반응형
애플리케이션 보안(Application Security)은 웹서비스·앱·API 등 ‘소프트웨어 자체’를 공격받지 않도록 보호하는 보안 영역이야.**
네트워크 보안이 “트래픽”, 시스템 보안이 “서버·OS”라면
➡️ 애플리케이션 보안은 ‘코드와 로직’을 보호하는 것이라고 보면 됨.
🔐 애플리케이션 보안이란? (실무 기준)
1️⃣ 취약점이 발생하지 않도록 개발단계에서 막기
(= 시큐어코딩, Secure Coding)
- 입력값 검증(Input Validation)
- SQL Injection 방지
- XSS 방지
- 인증/세션 관리 강화
- 안전한 API 호출
- 환경변수·비밀번호 노출 방지
- 암호화·해시(SHA-256, Bcrypt 등)
➡️ “코드 자체”에서 공격이 들어오지 않게 만들기
2️⃣ 개발된 소스코드 취약점 점검
- SAST(정적 분석): 코드에서 취약점 자동 탐지
- SCA(오픈소스 종속성 취약점 점검)
- 취약한 라이브러리 버전 사용 여부 점검
➡️ 코드에 숨은 취약점 제거
3️⃣ 운영 환경에서 실제 공격 시 경로 확인
- DAST(동적 분석): 실행 중인 웹서비스 공격 테스트
- 모의해킹(PenTest)
- API 모의 공격
➡️ 실제 공격 시 “뚫리는 부분”을 미리 검증
4️⃣ 애플리케이션 레벨 보안 설정
- JWT·OAuth 같은 인증 구조
- 토큰 관리
- 세션 타임아웃
- HTTPS 강제
- 브라우저 보안 헤더(HSTS, CSP 등)
➡️ 로그인·세션·토큰 등을 안전하게 운영
5️⃣ 운영 단계 보호
- WAF 룰 튜닝 (애플리케이션 공격 필터링)
- 로그 수집 → SIEM 연동
- API 게이트웨이 보안정책
- 속도 제한(Rate Limit), Bot 차단
➡️ 실제 서비스 운영 중에는 공격을 차단하며 모니터링
6️⃣ 소프트웨어 공급망 보안 (요즘 매우 중요)
- 오픈소스 라이브러리 취약점 체크
- CICD 파이프라인 보안
- 서명된 아티팩트 배포
- GitHub 권한 관리, 토큰 관리
➡️ 개발부터 배포까지 전체 흐름을 보호
🎯 한 문장 요약
애플리케이션 보안 = 서비스의 ‘코드·API·로그인·데이터처리 로직’을 공격받지 않게 만드는 모든 보안.
반응형