SQL 인젝션 취약점 지적으로 백엔드 보안 원칙 체득 경험
팀 프로젝트에서 API를 개발하면서 백엔드 보안 취약점을 처음으로 의식적으로 점검한 경험이 있습니다. 초기에 사용자 입력을 그대로 쿼리에 넣었다가 SQL 인젝션 취약점이 있다는 걸 코드 리뷰에서 지적받았습니다. 그 이후 파라미터 바인딩 방식으로 쿼리를 수정하고, 인증 처리에서 JWT 토큰의 유효성 검증 로직을 꼼꼼히 검토했습니다.
보안은 기능 개발이 끝난 뒤에 추가하는 게 아니라 설계 단계부터 고려해야 한다는 걸 배웠고, 특히 사용자 입력은 어디서 들어오든 신뢰하지 않는다는 원칙을 코드에 적용했습니다. 지금도 새 API를 만들 때 OWASP Top 10 항목을 체크리스트로 훑어보는 습관을 유지하고 있습니다.