이 글의 목적
애플리케이션 보안 본편 19편을 마쳤다. 이 글은 시리즈 전체를 압축·연결하고 다음에 어디로 갈지 짚는 에필로그다.
- 19편 동안 본 개념을 한 장 지도로 다시 본다
- 앱 보안에서 뻗어 나가는 주제와 블로그 내 다른 시리즈를 연결한다
- 보안 지식이 어떤 직업·역할과 맞닿는지 정리한다
- 손으로 확인하는 방법과 읽을거리를 남긴다
1. 19편이 만든 큰 그림
앱 보안은 도구 하나가 아니라 신뢰 경계·주체·취약점·운영·인프라를 겹쳐 막는 일이다.

| Part | 핵심 질문 | 기억할 키워드 |
|---|---|---|
| 0 오리엔테이션 | 무엇을 지키나 | CIA, 위협 모델, authn vs authz |
| 1 기초 | 설계·전송·세션 | least privilege, TLS, cookie·hash |
| 2 인증·인가 | 누구인가·무엇을 | JWT, OAuth·OIDC, RBAC·OPA |
| 3 OWASP | 어디가 뚫리나 | Injection, XSS·CSRF, BAC, Top 10 |
| 4 운영 보안 | 배포·로그·시크릿 | Vault, API gate, audit, checklist |
| 5 클라우드·공급망 | 인프라 신뢰 | Zero Trust, SBOM·SLSA, IAM·IRSA |
한 줄로 묶으면:
원칙과 TLS로 경계를 세우고(기초)
인증·인가로 주체를 확인하고(앱 계층)
OWASP로 입력·세션·권한을 막고(취약점)
시크릿·API·감사·게이트로 운영하고(운영)
ZT·공급망·IAM으로 인프라 신뢰를 닫는다(클라우드)
2. 실무에서 다시 만나는 지점
교과서 개념은 침해·배포·감사로 확인할 때 살아난다.
| 보안 개념 | 실무에서 보는 곳 | 도구·명령 |
|---|---|---|
| TLS·cipher | 구형 클라이언트 handshake fail | openssl s_client, cert expiry alert |
| JWT·세션 | 토큰 탈취·만료 없음 | claim audit, httpOnly·TTL |
| OAuth·OIDC | redirect_uri·state 누락 | IdP log, PKCE 검증 |
| Injection | WAF 우회 한 줄 | prepared stmt, schema validation |
| XSS·CSRF | stored payload·쿠키 전송 | CSP, SameSite |
| BAC·IDOR | 타인 order 조회 | object-level check, 403 audit |
| 시크릿 | .env commit·로그 유출 |
gitleaks, Vault rotation |
| API | rate limit 없음·CORS만 | gateway 429, authz 매 요청 |
| 감사 | 로그인 실패 집계 불가 | audit schema, trace_id |
| 배포 게이트 | 금요일 수동 리뷰 | CI block, checklist YAML |
| ZT·mTLS | 내부 평문 east-west | STRICT PeerAuth, NetworkPolicy |
| SBOM | log4j 어디 쓰나 | syft, Grype, Dependency-Track |
| Cloud IAM | Pod에 access key | IRSA, sts get-caller-identity |
- "인증 됐는데 왜 털렸나" — 앱 authz·클라우드 IAM·네트워크 신뢰가 겹쳐 있다. 시리즈가 준 계층 분해로 어느 층이 비었는지 본다
- Defense in depth — 한 통제 실패가 게임 오버가 아니게 다음 층이 있어야 한다 (보안 원칙 편)
3. 이후 확장되는 개념
본 시리즈는 앱·API·인증·OWASP·운영·ZT·공급망·IAM 공통 기반까지다.

| 확장 영역 | 보안에서 온 질문 | 더 깊이 가면 |
|---|---|---|
| IaC | policy·Kyverno 개요 | Terraform IAM, OPA admission, signed commit |
| 플랫폼·K8s | Secret·mTLS | admission, mesh AuthzPolicy, PSA |
| 관측성 | audit·침해 | SIEM, OTel sec signal, UEBA |
| ELK·Elastic | 로그 보존·검색 | ILM, Detection rules, SOAR |
| 아키텍처 | 보안 품질 속성 | threat model per ADR, STRIDE workshop |
| 네트워크 | TLS·mTLS 밑바닥 | mTLS 운영, ZTNA 벤더 |
| 데이터베이스 | SQLi·권한 | RLS, column encryption, audit trigger |
| 침투·ASVS | 체크리스트 갭 | pentest, DAST, ASVS L3 |
블로그 내 이어읽기 (권장 순)
- IaC — IAM·policy·Kyverno 코드화 (Cloud IAM 편 이후)
- 플랫폼 · DevOps · Cloud — Secret 주입·mesh·mTLS·CI scan
- 관측성 기초 — audit·trace 상관·SIEM 파이프라인
- ELK · Elastic Cloud — 감사 로그·Detection·APM 보안
- 소프트웨어 아키텍처 — 보안 품질 속성·threat model
- 네트워크 기초 — HTTPS·TLS (본 시리즈 3편과 짝)
- 데이터베이스 따라잡기 — SQLi 방어·RLS·권한 분리
4. 관심 있게 지켜볼 직업·직업군
앱 보안은 백엔드·플랫폼·SRE·컴플라이언스와 맞물린다.

