세요.

Lovable은 개발 중과 배포 전에 일반적인 애플리케이션 보안 위험을 줄이는 데 도움이 되는 내장 보안 도구를 제공합니다. 이 도구들은 안전한 애플리케이션 개발을 지원하도록 설계되었지만, 철저한 보안 검토를 대체하지는 않습니다.

앱의 사용 사례에 적합한 보안 요구사항을 충족하는지 확인하는 것은 사용자의 책임입니다. 특히 앱이 민감한 데이터를 처리하거나 중요한 기능을 수행하는 경우에는 더욱 그렇습니다.

Lovable이 앱을 보호하는 방법

Lovable은 두 가지 주요 방식으로 애플리케이션을 보호합니다: 일반적인 보안 실수를 사전에 방지하고, 자동 분석을 통해 잠재적 취약점을 식별합니다.

취약점을 식별하기 위해 Lovable은 애플리케이션의 다양한 부분을 검사하는 네 가지 자동 보안 스캐너를 사용합니다:

  • RLS 분석: 데이터베이스 접근 정책과 Row-Level Security 규칙을 검토합니다
  • 데이터베이스 보안 검사: 데이터베이스 스키마와 RLS 구성을 검토합니다
  • 코드 보안 검토: 애플리케이션 코드에서 일반적인 보안 취약점을 분석합니다
  • 의존성 감사: npm 의존성의 알려진 취약점을 탐지합니다

이 스캐너들은 일반적인 보안 문제를 식별하는 데 도움이 되지만, 완전한 보안을 보장할 수는 없습니다. 민감한 데이터나 중요한 기능을 처리하는 앱의 경우, 추가적인 전문 보안 검토를 고려하세요.

아래 섹션에서는 주요 위험 영역과 Lovable이 이를 해결하는 방법을 자세히 설명합니다.

안전한 코드 작성과 일반적인 보안 실수를 피하기 위한 실용적인 가이드는 보안 모범 사례 가이드를 참조하세요.

API 키 보호

Lovable은 브라우저에서 실행되는 프론트엔드 코드를 생성하므로, API 키와 기타 시크릿을 클라이언트 측 코드에 안전하게 저장할 수 없습니다. 자격 증명이 노출되면 데이터 유출이나 무단 접근으로 이어질 수 있습니다.

민감한 자격 증명의 노출을 방지하기 위해, Lovable은 채팅에 붙여넣은 API 키를 자동으로 감지하고 코드에 하드코딩하는 대신 Secrets에 안전하게 저장하도록 안내합니다.

자격 증명을 직접 붙여넣는 대신, 구축하고 싶은 것을 설명하면 Lovable이 서버 측 함수와 시크릿 저장소를 활용한 안전한 설정을 구현하도록 도와줍니다.

예시:

Service X API를 통합해서 텍스트 응답을 생성하고 싶어

Lovable이 다음을 안내합니다:

  1. Secrets 저장소에 API 키를 안전하게 저장합니다.
  2. 서버 측에서 API 호출을 수행할 Edge Function을 생성합니다.
  3. 프론트엔드 코드에서 해당 Edge Function을 호출합니다.

이 접근 방식은 자격 증명을 안전하게 유지하고 웹 보안 모범 사례를 따릅니다.

Row-Level Security(RLS)로 데이터 접근 보호

Row-Level Security(RLS) 정책은 데이터베이스에서 어떤 사용자가 데이터에 접근하거나 수정할 수 있는지를 제어합니다. 잘못 구성된 RLS 규칙은 데이터 유출의 일반적인 원인입니다.

Lovable은 RLS 정책을 검토하고 추론하여 사용자가 권한이 있는 데이터만 보고 변경할 수 있도록 도와줍니다. RLS 분석 스캔의 발견 사항은 과도하게 허용적인 규칙이나 누락된 접근 검사를 강조하여 민감한 데이터가 노출될 수 있는 상황을 알려줍니다.

