AI로 앱을 양산하는 시대의 '출시 전 5분' 최소한의 보안 가이드 | 복사/붙여넣기용 체크리스트 포함 (2026)

개인 개발자로 Web 앱을 계속해서 출시하는 분들을 위한 글입니다. 출시 전 5분 만에 통과할 수 있는 최소한의 위생 수칙과, 기능을 추가할 때만 발동시키는 추가 대책을 복사해서 사용할 수 있는 형태로 정리했습니다.

"돈도 없고 사용자도 없는 앱은 타겟이 되지 않는다"라는 말을 자주 듣습니다. 하지만 이것은 오해입니다.

현대 공격의 주류는 사람이 선택하는 표적형 공격이 아니라, bot에 의한 무차별·자동 스캔입니다. 공격자는 인터넷 전체를 기계적으로 조사하며, 알려진 취약점을 발견하는 즉시 침입합니다. 타겟이 되는 이유는 '돈' 때문이 아니라 '닿기 쉽고·자동화할 수 있기 때문'입니다.

작은 앱이라도 탈취당하면 발판(踏み台)·스팸 중계·마이닝(Mining)·피싱 배포에 사용됩니다. 사용자의 이메일이나 비밀번호(재사용 가치가 있는 정보)도 도난당합니다. "돈이 없다 = 안전하다"는 성립하지 않습니다. 노려지는 것은 은행 잔고가 아니라, 서버와 사용자의 데이터입니다.

AI로 앱을 양산할 수 있는 시대일수록 이 점이 중요하게 작용합니다. 생성은 빠르지만, 생성물의 안전은 아무도 보장해주지 않습니다. 출시하는 수가 늘어날수록, 출시 전의 최소한의 조치가 소홀해지기 쉽습니다.

모든 것을 완벽하게 할 필요는 없습니다. 지켜야 할 무게는 "보유한 자산 × 공격받을 확률 × 장애 발생 시의 영향"으로 결정됩니다.

고가의 대책(침투 테스트(Pentest) / WAF / 모니터링)은 지켜야 할 대상(사용자·데이터)이 생긴 다음에.

저렴한 베이스라인 위생은 첫날부터. 자동·무차별 공격은 "상수"로서 항상 발생하기 때문입니다.

이 기사의 A는 첫날부터 적용해야 할 상수이며, B는 기능 추가 시 트리거되는 요소입니다.

신규 앱마다 위에서부터 체크하며 통과하면 됩니다.

비밀 정보를 코드/리포지토리에 두지 않기 (.env를 gitignore 처리 · 키 직접 작성 금지)
HTTPS만 사용 (많은 PaaS는 자동 제공. HTTP→HTTPS 리다이렉트 확인)
보안 헤더 일괄 적용 (Express: helmet())
요청 크기 제한 (거대한 Body 거부)
기본 속도 제한 (Rate Limit)
의존성 최신화 및 감사 (npm audit + Dependabot)
에러로 내부 정보 유출 방지 (Stack trace를 사용자에게 반환하지 않음)
CORS는 구체적인 Origin만 허용 (*를 사용하지 말 것 · 특히 credentials 사용 시)
로그에 비밀 정보/PII(개인식별정보)를 남기지 않기
운영 환경에 디버그/관리 화면을 노출하지 않기

추가 기능	발동되는 대책
인증/로그인	비밀번호는 bcrypt / argon2로 해싱 · 자체 인증 구현 금지 · cookie는 HttpOnly + Secure + SameSite
DB	파라미터화 쿼리 (문자열 결합 SQL 금지 = SQLi 방지) · DB 유저는 최소 권한 부여
사용자 입력 표시	출력 이스케이프 (XSS 방지) · 입력 값 검증 (Validation)
개인 데이터 취득	↓ "개인정보 트리거" (법적 의무 발생)
...	서명 검증 필수 (송신처가 진짜인지 확인)
파일 업로드	종류/크기 제한 · 실행 가능한 영역에 두지 않기

취득은 최소한으로 · 이용 목적 명시 · 개인정보 처리방침 설치
안전 관리 조치 (접근 제어 · 암용화 · 접근 로그)
유출 시 보고 경로 (개인정보 보호 위원회 보고 + 본인 통지가 일정 규모 이상일 경우 의무)

.env
.env.*
node_modules/
...

import helmet from 'helmet';
import rateLimit from 'express-rate-limit';
app.use(helmet()); // CSP/HSTS/X-Content-Type-Options 등을 일괄 적용
...

res.cookie('session', token, { httpOnly: true, secure: true, sameSite: 'lax' });

import bcrypt from 'bcrypt';
const hash = await bcrypt.hash(password, 12);
const ok = await bcrypt.compare(input, hash);

// ❌ `SELECT * FROM users WHERE id = '${id}'`
// ✅
db.query('SELECT * FROM users WHERE id = $1', [id]);

app.use((err, req, res, _next) => {
console.error(err); // 로그에는 남김
res.status(500).json({ error: 'Internal Server Error' }); // 사용자에게는 상세 내용을 노출하지 않음
...

import crypto from 'crypto';
function verifySignature(rawBody, signature, secret) {
const expected = crypto.createHmac('sha256', secret).update(rawBody).digest('base64');
...

version: 2
updates:
- package-ecosystem: "npm"
...

고가의 대책 → 보호 대상(사용자/데이터)에 맞춰 나중에
베이스라인 위생 (Baseline Hygiene) → 첫날부터 (저렴하고 자동화된 공격에 상시 노출됨)
개인 데이터 → 보유하는 순간 법적 의무와 리스크 이전(보험/위임)을 진지하게 고려

양산하더라도, 각 앱이 벌거벗은 상태로 출시되지 않도록.

A를 5분 만에 훑고, 기능을 추가할 때마다 B를 발화시킨다.
이것만으로도 치명적인 사고의 대부분은 첫날에 방지할 수 있다.

사상·구성·교열: cmalu ractu

문장 생성: Claude (Anthropic)