Supabase RLS(Row Level Security)란 무엇인가요?

RLS는 PostgreSQL이 현재 로그인한 사용자에 따라 row 단위로 접근을 제한하는 기능입니다. Supabase는 브라우저가 PostgREST를 통해 Postgres와 직접 통신하므로, RLS 정책이 없으면 anon 키만으로 누구나 테이블 전체를 읽고 쓸 수 있습니다. 비공개 데이터를 다루는 Supabase 프로젝트라면 RLS 활성화와 정확한 정책 작성은 선택이 아닌 필수입니다.

내 Supabase 테이블이 외부에 노출되었는지 어떻게 확인하나요?

ohmypolicy.com/ko에 접속해서 Supabase 프로젝트 URL과 service_role 키, anon 키를 붙여넣고 "무료로 스캔"을 누르세요. OhMyPolicy는 프로젝트의 OpenAPI 스키마를 가져온 뒤 모든 public 테이블에 anon 키로 실제 HTTP 요청을 보내 READ/WRITE 노출을 확인합니다. 약 10초 후 노출된 테이블 목록과 함께 잠금을 위한 Fix SQL이 제공됩니다.

service_role 키를 OhMyPolicy에 공유해도 안전한가요?

네. service_role 키와 anon 키는 스캔 동안만 메모리에 머무릅니다. 로그에 남지 않고, 디스크에 저장되지 않으며, 리포트에도 포함되지 않습니다. 리포트에는 테이블 이름과 노출 여부, Fix SQL만 저장됩니다. 그래도 불안하다면 스캔 직후 Supabase 대시보드에서 service_role 키를 회전시키면 됩니다.

Supabase RLS 스캔에 시간이 얼마나 걸리나요?

테이블 40개 이하 프로젝트는 보통 10초 이내에 완료됩니다. 더 큰 프로젝트도 Cloudflare 엣지에서 병렬로 스캔합니다. 스캔 중 실시간으로 진행 상황이 보이고, 완료 후 리포트 URL이 제공됩니다.

노출된 Supabase 테이블은 어떻게 수정하나요?

OhMyPolicy는 노출된 테이블마다 RLS를 활성화하고 안전한 기본 정책을 추가하는 SQL을 자동 생성합니다. 리포트의 "Open in Supabase SQL Editor" 버튼을 누르면 해당 SQL이 미리 채워진 상태로 Supabase SQL 에디터가 열립니다 — 검토 후 Run만 누르면 됩니다. 일반적인 수정은 ALTER TABLE public.your_table ENABLE ROW LEVEL SECURITY; 다음에 auth.uid() 기준 CREATE POLICY 문장이 따라옵니다.

Supabase의 anon 키와 service_role 키는 어떻게 다른가요?

anon 키는 RLS 정책의 제약을 받는 공개 키로, 브라우저에 노출하도록 설계된 키입니다. service_role 키는 RLS를 우회하고 관리자 권한을 가진 키이므로 반드시 서버에만 보관해야 합니다. OhMyPolicy는 service_role 키로 스키마만 읽은 뒤, anon 키로 실제 인터넷 공격자 입장에서 무엇이 보이는지 시뮬레이션합니다.

OhMyPolicy는 Firebase, Clerk, 일반 PostgreSQL도 지원하나요?

현재는 Supabase 프로젝트만 스캔합니다. Firebase Security Rules, Clerk 권한 점검, 일반 PostgreSQL RLS 검증은 2026년 로드맵에 포함되어 있습니다. OhMyPolicy는 멀티 플랫폼 정책 스캐너 브랜드이며, Supabase는 첫 번째 wedge일 뿐 최종 범위가 아닙니다.

OhMyPolicy는 무료인가요?

네. 스캐너는 완전 무료이며 회원가입이 필요 없습니다. 사용자 관점 시뮬레이터, 더 깊은 정책 린트, 정기 재스캔, 팀 기능을 포함한 유료 티어가 준비 중이지만, 기본 보안 감사는 계속 무료로 유지됩니다.

이미 비공개라고 생각한 테이블이 스캔에서 노출로 잡힌 이유는?

가장 흔한 원인은 public 스키마에 테이블을 만들면서 ALTER TABLE ... ENABLE ROW LEVEL SECURITY를 실행하지 않은 경우입니다. Supabase는 RLS를 기본으로 켜주지 않습니다. 또 다른 흔한 경우는 RLS는 켰지만 정책을 하나도 만들지 않은 상태로, Postgres가 anon 역할의 모든 접근을 거부해 안전해 보이지만 실제로는 클라이언트가 동작하지 않습니다. OhMyPolicy는 이 두 상태를 구분해 보여줍니다.

OhMyPolicy 스캔 리포트를 공유하거나 임베드할 수 있나요?

스캔마다 72시간 유효한 고유 토큰 리포트 URL이 생성됩니다. 팀원에게 공유하거나 Slack 인시던트 채널에 붙여넣을 수 있습니다. 동적 미리보기 카드를 포함한 공유 버튼과 GitHub README용 "RLS-secured by OhMyPolicy" 배지도 곧 추가될 예정입니다.

Supabase RLS 보안 스캐너

10초 만에
Supabase 앱
보안 점검.

프로젝트 URL과 API 키를 붙여넣기만 하세요. 전체 RLS 보안 리포트가 즉시 나옵니다.

실제 동작 기반 점검

anon 키로 실제 HTTP 요청을 보내 테이블별 READ/WRITE 노출을 확인합니다. 추측 없이 실제 응답으로 판단합니다.

키는 저장되지 않습니다

API 키는 스캔하는 동안만 메모리에 머무릅니다. 로그도, 디스크 저장도 없습니다. 리포트에는 자격증명이 들어가지 않습니다.

원클릭 Fix SQL

노출된 모든 테이블에 즉시 실행 가능한 SQL 정책이 제공되며, Supabase SQL 에디터로 바로 이동하는 링크가 함께 나옵니다.

10초 만에Supabase 앱보안 점검.

실제 동작 기반 점검

키는 저장되지 않습니다

원클릭 Fix SQL

안전하게 배포.배포 전에 스캔.

10초 만에
Supabase 앱
보안 점검.

안전하게 배포.
배포 전에 스캔.