| 역할 | 하는 일 | 보안 시리즈와의 연결 |
|---|---|---|
| 백엔드 | API·비즈니스 로직 | Injection 방어, authz 매 엔드포인트 |
| 프론트엔드 | SPA·쿠키 | XSS·CSRF, CORS 오해 방지 |
| DevOps·SRE | CI/CD·배포 | checklist gate, secret scan, IRSA |
| 플랫폼 | K8s·mesh | NetworkPolicy, mTLS, admission |
| 보안 엔지니어 | 위협·감사·대응 | OWASP, SBOM, incident, SIEM |
| 클라우드 | IAM·VPC | least privilege, SCP, workload identity |
| 아키텍트 | 품질·경계 | threat model, Zero Trust 설계 |
| 컴플라이언스 | 규제·감사 | audit log, PII, retention |
지켜볼 만한 방향 (2020s~)
- Supply chain — SBOM·SLSA·sigstore 표준화
- Zero Trust — ZTNA·identity-aware proxy mainstream
- Policy as code — OPA·Cedar·Kyverno 통합
- AI·LLM 보안 — prompt injection, RAG data leak (speculative)
- Post-quantum — TLS·cert migration 로드맵 (장기)
- EU CRA·EO 14028 — SBOM·취약점 공시 의무화
역할마다 깊이는 다르다. 백엔드는 OWASP·authz를, DevOps는 CI gate·IAM을, 보안 엔지니어는 threat model·ASVS를 최소로 갖추면 시너지가 난다.
5. 앞으로의 학습 루틴
개념만으로는 부족하다. 짧은 루프를 권한다.
| 주기 | 활동 | 예 |
|---|---|---|
| 매주 | 한 API authz negative test | 403 without role, IDOR 시도 |
| 매월 | dependency·image scan review | critical CVE ticket, SBOM diff |
| 분기 | threat model·checklist 갱신 | 새 엔드포인트·ASVS gap |
| 연 1회 | IAM·시크릿 audit | unused role, 90일 key, access analyzer |
추가 읽을거리
| 수준 | 자료 |
|---|---|
| 입문·복습 | OWASP Top 10·Cheat Sheet Series (본 시리즈 기준) |
| 심화 | OWASP ASVS; Web Application Hacker's Handbook |
| 인증 | RFC 6749, OIDC Core, OWASP JWT Cheat Sheet |
| 클라우드 | AWS IAM docs, NIST SP 800-207 (Zero Trust) |
| 공급망 | SLSA, CycloneDX spec, OWASP SCVS |
| 실습 | OWASP WebGoat, Juice Shop, kind + Falco demo |
| 트렌드 | CISA ZTMM, CNCF security TAG, sigstore blog |
6. 시리즈 색인 (19편 요약)
필요할 때 해당 편으로 바로 점프한다.
| # | 제목 | 거기서 답하는 질문 |
|---|---|---|
| 1 | 보안 오리엔테이션 | CIA, 위협 모델, 로드맵 |
| 2~4 | 기초 | 원칙, TLS, 인증·세션 |
| 5~8 | 인증·인가 | JWT, OAuth, OIDC, RBAC |
| 9~12 | OWASP | Injection, XSS·CSRF, BAC, Top 10 |
| 13~16 | 운영 보안 | 시크릿, API, 감사, 체크리스트 |
| 17~19 | 클라우드·공급망 | Zero Trust, SBOM, Cloud IAM |
7. 마치며
처음에는 "HTTPS 켜면 됐다"거나 "로그인만 되면 됐다"고 생각했을지 모른다. 시리즈를 지나며 TLS ≠ 인가, JWT ≠ 세션 안전, CORS ≠ 보안, 내부망 ≠ 신뢰를 구분하게 됐다.
앱 보안을 안다는 건 모든 CVE를 외운다는 뜻이 아니다. 설계·코드 리뷰·배포·장애 대화에서 "그건 Injection surface다 / audit 필드다 / IRSA다 / SBOM gap이다"고 위치를 잡고, 다음 통제를 고를 수 있다는 뜻에 가깝다.
해당 내용은 OWASP Top 10, OWASP ASVS, The Web Application Hacker's Handbook (Stuttard & Pinto), 및 시리즈 1~19편을 바탕으로 정리했습니다.
'애플리케이션 보안' 카테고리의 다른 글
| Cloud IAM (0) | 2026.07.06 |
|---|---|
| Supply Chain 보안 (1) | 2026.07.05 |
| Zero Trust (1) | 2026.07.04 |
| 보안 체크리스트 (0) | 2026.07.03 |
| 로깅과 감사 (0) | 2026.07.02 |