2019년 Capital One 유출 사고의 근본 원인은 EC2 IMDS(Instance Metadata Service)를 통한 IAM 자격 증명 탈취였다. 하지만 그 이전에 수많은 기업이 겪은 자격 증명 노출 사고의 공통 원인은 훨씬 단순했다 — 소스 코드에 비밀번호가 평문으로 적혀 있었다. env.variables에 DB_PASS: mysecretpassword처럼. 이 문제를 구조적으로 막는 것이 env.secrets-manager와 env.parameter-store의 존재 이유다.
시크릿 관리는 "어디에 저장하느냐"만의 문제가 아니다. "누가 언제 가져가느냐", "키가 바뀔 때 어떻게 되느냐", "돈을 얼마나 내느냐"가 모두 설계 결정이다. AWS는 두 서비스로 이 스펙트럼을 커버한다 — Secrets Manager(자동 회전, 비쌈)와 SSM Parameter Store(단순, 저렴 또는 무료).