참석자 API는 외부 시스템에 노출될 준비가 된 것처럼 보일 수 있음. API는 구현 속도가 빠르고 미래의 호환성을 고려해 설계하기가 까다로우며 안전하게 구현하기는 더욱 어려움.

→ 사실 개발자와 아키텍트가 기능의 구현에만 집중하고 보안은 거의 프로젝트 막바지에 고려하는 경우가 많음

이번 장에서는

• 보안이 중요한 이유와 보안을 제대로 갖추지 않을 때 우리의 평판에 어떤 문제가 생기는지, 그리고 뒤늦게 보안을 갖추는 것이 얼마나 어려운지 알아봄
• 시스템 아키텍처가 어느 지점에서 보안에 취약한지 살펴보고 프로덕션 환경에서 발생할 수 있는 위협을 알아내는 방법을 알아봄.

제어 부분이 미치지 못하는 ‘외부’ 시스템이 등장하면 새로운 방법이 필요함.

사례 연구: 참석자 API에 OWASP 적용하기

먼저 위협 모델링을 적용해 안전한 시스템을 설계하는 것부터 시작해보자. 그런 후에는 다음 그림에서 보듯이 위협을 모델링하는 방법 그리고 참석자 서비스와 API에 이를 반영하는 방법을 알아봄.

위협 모델링의 핵심 컴포넌트는 잠재적인 보안 취약점을 찾는 것이기에 이슈를 찾을 때 영감을 얻을 수도 있고 발견한 위협을 처리할 때 참고도 할 수 있는 OWASP API 보안 톱 10을 살펴봄.

공개 웹 애플리케이션 보안 프로젝트(Open Web Application Security Project, OWASP)는 소프트웨어의 보안 개선에 힘쓰는 비영리 재단임

→ 잘 알려진 프로젝트는 OWASP 톱 10임.

→ 이는 웹 애플리케이션이 직면할 수 있는 가장 주용한 보안 위험의 목록