RLS 정책은 정기적으로 검토해야 하며, 특히 배포 전이나 인증 또는 데이터베이스 구조를 변경한 후에 검토해야 합니다.

데이터베이스 보안 위험 식별

데이터베이스 스키마와 접근 규칙은 함께 작동하여 데이터가 어떻게 노출되는지를 결정합니다. 스키마 설계와 접근 정책의 안전하지 않은 조합은 개별 규칙이 올바르게 보이더라도 보안 위험을 초래할 수 있습니다.

Lovable은 데이터베이스 보안 검사를 사용하여 데이터베이스 스키마와 RLS 구성을 함께 검토하고, 무단 접근이나 데이터 노출로 이어질 수 있는 패턴을 식별합니다. 이를 통해 규칙을 개별적으로 검토할 때는 명확하지 않을 수 있는 문제를 잡아낼 수 있습니다.

애플리케이션 코드의 취약점 식별

애플리케이션 코드는 부적절한 입력 처리, 안전하지 않은 인증 흐름, 외부 서비스의 안전하지 않은 사용과 같은 패턴을 통해 보안 위험을 초래할 수 있습니다.

Lovable은 코드 보안 검토를 사용하여 애플리케이션 코드를 분석하고 일반적인 취약점 패턴을 식별하며 보안 개선을 위한 권장 사항을 제공합니다. 이러한 검사는 프로덕션에서 악용되기 전에 문제를 조기에 발견하는 데 도움이 됩니다.

의존성의 취약점 식별

서드파티 라이브러리는 보안 위험의 일반적인 원인입니다. 널리 사용되는 패키지조차 새로운 문제가 발견되면 취약점을 초래할 수 있습니다.

자동 보안 스캐닝의 일환으로, Lovable은 의존성 감사를 사용하여 프로젝트의 의존성에서 알려진 보안 취약점을 확인합니다. 이 스캔은 취약한 패키지를 식별하고 위험을 평가하고 수정하는 데 도움이 되는 정보를 제공합니다.

의존성 취약점 발견 사항은 다음에서 확인할 수 있습니다:

  • 프로젝트 수준의 보안 뷰에서 세부 정보를 검토하고 단일 프로젝트에 대한 조치를 취할 수 있습니다
  • 워크스페이스 수준의 보안 센터에서 워크스페이스 관리자와 소유자가 여러 프로젝트의 취약점을 모니터링할 수 있습니다

발견 사항에는 영향을 받는 패키지 이름과 버전, 취약점 유형, 그리고 보안 버전으로 업데이트하는 것과 같은 권장 수정 단계가 포함됩니다.

의존성을 최신 상태로 유지하는 것은 안전한 애플리케이션을 유지하는 데 중요한 부분입니다. 중요한 취약점이 공개되면 보안 센터를 통해 영향을 받는 프로젝트를 식별하여 문제를 신속하게 해결할 수 있습니다.

보안 스캔 실행 시점

Lovable은 워크플로의 다양한 시점에서 보안 스캔을 실행하여 문제를 조기에 발견합니다. 이러한 작업은 무료이며 크레딧을 소비하지 않습니다.

각 스캐너는 프로젝트에 관련이 있고 마지막 스캔 이후 변경 사항이 있을 때만 실행됩니다. 예를 들어, 데이터베이스 스캐너는 연결된 데이터베이스가 있는 프로젝트에서만 실행되고, 의존성 감사는 의존성이 변경되었을 때만 실행됩니다.

코드 보안 검토는 자동으로 실행되지 않습니다. 보안 뷰에서 Update 버튼을 클릭해야만 실행됩니다.

작업 중

Lovable은 관련 파일이 변경되면 특정 스캐너를 자동으로 트리거합니다:

  • RLS 분석은 데이터베이스 마이그레이션 또는 구성 파일이 수정될 때 실행됩니다.
  • 의존성 감사는 프로젝트의 의존성이 변경될 때 실행됩니다.
  • 데이터베이스 보안 검사는 RLS 분석 결과가 나온 후 세션당 한 번 후속으로 실행됩니다.

