최소 권한 + 이력 기반 정리
인턴 당시 방화벽 정책 리뷰 작업을 보조하면서 최소 권한 원칙을 처음 몸으로 이해했습니다. 오래된 정책 중에는 생성 목적을 알 수 없는 ANY-ANY 허용 규칙이 남아 있었는데, 그것이 얼마나 위험한지를 직접 확인하는 경험이 됐습니다. 허용 범위를 좁히는 방향으로 정리하되, 변경 전 영향 범위를 파악하기 위해 로그에서 실제 사용 이력이 있는지 먼저 확인하는 방식을 배웠습니다. 새 규칙 추가 시에는 목적, 요청자, 유효 기간을 명시하는 체계가 있었고, 주기적으로 리뷰해 불필요한 규칙을 제거하는 루틴이 중요하다는 걸 알게 됐습니다. 방화벽 정책은 한 번 만들면 끝이 아니라, 환경 변화에 맞게 지속적으로 관리하는 게 핵심이라고 봅니다.
정기 리뷰 없이 쌓인 정책은 결국 공격 표면이 된다는 걸 이 경험에서 배웠습니다.