보안 SDLC 내재화 경험 - 위협 모델링과 코드 리뷰 통합 사례
인턴 때 개발팀에서 보안 리뷰가 출시 직전에만 몰리는 문제가 있었습니다. 저는 팀장님께 위협 모델링을 설계 단계에서 먼저 진행하는 방식을 제안했습니다. 처음에는 '시간이 더 걸린다'는 반응이었는데, 실제로 한 기능 설계 세션에서 인증 토큰 저장 방식에 취약점이 될 수 있는 패턴을 미리 발견하면서 팀 내 인식이 바뀌었습니다. 또 코드 리뷰 체크리스트에 OWASP Top 10 항목 중 자주 나오는 패턴을 5개로 추려서 붙였습니다. 리뷰어가 매번 보안 지식을 갖추고 있지 않아도 체크리스트 기반으로 확인할 수 있게 만든 것입니다. 실제로 SQL 인젝션 취약점이 될 수 있는 코드 패턴이 리뷰 단계에서 잡혔습니다. 보안을 별도 게이트로 두는 것보다 개발 흐름 안에 자연스럽게 녹이는 것이 팀 저항도 낮고 실질적으로 작동한다는 걸 그 경험에서 확인했습니다.