학습 목표최소 권한(Least Privilege)을 설명하고 예시를 들 수 있다.다층 방어(Defense in Depth)를 설명할 수 있다.실패 시 안전(Fail Secure / Fail Closed)과 기본 거부를 구분할 수 있다.완전 매체(Complete Mediation)가 왜 필요한지 설명할 수 있다.문제 상황프로덕션 DB 계정이 앱 서버 전체에 SUPERUSERSQLi 한 줄이면 전체 스키마 노출WAF만 믿고 앱에서 입력 검증을 생략WAF 우회 시 방어층이 없음인증 서버 장애 시 모든 API가 열려 버림 (fail open)한 번 로그인하면 토큰 만료까지 권한 재검사 없음오리엔테이션에서 CIA와 인증·인가를 봤다. 원칙은 구체 기술(TLS, JWT) 앞에 적용하는 설계 규칙이다.1. 최소 권한..