애플리케이션 보안

Security Series를 마치며

meellon 2026. 7. 7. 05:50

이 글의 목적

애플리케이션 보안 본편 19편을 마쳤다. 이 글은 시리즈 전체를 압축·연결하고 다음에 어디로 갈지 짚는 에필로그다.

  • 19편 동안 본 개념을 한 장 지도로 다시 본다
  • 앱 보안에서 뻗어 나가는 주제와 블로그 내 다른 시리즈를 연결한다
  • 보안 지식이 어떤 직업·역할과 맞닿는지 정리한다
  • 손으로 확인하는 방법읽을거리를 남긴다

1. 19편이 만든 큰 그림

앱 보안은 도구 하나가 아니라 신뢰 경계·주체·취약점·운영·인프라쳐 막는 일이다.

Part 핵심 질문 기억할 키워드
0 오리엔테이션 무엇을 지키나 CIA, 위협 모델, authn vs authz
1 기초 설계·전송·세션 least privilege, TLS, cookie·hash
2 인증·인가 누구인가·무엇을 JWT, OAuth·OIDC, RBAC·OPA
3 OWASP 어디가 뚫리나 Injection, XSS·CSRF, BAC, Top 10
4 운영 보안 배포·로그·시크릿 Vault, API gate, audit, checklist
5 클라우드·공급망 인프라 신뢰 Zero Trust, SBOM·SLSA, IAM·IRSA

한 줄로 묶으면:

원칙과 TLS로 경계를 세우고(기초)
  인증·인가로 주체를 확인하고(앱 계층)
  OWASP로 입력·세션·권한을 막고(취약점)
  시크릿·API·감사·게이트로 운영하고(운영)
  ZT·공급망·IAM으로 인프라 신뢰를 닫는다(클라우드)

2. 실무에서 다시 만나는 지점

교과서 개념은 침해·배포·감사로 확인할 때 살아난다.

보안 개념 실무에서 보는 곳 도구·명령
TLS·cipher 구형 클라이언트 handshake fail openssl s_client, cert expiry alert
JWT·세션 토큰 탈취·만료 없음 claim audit, httpOnly·TTL
OAuth·OIDC redirect_uri·state 누락 IdP log, PKCE 검증
Injection WAF 우회 한 줄 prepared stmt, schema validation
XSS·CSRF stored payload·쿠키 전송 CSP, SameSite
BAC·IDOR 타인 order 조회 object-level check, 403 audit
시크릿 .env commit·로그 유출 gitleaks, Vault rotation
API rate limit 없음·CORS만 gateway 429, authz 매 요청
감사 로그인 실패 집계 불가 audit schema, trace_id
배포 게이트 금요일 수동 리뷰 CI block, checklist YAML
ZT·mTLS 내부 평문 east-west STRICT PeerAuth, NetworkPolicy
SBOM log4j 어디 쓰나 syft, Grype, Dependency-Track
Cloud IAM Pod에 access key IRSA, sts get-caller-identity
  • "인증 됐는데 왜 털렸나" — 앱 authz·클라우드 IAM·네트워크 신뢰겹쳐 있다. 시리즈가 준 계층 분해어느 층이 비었는지 본다
  • Defense in depth — 한 통제 실패가 게임 오버가 아니게 다음 층이 있어야 한다 (보안 원칙 편)

3. 이후 확장되는 개념

본 시리즈는 앱·API·인증·OWASP·운영·ZT·공급망·IAM 공통 기반까지다.

확장 영역 보안에서 온 질문 더 깊이 가면
IaC policy·Kyverno 개요 Terraform IAM, OPA admission, signed commit
플랫폼·K8s Secret·mTLS admission, mesh AuthzPolicy, PSA
관측성 audit·침해 SIEM, OTel sec signal, UEBA
ELK·Elastic 로그 보존·검색 ILM, Detection rules, SOAR
아키텍처 보안 품질 속성 threat model per ADR, STRIDE workshop
네트워크 TLS·mTLS 밑바닥 mTLS 운영, ZTNA 벤더
데이터베이스 SQLi·권한 RLS, column encryption, audit trigger
침투·ASVS 체크리스트 갭 pentest, DAST, ASVS L3

블로그 내 이어읽기 (권장 순)

  1. IaC — IAM·policy·Kyverno 코드화 (Cloud IAM 편 이후)
  2. 플랫폼 · DevOps · Cloud — Secret 주입·mesh·mTLS·CI scan
  3. 관측성 기초 — audit·trace 상관·SIEM 파이프라인
  4. ELK · Elastic Cloud — 감사 로그·Detection·APM 보안
  5. 소프트웨어 아키텍처 — 보안 품질 속성·threat model
  6. 네트워크 기초 — HTTPS·TLS (본 시리즈 3편과 짝)
  7. 데이터베이스 따라잡기 — SQLi 방어·RLS·권한 분리

4. 관심 있게 지켜볼 직업·직업군

앱 보안은 백엔드·플랫폼·SRE·컴플라이언스맞물린다.

