애플리케이션 보안

보안 오리엔테이션

meellon 2026. 6. 18. 13:00

학습 목표

CIA(기밀성·무결성·가용성)를 설명할 수 있다.

인증(Authentication)과 인가(Authorization)를 구분할 수 있다.

위협 모델링의 기본 질문(STRIDE 개요)을 설명할 수 있다.

애플리케이션 보안에서 자주 마주치는 위협 유형을 나열할 수 있다.

19편 로드맵을 보고 학습 순서를 잡을 수 있다.

1. 애플리케이션 보안이란?

  • 보안(Security)
    • 자산을 위협으로부터 보호하는 활동
    • 애플리케이션 보안은 웹·API·백엔드 계층에 초점
  • 자산(Asset)
    • 사용자 데이터, 결제 정보, API 키, 비즈니스 로직
    • 무엇을 지킬지 먼저 정해야 통제가 설계된다
  • 위협(Threat)
    • 자산에 해를 끼칠 수 있는 의도·사건
    • 버그와 다름 — 악의적·오용 가능한 공격 경로
  • 이 시리즈 범위
    • 네트워크 방화벽·물리 보안 전체가 아니라 앱·API·인증·취약점
    • 공격 기법은 방어 이해 목적으로만 다룬다

2. CIA 삼각형

정보 보안의 기본 목표.

목표 의미 앱 보안 예
기밀성(Confidentiality) 허가 없이 읽지 못함 TLS, 암호화, 접근 제어
무결성(Integrity) 허가 없이 바꾸지 못함 서명, HMAC, DB 제약
가용성(Availability) 필요할 때 사용 가능 rate limit, DDoS 대응

  • 세 목표는 트레이드오프 관계
    • 강한 암호화·인증은 지연 증가 → 가용성·성능과 충돌 가능
    • 보안은 "최대로 막기"가 아니라 위험 대비 비용 판단

3. 인증과 인가

혼동하기 쉬운 두 개념. 이후 4~8편에서 깊게 다룬다.

  인증 (Authentication) 인가 (Authorization)
질문 누구인가 무엇을 할 수 있나
로그인, JWT 검증 admin만 삭제 API 호출
실패 시 401 Unauthorized 403 Forbidden

  • 인증 — 신원 확인
    • 비밀번호, MFA, OAuth, API 키
    • 세션·토큰 만료·저장 위치가 보안에 직결
  • 인가 — 권한 판단
    • RBAC(역할), ABAC(속성), 리소스 소유자 검증
    • Broken Access Control은 OWASP Top 10 상위

4. 위협 모델링 개요

코드 작성 전·후 무엇이 깨질 수 있는지 체계적으로 생각하는 방법.

  • 기본 질문
    • 무엇을 지키나 (자산)
    • 누가 공격하나 (내부자, 외부, 봇)
    • 어디로 들어오나 (엔드포인트, 파일 업로드, 서드파티)
    • 실패하면 어떤 피해인가
  • STRIDE (개요)
    • Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege
    • 편별로 매핑하진 않지만 분류 언어로 활용
  • Defense in depth
    • 한 겹만 믿지 않음 — TLS + 인증 + 입력 검증 + 최소 권한
위협 유형 시리즈에서
Injection SQLi, command injection 9편
XSS / CSRF 스크립트 삽입, 위조 요청 10편
Broken Access Control IDOR, 권한 상승 11편
Misconfiguration 디버그 노출, 기본 비밀번호 12편
Secret 노출 API 키 in repo 13편
Zero Trust / Supply Chain ZTNA, SBOM·SLSA 17~18편
Cloud IAM workload identity, least privilege 19편

5. 시리즈 로드맵

  • Part 1. 기초 (2~4편) — 보안 원칙, TLS, 인증 기초
  • Part 2. 인증·인가 (5~8편) — JWT, OAuth2, OIDC, RBAC
  • Part 3. OWASP (9~12편) — Injection, XSS·CSRF, 접근 제어, Top 10
  • Part 4. 운영 보안 (13~16편) — 시크릿, API 보안, 감사, 체크리스트
  • Part 5. 클라우드·공급망 (17~19편) — Zero Trust, Supply Chain, Cloud IAM

다음에 다룰 것

  • 보안 원칙
  • least privilege, fail secure, defense in depth

해당 내용은 OWASP Top 10 및 The Web Application Hacker's Handbook, 2/E (Dafydd Stuttard, Marcus Pinto) 의 내용을 기반으로 합니다.

'애플리케이션 보안' 카테고리의 다른 글

OAuth 2.0  (0) 2026.06.23
JWT  (0) 2026.06.22
인증 기초  (0) 2026.06.21
TLS 심화  (0) 2026.06.20
보안 원칙  (0) 2026.06.19