기준 제시 + 협상 방식
개발 편의성과 보안 정책이 충돌할 때 저는 보안 리스크의 규모와 발생 가능성을 먼저 평가하겠습니다. 모든 불편이 보안 때문이라면 개발자가 정책을 우회하려는 시도가 생기고, 그게 더 큰 리스크를 만든다는 걸 수업 케이스에서 배웠습니다. 실제 위협이 낮은 환경에서 지나치게 강한 제한보다 합리적인 기준을 설명하고 동의를 얻는 것이 장기적으로 더 효과적입니다. 반면 민감 데이터나 인증 정보가 관련된 부분은 편의성보다 보안을 우선하는 게 맞다고 생각합니다. 절충점은 위험도가 낮은 부분에 유연성을 주고, 핵심 보호 대상에는 원칙을 유지하는 방식입니다. 개발자와 대화를 먼저 해서 진짜 불편한 지점을 파악하는 것이 시작입니다. 개발자가 정책을 이해하고 따르는 구조를 만드는 것이 강제보다 더 지속 가능합니다.
설명 가능한 보안 정책이 조직 내에서 더 잘 지켜진다는 걸 배웠습니다.