최소 권한 원칙과 IaC 기반 보안 관리 경험
팀 프로젝트에서 클라우드 환경 보안 설정을 담당하면서 기본기를 다진 경험이 있습니다. 처음에 IAM 정책을 와일드카드로 넓게 열어뒀다가 최소 권한 원칙이 왜 중요한지를 보안 스터디에서 배운 뒤 즉시 수정했습니다. 각 서비스가 실제로 쓰는 리소스만 허용하도록 역할을 분리했고, Security Group 규칙도 포트 단위로 제한했습니다.
설정 변경 이력을 남기는 것도 보안의 일부임을 그때 처음 실감했는데, 이후로는 인프라 변경을 IaC 코드로 관리해 PR로 리뷰받는 방식에 익숙해졌습니다. 지금도 새 클라우드 리소스를 만들 때 권한 범위를 먼저 정의하는 습관을 유지하고 있습니다.