최소 권한 원칙을 학습·사이드 프로젝트 경험과 연결하는 결
분산 시스템 보안에서 가장 중요하게 생각하는 원칙은 최소 권한(Least Privilege)입니다. 각 서비스가 자신의 기능에 꼭 필요한 권한만 가져야 침해 발생 시 피해 범위를 줄일 수 있습니다. 사이드 프로젝트에서 마이크로서비스를 처음 설계했을 때, 처음에는 편의상 모든 서비스에 동일한 DB 권한을 줬습니다. 이후 보안 스터디에서 이게 얼마나 위험한지 배우고 서비스별로 읽기 전용·쓰기 권한을 분리했습니다. 또 서비스 간 통신에 인증 토큰 없이 내부망이라 안전하다고 생각했는데, mTLS 개념을 배우고 내부 통신도 인증이 필요하다는 걸 알았습니다. 아직 프로덕션 수준 보안을 직접 설계한 경험은 없어서 현장에서 배워야 할 부분이 훨씬 많습니다. 다만 위협 모델링을 설계 초반에 함께 하는 것과, 보안을 나중에 덧붙이는 게 아니라 처음부터 고려하는 것이 중요하다는 방향은 이해하고 있습니다.