경험 중심 1인칭 답변
보안 통제를 시스템 설계에 통합할 때 저는 기능 요구사항을 정리하는 단계에서 보안 요구사항을 함께 도출하는 방식을 선호합니다. 사후에 보안을 덧붙이면 구조적으로 어색해지는 경우가 많기 때문입니다. 팀 프로젝트에서 인증·권한 설계를 초기 ERD 단계부터 논의했고, 덕분에 후반에 접근 제어 로직을 추가할 때 구조 변경 없이 자연스럽게 녹아들었습니다. 다양한 팀과 협력할 때는 보안 요구사항을 개발팀이 이해할 수 있는 기술 명세로 변환하는 역할이 중요했습니다. 보안 정책이 추상적으로만 전달되면 구현 단계에서 해석이 달라지는 문제가 생기기 때문입니다.
보안은 마지막에 점검하는 것이 아니라 설계 초기부터 내재화하는 것이라고 생각합니다.