토큰 만료 개선 → 설계 단계 보안 검토
인턴 기간에 백엔드 API에 인증·인가 체계를 구현하는 작업을 맡았습니다. JWT 토큰 기반 인증을 처음 구현했는데, 처음에는 만료 시간을 너무 길게 설정해 탈취 시 노출 시간이 길다는 피드백을 받았습니다. refresh token 로테이션 방식으로 개선했고, 민감 엔드포인트에는 권한 검사 미들웨어를 따로 걸어 인증과 인가를 분리했습니다. 보안 요건을 개발 초반에 반영하지 않으면 나중에 구조를 바꾸는 비용이 크다는 걸 이 과정에서 실감했습니다.
코드 리뷰 단계에서 SQL 인젝션 가능성이 있는 쿼리 구성 방식을 지적받고 파라미터 바인딩으로 수정한 경험도 있습니다. 보안을 후반에 붙이는 것보다 설계 단계에서 위협 모델을 가볍게라도 검토하는 것이 비용과 품질 측면에서 훨씬 효율적이라는 걸 배웠습니다.