배포 전

배포 대화상자를 열면 Lovable이 자동으로 RLS 분석, 데이터베이스 보안 검사, 의존성 감사 스캐너를 실행합니다. 중요한 문제가 발견되면 진행하기 전에 검토하라는 메시지가 표시됩니다.

앱을 공개하기 전에 모든 중요한 문제를 해결하세요. 미해결 중요 문제가 있는 상태에서도 배포할 수 있지만, 특히 프로덕션 앱이나 민감한 사용자 데이터를 처리하는 앱의 경우 강력히 권장하지 않습니다.

온디맨드

보안 뷰에서 Update 버튼을 사용하여 언제든지 온디맨드로 스캔을 새로고침할 수 있습니다. 결과가 오래된 스캐너만 실행됩니다.

이것은 코드 보안 검토 스캐너를 실행하는 유일한 방법이며, 이 스캐너는 작업 중이나 배포 검사 중에는 자동으로 실행되지 않습니다.

온디맨드 스캔은 중요한 코드 변경 후나 모든 스캔 결과가 프로젝트의 현재 상태를 반영하는지 확인하고 싶을 때 유용합니다.

대화형 보안 검토

자동 스캐너와 별도로, 프롬프트를 통해 언제든지 Lovable에게 대화형 보안 검토를 요청할 수 있습니다. 이것은 AI 기반 검토이며 일반 채팅 메시지와 마찬가지로 크레딧을 소비합니다.

예시:

내 앱의 보안을 검토해줘

Lovable이 프로젝트를 분석하고 상세한 평가를 응답합니다. 검토는 일반적으로 다음 영역을 다룹니다:

  • 애플리케이션 코드의 잠재적 취약점
  • XSS 위험, 입력 처리, 인증 결함과 같은 일반적인 문제
  • 데이터베이스 스키마 및 Row-Level Security(RLS) 정책
  • 구체적인 권장 사항이 포함된 전반적인 보안 상태

검토의 범위와 깊이는 프로젝트에 따라 다릅니다. 특정 영역에 집중하도록 요청할 수도 있습니다:

내 앱의 인증 흐름을 검토해줘

또는

내 API 라우트가 안전한지 확인해줘

대화형 검토는 중요한 변경 후나 주요 릴리스 전에 특히 유용합니다. 현재 경고가 표시되지 않더라도, 프로덕션 애플리케이션에 대해 주기적으로 검토를 요청하는 것이 좋은 습관입니다.

보안 관리 위치

Lovable은 두 가지 보안 인터페이스를 제공합니다: 개별 프로젝트를 보호하기 위한 인터페이스와 전체 워크스페이스의 보안을 모니터링하기 위한 인터페이스입니다.

프로젝트 보안 (보안 뷰)

특정 프로젝트를 빌드하거나 유지보수할 때 보안 뷰를 사용하세요.

보안 뷰의 기능:

  • 하나의 프로젝트에 대한 보안 발견 사항을 검토합니다
  • 어떤 문제가 중요한지와 그 이유를 파악합니다
  • 자동 수정을 적용하거나 수동으로 변경합니다
  • 프로젝트가 배포하기에 안전한지 확인합니다

이것은 개발 중과 배포 전에 보안 문제를 해결하는 주요 장소입니다.

워크스페이스 보안 (보안 센터)

Business 및 Enterprise 플랜의 워크스페이스 관리자와 소유자는 보안 센터를 사용하여 워크스페이스 내 모든 프로젝트의 보안을 모니터링할 수 있습니다.

보안 센터의 기능:

  • 어떤 프로젝트에 중요한 보안 문제가 있는지 확인합니다
  • 팀 전반에 걸친 패턴과 반복되는 위험을 식별합니다
  • 여러 프로젝트에 영향을 미치는 의존성 취약점을 모니터링합니다
  • 워크스페이스 수준에서 전반적인 보안 상태를 추적합니다

보안 센터는 보안 정보를 집계하지만, 수정은 여전히 프로젝트 수준에서 적용됩니다.

