"비밀번호를 코드에 박지 마라"는 모든 개발자가 첫날 배우는 규칙이지만, 정작 그걸 어디 둘지는 아무도 명쾌하게 가르쳐주지 않는다. 환경변수에 넣으면 프로세스 환경을 덤프하는 순간 새고, 설정 파일에 넣으면 그 파일을 또 git에서 빼야 하며, 한 번 새어나간 비밀번호는 모든 서버에서 동시에 바꿔야 하는 운영 악몽이 된다. 게다가 진짜 보안 조직은 "비밀번호를 새지 않게 하는 것"을 넘어 "정기적으로 자동으로 바꾸는 것"을 요구한다. 사람이 90일마다 DB 비밀번호를 손으로 바꾸는 조직은 없다 — 귀찮으니까 안 바꾼다. AWS Secrets Manager와 SSM Parameter Store는 이 "비밀을 코드 밖에 두고, 가능하면 자동으로 회전시킨다"는 문제를 두 가지 다른 무게로 푼다.
DVA-C02 시험에서 이 둘은 거의 항상 비교 문제로 나온다. "이 시나리오에서 Secrets Manager인가 Parameter Store인가?"를 가르는 기준은 단 세 가지 — 자동 회전이 필요한가, 크기가 8KB를 넘는가, 비용이 최우선인가 — 다. 이번 글은 두 서비스가 각각 어떤 문제를 풀려고 태어났는지, 자동 회전이 내부에서 어떻게 다운타임 없이 동작하는지, 그리고 Lambda Extension으로 호출 비용을 줄이는 실무 패턴까지 본다.