구체적인 경험 한 가지로 시작하는 결
학부 캡스톤 웹 서비스 프로젝트에서 4명이 OAuth 로그인을 붙이던 중, 외부 라이브러리 버전이 뒤섞이면서 세션이 새로 발급되지 않는 인증 우회 가능성을 발견한 적이 있습니다. 당시 역할은 배포 전 점검이어서, 재현 절차를 먼저 적고 취약 지점을 분리해 원인을 추적했습니다. 이후 토큰 만료와 리다이렉트 검증을 다시 설계해 테스트했고, 하루 뒤 같은 흐름으로는 우회가 되지 않게 막았습니다. 처음엔 기능부터 고치려 했지만, 원인과 영향 범위를 먼저 나눠 보는 습관이 더 중요하다는 걸 배웠습니다. 지금도 위협을 보면 증상보다 재현 조건부터 확인하는 원칙을 유지하고 있습니다.