역할 하는 일 보안 시리즈와의 연결
백엔드 API·비즈니스 로직 Injection 방어, authz 매 엔드포인트
프론트엔드 SPA·쿠키 XSS·CSRF, CORS 오해 방지
DevOps·SRE CI/CD·배포 checklist gate, secret scan, IRSA
플랫폼 K8s·mesh NetworkPolicy, mTLS, admission
보안 엔지니어 위협·감사·대응 OWASP, SBOM, incident, SIEM
클라우드 IAM·VPC least privilege, SCP, workload identity
아키텍트 품질·경계 threat model, Zero Trust 설계
컴플라이언스 규제·감사 audit log, PII, retention

지켜볼 만한 방향 (2020s~)

  • Supply chain — SBOM·SLSA·sigstore 표준화
  • Zero Trust — ZTNA·identity-aware proxy mainstream
  • Policy as code — OPA·Cedar·Kyverno 통합
  • AI·LLM 보안 — prompt injection, RAG data leak (speculative)
  • Post-quantum — TLS·cert migration 로드맵 (장기)
  • EU CRA·EO 14028 — SBOM·취약점 공시 의무화

역할마다 깊이는 다르다. 백엔드는 OWASP·authz를, DevOps는 CI gate·IAM을, 보안 엔지니어는 threat model·ASVS최소로 갖추면 시너지가 난다.

5. 앞으로의 학습 루틴

개념만으로는 부족하다. 짧은 루프를 권한다.

주기 활동
매주 한 API authz negative test 403 without role, IDOR 시도
매월 dependency·image scan review critical CVE ticket, SBOM diff
분기 threat model·checklist 갱신 새 엔드포인트·ASVS gap
연 1회 IAM·시크릿 audit unused role, 90일 key, access analyzer

추가 읽을거리

수준 자료
입문·복습 OWASP Top 10·Cheat Sheet Series (본 시리즈 기준)
심화 OWASP ASVS; Web Application Hacker's Handbook
인증 RFC 6749, OIDC Core, OWASP JWT Cheat Sheet
클라우드 AWS IAM docs, NIST SP 800-207 (Zero Trust)
공급망 SLSA, CycloneDX spec, OWASP SCVS
실습 OWASP WebGoat, Juice Shop, kind + Falco demo
트렌드 CISA ZTMM, CNCF security TAG, sigstore blog

6. 시리즈 색인 (19편 요약)

필요할 때 해당 편으로 바로 점프한다.

# 제목 거기서 답하는 질문
1 보안 오리엔테이션 CIA, 위협 모델, 로드맵
2~4 기초 원칙, TLS, 인증·세션
5~8 인증·인가 JWT, OAuth, OIDC, RBAC
9~12 OWASP Injection, XSS·CSRF, BAC, Top 10
13~16 운영 보안 시크릿, API, 감사, 체크리스트
17~19 클라우드·공급망 Zero Trust, SBOM, Cloud IAM

7. 마치며

처음에는 "HTTPS 켜면 됐다"거나 "로그인만 되면 됐다"고 생각했을지 모른다. 시리즈를 지나며 TLS ≠ 인가, JWT ≠ 세션 안전, CORS ≠ 보안, 내부망 ≠ 신뢰를 구분하게 됐다.

앱 보안을 안다는 건 모든 CVE를 외운다는 뜻이 아니다. 설계·코드 리뷰·배포·장애 대화에서 "그건 Injection surface다 / audit 필드다 / IRSA다 / SBOM gap이다"위치를 잡고, 다음 통제를 고를 수 있다는 뜻에 가깝다.


해당 내용은 OWASP Top 10, OWASP ASVS, The Web Application Hacker's Handbook (Stuttard & Pinto), 및 시리즈 1~19편을 바탕으로 정리했습니다.

'애플리케이션 보안' 카테고리의 다른 글

Cloud IAM  (0) 2026.07.06
Supply Chain 보안  (1) 2026.07.05
Zero Trust  (1) 2026.07.04
보안 체크리스트  (0) 2026.07.03
로깅과 감사  (0) 2026.07.02