OWASP 기준·자산 분류·위협 모델 기반으로 클라이언트 API 보안 취약점 점검 대응방안 수립결
클라이언트와 API 보안 취약점 점검 대응방안을 수립할 때 가장 먼저 하는 것은 점검 대상 자산 분류입니다. 모든 엔드포인트를 같은 수준으로 점검하면 중요하지 않은 것에 자원이 낭비됩니다. 민감 데이터를 다루는 API와 공개 정보만 반환하는 API를 구분해서 우선순위를 정합니다.
두 번째는 위협 모델 수립입니다. 어떤 공격자가 어떤 경로로 어떤 자산을 노릴지를 먼저 그려보는 작업입니다. 공격 트리를 그려보면 점검해야 할 시나리오가 명확해지고, 점검 항목이 실제 위협과 연결됩니다.
세 번째는 OWASP API Security Top 10 기반 점검입니다. 인증 우회, 과도한 데이터 노출, 기능 수준 권한 취약점 같은 항목을 체계적으로 확인합니다. 클라이언트 측에서는 민감 정보가 로컬 스토리지에 저장되거나, 인증 토큰이 URL에 노출되는 패턴을 중점으로 봅니다. 점검 결과는 위험도별로 정리해서 개선 우선순위를 명확하게 전달합니다.