경험 기반 솔직한 접근
개발 보안 프로세스 수립 경험은 아직 초기 단계이지만, 인턴 시절 위협 모델링(Threat Modeling) 세션에 참관했습니다. STRIDE 프레임워크를 기반으로 각 기능 모듈에서 어떤 위협이 발생할 수 있는지를 식별하는 과정을 지켜봤습니다. 이 경험을 통해 보안은 코드 작성 후가 아니라 설계 단계부터 같이 고려해야 비용이 낮다는 것을 이해했습니다. 코드 리뷰 단계에서는 `SAST 도구`를 파이프라인에 연동해 정적 분석 결과를 자동으로 검토하도록 설정하는 방식을 배웠습니다. 릴리즈 전에는 외부 접점이 있는 기능에 대한 보안 테스트를 별도로 수행하는 것이 중요합니다. 개발 보안 프로세스의 핵심은 개발자에게 부담이 아닌 자동화된 안전망으로 느껴지게 만드는 것이라고 생각합니다. 보안 문화가 정착되어야 프로세스가 지속됩니다.