일반적인 보안 구성

프로젝트 및 워크스페이스 보안 검토 외에도, Lovable은 계정 수준 및 인증 관련 보안 설정을 제공합니다. 이러한 구성은 특정 프로젝트에 종속되지 않지만, 사용자 계정을 보호하고 자격 증명 유출 위험을 줄이는 데 중요한 역할을 합니다.

인증을 설정하거나 사용자 로그인을 허용하는 앱을 출시하기 전에 이러한 설정을 검토해야 합니다.

유출된 비밀번호 보호

앱에서 이메일과 비밀번호 인증을 사용하는 경우, 사용자가 이미 유출된 것으로 알려진 비밀번호를 선택하는 것을 방지할 수 있습니다.

이 보호 기능은 사용자 비밀번호를 HIBP(Have I Been Pwned) 데이터베이스와 대조하여 일반적으로 유출되었거나 추측하기 쉬운 비밀번호를 거부합니다. 이를 활성화하면 재사용된 자격 증명으로 인한 계정 탈취 위험을 줄이는 데 도움이 됩니다.

비용 및 사용량

Lovable은 자동화된 보안 도구와 대화형 보안 도구를 모두 포함합니다. 대부분의 보안 기능은 무료로 사용할 수 있으며, 일부 보안 작업은 크레딧을 소비합니다.

자동화된 보안 도구와 대화형 보안 도구는 함께 사용하도록 설계되었습니다. 개발 중과 배포 전에는 자동화된 보안 도구를 사용하여 지속적인 모니터링과 타겟 수정을 수행하세요. 앱의 전반적인 보안 상태에 대한 더 깊고 탐색적인 평가가 필요할 때는 대화형 보안 검토를 사용하세요.

자동화된 보안 작업 (무료)

다음 자동화된 보안 작업은 크레딧을 소비하지 않습니다:

  • 보안 스캔 실행 보안 뷰에서 Update를 클릭하는 것과 같은 보안 스캔 새로고침은 무료입니다.
  • 감지된 문제 수정 보안 뷰에서 Try to fix all을 사용하는 것을 포함하여 발견 사항을 자동으로 수정하는 것은 무료입니다.
  • 보안 뷰에서 발견 사항 검토 및 논의 보안 뷰 내 인라인 채팅을 사용하여 특정 보안 발견 사항에 대해 질문하거나 수정을 요청하는 것은 무료입니다.

이러한 작업은 Lovable의 자동화된 보안 스캐너 또는 보안 전용 수정 도구를 사용하며 일반 채팅 사용량으로 계산되지 않습니다.

대화형 보안 작업 (크레딧 소비)

다음 대화형 보안 작업은 일반 채팅 메시지와 마찬가지로 크레딧을 소비합니다:

  • 대화형 보안 검토 채팅에서 Lovable에게 "내 앱의 보안을 검토해줘"라고 요청하면 대화형 AI 기반 검토가 실행되며 일반 채팅 메시지와 동일하게 크레딧이 소비됩니다.
  • 채팅에서의 일반 보안 질문 자동화된 보안 도구 외부의 메인 채팅에서 직접 보안 관련 질문을 하는 것은 표준 채팅 사용량으로 처리되며 크레딧이 소비됩니다.

Labs

Previous Page

프로젝트 보안 뷰

Next Page

On this page

보안 개요Lovable이 앱을 보호하는 방법API 키 보호Row-Level Security(RLS)로 데이터 접근 보호데이터베이스 보안 위험 식별애플리케이션 코드의 취약점 식별의존성의 취약점 식별보안 스캔 실행 시점작업 중배포 전온디맨드대화형 보안 검토보안 관리 위치프로젝트 보안 (보안 뷰)워크스페이스 보안 (보안 센터)일반적인 보안 구성유출된 비밀번호 보호비용 및 사용량자동화된 보안 작업 (무료)대화형 보안 작업 (크레딧 소비)