환경변수 & 보안 — NEXT_PUBLIC_ 규칙과 시크릿 관리

Q1. Next.js에서 `NEXT_PUBLIC_` 접두사가 없는 환경변수를 클라이언트 컴포넌트에서 접근하면?

런타임 에러가 발생한다 빌드 에러가 발생한다 `undefined`가 반환된다 (에러 없음) 서버에서 값을 가져와 자동으로 채운다

💡 `NEXT_PUBLIC_` 접두사가 없는 환경변수는 클라이언트 번들에 포함되지 않습니다. 클라이언트에서 접근하면 에러 없이 조용히 `undefined`를 반환합니다. 이 때문에 실수를 눈치채기 어려우므로 Zod 등으로 런타임 검증이 필요합니다.

Q2. 다음 중 절대로 `NEXT_PUBLIC_` 접두사를 붙여서는 안 되는 환경변수는?

Google Analytics 추적 ID 공개 API 엔드포인트 URL 데이터베이스 비밀번호 앱 이름

💡 `NEXT_PUBLIC_`로 시작하는 변수는 클라이언트 번들에 포함되어 누구나 브라우저 개발자 도구에서 볼 수 있습니다. 데이터베이스 비밀번호, JWT 시크릿, API 시크릿 키 등 민감한 값에는 절대 사용하면 안 됩니다.

Q3. `.env.local` 파일과 `.env` 파일 모두에 같은 변수가 정의되어 있을 때 어떤 값이 사용되는가?

`.env` 파일의 값 (더 일반적) `.env.local` 파일의 값 (우선순위 높음) 두 값이 합쳐진다 빌드 에러가 발생한다

💡 `.env.local` 파일은 로컬 개발자 오버라이드용으로 `.env`보다 우선순위가 높습니다. 우선순위: `.env.{environment}.local` > `.env.{environment}` > `.env.local` > `.env` 순입니다.

Q4. 환경변수를 동적 키로 접근(`process.env[variableName]`)할 때 발생하는 문제는?

보안 취약점이 생긴다 빌드 타임에 정적 대체가 이루어지지 않아 클라이언트에서 undefined가 될 수 있다 Node.js에서 동작하지 않는다 문제없이 동작한다

💡 Next.js(Webpack)는 빌드 시 `process.env.NEXT_PUBLIC_XXX`를 리터럴 값으로 대체합니다. 동적 키(`process.env[key]`)를 사용하면 이 정적 대체가 이루어지지 않아 클라이언트 번들에서 `undefined`가 됩니다.

Q5. 팀 프로젝트에서 환경변수를 관리하는 모범 사례는?

`.env.local` 파일을 git에 커밋해 팀원과 공유한다 모든 환경변수를 소스코드에 하드코딩한다 `.env.example`에 변수 목록(값 없이)을 만들어 git에 포함하고, 실제 값은 클라우드 시크릿 관리자나 암호화된 채널로 공유한다 환경변수 없이 서버에서 DB로 설정을 관리한다

💡 `.env.example`은 어떤 변수가 필요한지 문서화하지만 실제 시크릿 값은 포함하지 않습니다. 실제 값은 Vercel, AWS Secrets Manager 등 클라우드 시크릿 관리자나 암호화된 채널(1Password 팀 등)로 공유합니다. `.env.local`은 반드시 `.gitignore`에 포함하세요.

🎉

퀴즈 통과!

점수: 0점 — 수고하셨습니다!

다음 강의로 →

😅

아쉽네요!

점수: 0점 — 70점 이상이 되어야 통과합니다.