VUILD

이 레슨이 끝나면

Anthropic Console에서 월 사용 한도 + 알람을 켜서 AI 비용 폭주를 막았다
API 키 노출·OAuth 설정·SQL injection 등 기본 보안 점검 10항목을 통과했다
DB 자동 백업이 매일 돌고 있고, 복원 절차를 한 번 확인했다

왜 이 영역이 가장 무서운가

비개발자가 SaaS를 출시했을 때 가장 자주 겪는 3가지 사고가 바로 이 영역이에요. 모두 "출시는 했는데 알림 한 통 받고 식은땀 흘리는" 시나리오들이에요.

사고	실제 사례	예방법(이번 lesson)
AI 비용 폭주	한 사용자가 자동화 루프 돌려서 하루에 $300 청구	월 한도 + 알람 (단계 1~2)
API 키 유출	.env를 GitHub public에 올려서 키 도용 → 24시간 만에 $5,000	10항목 보안 점검 (단계 3)
데이터 날아감	DB 마이그레이션 잘못해서 user 테이블 통째로 삭제	매일 자동 백업 + 복원 테스트 (단계 4)

이 영역은 "한 번 켜두면 계속 보호되는" 항목이에요. 30분만 투자하면 그 다음 6개월은 안심해도 돼요.

옆 탭에 checklist "안전해요?" 영역 + Claude Code에서 /v4-security

이번 lesson은 두 환경을 같이 써요. vuild.kr checklist를 옆 탭에 띄우고, Claude Code 터미널에 다음 한 줄.

입력 (Claude Code 터미널)

/v4-security

이 스킬은 본인 빌드킷의 코드와 환경변수를 자동으로 스캔해서 보안 위험 항목을 리포트해요. API 키 노출·OAuth 콜백·CSP·HTTPS 강제·SQL injection 가능성 등 10가지를 한 번에 점검해 줘요. 스킬이 진행되는 동안 vuild.kr checklist의 "안전해요?" 영역을 옆에서 보면서 같이 따라가요.

📷 캡쳐 — vuild.kr launch/checklist의 🛡 "안전해요?" 영역 클로즈업. 3개 항목(AI 비용/보안 점검/DB 백업) + 토글 강조. — checklist의 두 번째 영역. 모두 수동 토글이에요.

단계 1 — Anthropic Console에서 월 한도 설정 (가장 먼저)

Ch.4-13에서 본인 서비스에 Claude API를 붙였다면(ANTHROPIC_API_KEY) 가장 먼저 할 일은 월 한도 설정이에요. 한도 없이 두면 누군가 자동화로 API를 무한 호출했을 때 본인 신용카드가 비명을 질러요.

console.anthropic.com 접속 → 본인 계정 로그인 (LEARN에서 쓰던 그 계정)
좌측 사이드바 "Settings → Limits" 클릭
"Monthly spend limit" 입력 → 본인이 감당 가능한 금액 (권장: $20~50)
"Email alerts" 체크 → 50% / 80% / 95% 도달 시 이메일 받기
"Save" 클릭

이걸 켜두면 한도에 도달하기 전에 알림을 받아요. 95%에 도달하면 그 즉시 API 호출이 멈춰요. 본인 서비스는 잠깐 안 돌지만 청구서 폭탄은 막을 수 있어요. 전형적인 "잠깐 멈춤 vs 거액 손실" 트레이드오프인데, 무조건 잠깐 멈춤 쪽이 옳아요.

📷 캡쳐 — Anthropic Console → Settings → Limits 화면. Monthly spend limit $30 + Email alerts 50/80/95% 강조. — "잠깐 멈추는 게 거액 손실보다 항상 낫다"의 안전장치.

단계 2 — 다른 LLM도 같은 패턴 (OpenAI / Google)

Anthropic 외에 OpenAI나 Google API를 같이 쓰면 그쪽도 똑같이 한도를 설정해야 해요. 각 콘솔의 위치만 메모해 둬요.

