초보자는 종종 내 프로젝트는 작으니까 괜찮겠지라고 생각한다. 하지만 작은 프로젝트일수록 실수도 단순하고 치명적일 수 있다.
보안을 깊게 공부하기 전에, 절대 코드에 두지 말아야 하는 것과 사용자 입력을 어떻게 다뤄야 하는지만 알아도 큰 차이가 난다.
기본 보안은 습관에서 시작한다
비밀번호나 API 키를 코드에 그대로 올리지 않는 것, 사용자 입력을 그대로 믿지 않는 것, 관리자 기능을 누구나 접근 가능하게 두지 않는 것만으로도 입문 프로젝트의 위험이 크게 줄어든다.
보안은 나중에 붙이는 추가 기능이 아니라, 처음부터 이 값은 공개해도 되는가를 묻는 습관과 가깝다.
입문 프로젝트 보안 체크
- 비밀키와 비밀번호를 코드에 직접 넣지 않는다.
- 사용자 입력은 길이와 형식을 검증한다.
- 에러 메시지에 민감한 내부 정보를 그대로 노출하지 않는다.
- 관리자 화면과 일반 사용자 화면을 구분한다.
작은 프로젝트라도 공개될 수 있다면, 이미 보안을 생각해야 하는 프로젝트다.
이 글의 포인트
- 보안은 큰 서비스에서만 필요한 것이 아니다.
- 비밀값 분리와 입력 검증은 초보자도 바로 적용할 수 있다.
- 이 정보가 공개돼도 괜찮은가를 묻는 습관이 첫걸음이다.