stack-analysis
CHAPTER 110 / 120
읽기 약 2분
FUNCTION
보안 종합: 프로덕션 보안 체크리스트 50항목
핵심 개념
인증·권한·통신·데이터·인프라·운영·법률 — 출시 전 50가지 검증.
본문
보안 체크리스트 — 7영역 50항목
[인증 & 세션] (8)
☐ 비밀번호 해시 (bcrypt 12+)
☐ 비밀번호 정책 (10자+, 복잡)
☐ Rate limit (로그인 5/분)
☐ 계정 잠금 (10회 실패)
☐ 2FA 옵션 (TOTP)
☐ Session timeout (idle 30분, absolute 7일)
☐ 안전한 토큰 저장 (httpOnly cookie)
☐ 로그아웃 시 토큰 revoke
[권한 & 접근] (7)
☐ RBAC (역할 기반)
☐ 모든 API에 인증 미들웨어
☐ 리소스 소유자 검증 (IDOR 방어)
☐ Admin endpoint 추가 검증
☐ API key (외부 통합)
☐ Scope 기반 권한
☐ Tenant isolation (멀티테넌시)
[입력 검증] (8)
☐ Zod 스키마 모든 endpoint
☐ SQL Injection (Prisma·parameterized)
☐ NoSQL Injection (sanitize)
☐ XSS (React + DOMPurify)
☐ Path Traversal 방어
☐ Command Injection (execFile)
☐ SSRF (URL 화이트리스트)
☐ XXE (XML External Entity) 차단
[통신 보안] (7)
☐ HTTPS 강제 (HSTS)
☐ TLS 1.2+ 만 허용
☐ 인증서 자동 갱신
☐ CSP 헤더 적용
☐ Mixed Content 차단
☐ CORS 화이트리스트
☐ CSRF 방어 (SameSite + token)
[데이터 보호] (7)
☐ 민감 정보 암호화 저장
☐ 비밀번호 평문 로그 X
☐ 신용카드 PCI DSS (Stripe·토스)
☐ 개인정보 최소 수집
☐ DB 백업 + 암호화
☐ 백업 복구 정기 테스트
☐ 데이터 보존 정책 (3~5년)
[인프라 보안] (8)
☐ 환경변수 안전 관리 (Doppler·Vault)
☐ 시크릿 회전 (90일~1년)
☐ DB 접근 제어 (VPC + IAM)
☐ Least privilege (DB 사용자 분리)
☐ WAF 활성 (Cloudflare)
☐ DDoS 방어 (CDN)
☐ 의존성 업데이트 (Dependabot)
☐ 이미지 스캔 (Docker)
[운영 & 모니터링] (5)
☐ 보안 로그 수집 (실패 인증·권한 위반)
☐ 알림 (이상 활동)
☐ Sentry · 에러 추적
☐ Audit log (변경 이력)
☐ 침투 테스트 (연 1회)출시 직전 체크 (Go-Live)
[1주 전]
☐ Lighthouse · Mozilla Observatory 90+
☐ securityheaders.com A+
☐ 내부 보안 리뷰
☐ 펜테스트 (선택)
[전날]
☐ ENV 변수 production 값 확인
☐ ADSENSE_ACTIVE 등 플래그 검증
☐ Rate limit 임계치 검증
☐ 백업 활성 확인
[당일]
☐ 첫 1시간 모니터링 집중
☐ Sentry 알림 활성
☐ 트래픽 정상 패턴 확인
☐ 핵심 사용자 시나리오 수동 테스트
[출시 후 1주]
☐ 매일 보안 로그 검토
☐ 의심 활동 분석
☐ 사용자 피드백 수집보안 사고 대응 (IR Playbook)
[감지 단계]
1. 알림 수신 (Sentry·Slack·이메일)
2. Severity 분류:
- P0: 데이터 유출, 서비스 다운
- P1: 권한 우회, 결제 오류
- P2: 의심 활동, 비정상 패턴
[격리 단계]
1. 영향 범위 파악
2. 즉시 차단 (IP·계정·기능)
3. 백업 확인 (롤백 준비)
[복구 단계]
1. 패치 또는 롤백
2. 검증
3. 재배포
[사후 분석]
1. 5 Whys 분석
2. 재발 방지 조치
3. 사용자 통보 (필요 시)
4. Post-mortem 문서
[법적 의무]
- 한국 개인정보보호법: 24시간 내 KISA 신고
- GDPR: 72시간 내 DPA 신고
- 사용자 통보 (영향 받은 경우)한국 컴플라이언스
[필수]
☐ 개인정보처리방침
☐ 이용약관
☐ KISA SSL 인증
☐ 사업자 정보 표시 (전자상거래법)
[조건부]
☐ 통신판매업 신고 (이커머스)
☐ 개인정보보호 책임자 (CPO) 지정
☐ ISMS-P 인증 (대규모)
☐ PCI DSS (카드 직접 처리 — Stripe·토스 사용 시 면제)
[국제]
☐ GDPR (EU 사용자)
☐ COPPA (만 13세 이하)
☐ CCPA (캘리포니아)도구 추천
[검증]
- securityheaders.com (헤더)
- observatory.mozilla.org (전반)
- ssllabs.com/ssltest/ (SSL)
- csp-evaluator.withgoogle.com (CSP)
[스캔]
- OWASP ZAP (자동)
- Burp Suite (수동)
- Snyk (의존성)
- Trivy (Docker 이미지)
[모니터링]
- Sentry (에러)
- Cloudflare (WAF)
- Datadog (운영)
- 1Password (시크릿)파트 4 정리 (보안)
✅ HTTPS·TLS·HSTS — 통신
✅ Auth — Session vs JWT vs OAuth2
✅ OWASP Top 10 — 방어 코드
✅ CSP — XSS 마지막 방어
✅ SQL Injection — Prisma·parameterized
✅ XSS — React 자동 + DOMPurify
✅ CSRF — SameSite + token
✅ 파일 업로드 — Magic Byte + 격리
✅ 의존성 — npm audit + Renovate
✅ 50항목 체크리스트
다음 모듈:
CH.111~120 "스케일링과 아키텍처"다음 모듈
CH.111 "수평 확장 vs 수직 확장 판단".
AI 프롬프트
🤖 AI에게 잘 물어보는 법 — 모델·전략별 프롬프트
Claude
무료: Sonnet 4.6 / Pro $20/mo: Opus 4.6
내 코드의 보안 체크리스트 부분을 분석해서 실전 분석 + 개선 우선순위를 알려줘.
ChatGPT
무료: GPT-5.5 / Plus $20/mo: GPT-5.5 Pro
보안 체크리스트 관련 베스트 프랙티스 5가지를 비교 분석해서 패턴 추출를 알려줘.
Gemini
무료: 2.5 Flash / Pro $19.99/mo: 3.1 Pro
내 프로젝트 전체에서 보안 체크리스트 최적화 가능 위치를 보고해줘.
Grok
무료: Grok 4.1 / SuperGrok $30/mo
2026년 한국 시장의 보안 체크리스트 트렌드를 솔직히 알려줘.
⭐ 이것만 기억하세요
보안 종합: 프로덕션 보안 체크리스트 50항목은 이 3가지만 확실히 잡으세요
1.7영역 50항목 — 출시 전 모두 검증
2.한국 컴플라이언스 = 개인정보 + 통신판매업 + KISA
3.IR Playbook = 감지·격리·복구·사후 분석 4단계
공유하기
진행도 110 / 120