OpenAI: platform.openai.com/account/billing/limits → "Set monthly budget" + "Email notifications"
Google AI Studio (Gemini): aistudio.google.com → 무료 티어 우선, 결제 등록 시 GCP Billing alerts 함께
OpenRouter: openrouter.ai/account → "Credits" 충전식이라 자동 한도. 충전한 만큼만 쓰임

OpenRouter처럼 충전식 모델은 사실상 한도 자체가 충전 잔액이라 가장 안전해요. 신용카드 자동 결제가 무서우면 OpenRouter로 옮기는 것도 방법이에요.

단계 3 — 보안 점검 10항목 (스킬 자동 + 본인 확인)

/v4-security 스킬이 본인 코드를 스캔해서 다음 10항목을 자동으로 리포트해 줘요. 각 항목마다 ✅ 통과 / ⚠️ 주의 / ❌ 위험으로 표시. ❌가 있으면 그 자리에서 고치기.

#	점검 항목	위험도
1	.env 파일이 .gitignore에 있나 (GitHub 노출 방지)	치명적
2	코드 안에 API 키가 하드코딩되어 있지 않나	치명적
3	Rails master.key가 .gitignore에 있나	치명적
4	production에서 HTTPS 강제(`config.force_ssl = true`)	높음
5	CSP(Content Security Policy) 헤더 설정	높음
6	SQL injection 가능성 (raw SQL 사용 검사)	높음
7	XSS 방어 (사용자 입력 sanitize)	높음
8	OAuth callback URL이 Railway 도메인과 일치	중간
9	관리자 경로(/admin) 인증 필수	중간
10	개발용 시드 사용자(예: `admin@test.com`) production에서 비활성	중간

📷 캡쳐 — Claude Code 터미널 화면. <code>/v4-security</code> 실행 후 10항목 리포트가 ✅⚠️❌ 표시로 출력된 화면. — 스킬이 한 번에 10항목을 스캔. ❌만 그 자리에서 고침.

⚠️ GitHub에 .env가 이미 올라가 있다면 (가장 흔한 사고)

과거 커밋에 .env나 키 파일이 포함된 채로 GitHub에 올라가 있으면, .gitignore에 추가만 해서는 부족해요. 그 키는 이미 노출된 거예요. 3가지를 즉시 해야 해요.

노출된 키 즉시 폐기 — Anthropic/OpenAI 콘솔에서 그 키 "Revoke" → 새 키 발급.
새 키를 Railway Variables에 등록, 본인 .env도 갱신.
(선택) git filter-repo로 과거 커밋에서 .env 제거 + force push. 비개발자 혼자는 어려우니 위 1~2만 해도 충분.

단계 4 — DB 자동 백업 활성화 + 복원 한 번 테스트

데이터가 날아가는 가장 흔한 원인은 본인이 잘못된 마이그레이션을 production에 적용한 거예요. 백업이 있으면 5분 안에 복원 가능. 없으면 user 정보가 통째로 날아가요. Railway/Render 둘 다 무료 플랜에서도 자동 백업 가능해요.

DB	Railway	Render
SQLite (기본 모드)	Volume에 저장 → Volume Snapshot 매일	Persistent Disk Snapshot 매일
PostgreSQL (심화 모드)	Postgres 플러그인 → "Backups" 자동 매일	Postgres 서비스 → 무료 플랜 7일 보관

기본 모드(SQLite)인 경우 Railway에서 → 본인 서비스 → "Settings → Volumes" → 본인 Volume 선택 → "Backup Schedule"을 "Daily"로. 심화 모드(PostgreSQL)는 Railway → 본인 Postgres 플러그인 → "Backups" 탭 → "Enable Daily Backups".

📷 캡쳐 — Railway Postgres 플러그인 → "Backups" 탭 → "Daily" 활성화 화면. — 매일 자동 백업. 7일치 보관이 보통이에요.

백업이 켜졌다고 끝이 아니에요. 복원이 진짜 되는지 한 번 확인해야 해요. Railway에서 "Backup → Restore"를 누르면 그 백업이 새 임시 환경에 복원돼요. 백업 데이터에 본인 user/data가 보이면 OK. 진짜 production에 덮어쓰지는 마세요. 단순 "복원이 동작한다는 사실"만 확인하는 단계예요.

