학습 목표
CIA(기밀성·무결성·가용성)를 설명할 수 있다.
인증(Authentication)과 인가(Authorization)를 구분할 수 있다.
위협 모델링의 기본 질문(STRIDE 개요)을 설명할 수 있다.
애플리케이션 보안에서 자주 마주치는 위협 유형을 나열할 수 있다.
19편 로드맵을 보고 학습 순서를 잡을 수 있다.
1. 애플리케이션 보안이란?
- 보안(Security)
- 자산을 위협으로부터 보호하는 활동
- 애플리케이션 보안은 웹·API·백엔드 계층에 초점
- 자산(Asset)
- 사용자 데이터, 결제 정보, API 키, 비즈니스 로직
- 무엇을 지킬지 먼저 정해야 통제가 설계된다
- 위협(Threat)
- 자산에 해를 끼칠 수 있는 의도·사건
- 버그와 다름 — 악의적·오용 가능한 공격 경로
- 이 시리즈 범위
- 네트워크 방화벽·물리 보안 전체가 아니라 앱·API·인증·취약점
- 공격 기법은 방어 이해 목적으로만 다룬다
2. CIA 삼각형
정보 보안의 기본 목표.
| 목표 | 의미 | 앱 보안 예 |
| 기밀성(Confidentiality) | 허가 없이 읽지 못함 | TLS, 암호화, 접근 제어 |
| 무결성(Integrity) | 허가 없이 바꾸지 못함 | 서명, HMAC, DB 제약 |
| 가용성(Availability) | 필요할 때 사용 가능 | rate limit, DDoS 대응 |

- 세 목표는 트레이드오프 관계
- 강한 암호화·인증은 지연 증가 → 가용성·성능과 충돌 가능
- 보안은 "최대로 막기"가 아니라 위험 대비 비용 판단
3. 인증과 인가
혼동하기 쉬운 두 개념. 이후 4~8편에서 깊게 다룬다.
| 인증 (Authentication) | 인가 (Authorization) | |
| 질문 | 누구인가 | 무엇을 할 수 있나 |
| 예 | 로그인, JWT 검증 | admin만 삭제 API 호출 |
| 실패 시 | 401 Unauthorized | 403 Forbidden |

- 인증 — 신원 확인
- 비밀번호, MFA, OAuth, API 키
- 세션·토큰 만료·저장 위치가 보안에 직결
- 인가 — 권한 판단
- RBAC(역할), ABAC(속성), 리소스 소유자 검증
- Broken Access Control은 OWASP Top 10 상위
4. 위협 모델링 개요
코드 작성 전·후 무엇이 깨질 수 있는지 체계적으로 생각하는 방법.
- 기본 질문
- 무엇을 지키나 (자산)
- 누가 공격하나 (내부자, 외부, 봇)
- 어디로 들어오나 (엔드포인트, 파일 업로드, 서드파티)
- 실패하면 어떤 피해인가
- STRIDE (개요)
- Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege
- 편별로 매핑하진 않지만 분류 언어로 활용
- Defense in depth
- 한 겹만 믿지 않음 — TLS + 인증 + 입력 검증 + 최소 권한
| 위협 유형 | 예 | 시리즈에서 |
| Injection | SQLi, command injection | 9편 |
| XSS / CSRF | 스크립트 삽입, 위조 요청 | 10편 |
| Broken Access Control | IDOR, 권한 상승 | 11편 |
| Misconfiguration | 디버그 노출, 기본 비밀번호 | 12편 |
| Secret 노출 | API 키 in repo | 13편 |
| Zero Trust / Supply Chain | ZTNA, SBOM·SLSA | 17~18편 |
| Cloud IAM | workload identity, least privilege | 19편 |

5. 시리즈 로드맵
- Part 1. 기초 (2~4편) — 보안 원칙, TLS, 인증 기초
- Part 2. 인증·인가 (5~8편) — JWT, OAuth2, OIDC, RBAC
- Part 3. OWASP (9~12편) — Injection, XSS·CSRF, 접근 제어, Top 10
- Part 4. 운영 보안 (13~16편) — 시크릿, API 보안, 감사, 체크리스트
- Part 5. 클라우드·공급망 (17~19편) — Zero Trust, Supply Chain, Cloud IAM
다음에 다룰 것
- 보안 원칙
- least privilege, fail secure, defense in depth
해당 내용은 OWASP Top 10 및 The Web Application Hacker's Handbook, 2/E (Dafydd Stuttard, Marcus Pinto) 의 내용을 기반으로 합니다.