Next.js 환경 변수는 서버 전용, 클라이언트 공개, 배포 환경별 값이 섞이기 쉬워 이름과 주입 시점을 함께 봐야 합니다.
DB URI, 결제 비밀 키, 관리자 토큰은 API Route와 Server Action 안에서만 읽습니다.
브라우저 번들에 들어가도 되는 추적 ID나 공개 API base URL만 접두사를 붙입니다.
Development, Preview, Production 값을 다르게 두고 변경 후에는 재배포 여부를 확인합니다.
비밀 값인지 먼저 나눕니다.
접두사와 용도를 맞춥니다.
로컬과 Vercel 범위를 확인합니다.
번들과 로그에 노출되지 않는지 봅니다.