🎨 생성 (Codex CLI) — DB 백업·복원 사이클 다이어그램. (운영 DB → 매일 자동 백업 → S3) + (사고 발생 → 백업 선택 → 복원 → 운영 DB 복구). — 백업은 "있다"가 아니라 "복원이 된다"로 검증해요.

단계 5 — 보안 자가진단 10항목 통과 후 토글 ✅

위 단계 1~4를 다 했으면 vuild.kr checklist의 🛡 "안전해요?" 영역에 가서 3개 항목 토글을 ✅로 켜요.

"AI 비용 폭주 방지 켜져요" — Anthropic + OpenAI 등 모두 한도 + 알람 설정 완료 시 ✅
"보안 점검 통과했어요" — /v4-security 10항목 중 ❌가 0개일 때 ✅ (⚠️는 있어도 OK)
"데이터가 매일 백업돼요" — Railway/Render에서 daily backup 활성화 + 복원 한 번 테스트 시 ✅

📷 캡쳐 — vuild.kr checklist 🛡 영역 3개 항목 모두 ✅ 토글 켜진 상태. — 3개 모두 ✅면 가장 무서운 3가지 사고를 막은 거예요.

번외 — Rate Limiting (반복 호출 차단)

AI 비용 폭주 방지의 두 번째 보호막은 본인 서비스 안에서 한 사용자가 분당 N회 이상 호출 못 하게 막는 것이에요. Rails라면 rack-attack gem이 표준이에요. 이 단계는 첫 사용자 5명 단계에서는 선택. 사용자 100명 넘어가면 필수.

Claude Code에 "rack-attack로 Claude API 호출을 사용자당 분당 5회로 제한해줘" 한 줄. 스킬이 알아서 Gemfile + 설정 파일 + 테스트까지 만들어 줘요.

막히는 지점 — 미리 답

"Anthropic Console에 결제 정보가 없어서 Limits 페이지가 안 떠요." → Free tier만 쓰고 있다는 뜻. Free tier는 자동으로 한도가 있어서 OK. 결제 등록 전까지는 이 단계 건너뛰어도 됨.
"/v4-security가 ❌ 6개를 보고했어요." → 정상이에요. 한 번에 다 고치지 말고 위에서부터 1개씩. Claude Code에 "1번 항목부터 고쳐줘" 한 줄. 다 고친 후 스킬 재실행.
"GitHub에 옛날에 .env 올렸는데 어떡해요?" → 키 폐기 + 새 키 발급 + Railway 재등록만 하면 일단 안전. 과거 커밋 정리는 위험하니 안 해도 OK.
"Railway 백업 옵션이 안 보여요." → Free 플랜은 일부 백업 기능이 제한됨. Hobby($5/월) 이상으로 업그레이드하거나, Render의 Postgres Free 플랜은 7일 백업 무료.
"백업 복원해보니 데이터가 비어 있어요." → 백업이 너무 일찍 잡혔거나 production에 데이터가 거의 없어서. 며칠 운영 후 다시 확인.

완료 체크리스트 (모두 ✅이면 5-4로)

☐ Anthropic Console 월 한도 + 알람 설정 (다른 LLM도 함께)
☐ /v4-security 실행 → ❌ 항목 모두 해결
☐ Railway/Render에 DB 자동 백업 활성화
☐ 복원 절차 1회 테스트 (실제 운영 덮어쓰기 X)
☐ vuild.kr checklist 🛡 영역 3개 항목 ✅

다음 단계 → 5-4 ⚖️ 법적으로 괜찮아요? — 개인정보·약관

안전이 잡혔으니 이제 법적 페이지를 만들어요. 개인정보처리방침과 이용약관을 vuild.kr checklist의 "자동 생성" 버튼 한 번으로 만들고, 푸터에 사업자 정보를 넣어요. 비개발자가 가장 막막한 부분을 5분에 끝내요.

🛡 안전해요? — AI 비용·보안·백업