How do you ensure your code is secure?

이 질문은 단순한 보안 지식 확인이 아니라, 개발자로서 보안을 얼마나 신경쓰는지, 그리고 코드 작성, 리뷰, 배포 단계에서 구체적으로 어떤 보안 습관을 실천하고 있는지를 묻는 질문입니다.

면접에서는 기술 이름만 나열하기보다는 실제 코드 작성에서 주의하는 보안 포인트와 사례를 덧붙이는 것이 좋습니다.

To write secure code, I follow several practices throughout development. First, I always validate and sanitize user input to prevent common attacks like SQL injection or cross-site scripting. Even if I use a framework that handles some of it, I don’t rely on defaults blindly.

I also avoid hardcoding secrets by using environment variables, and I’m careful about handling authentication tokens or API keys in both frontend and backend code.

Before releasing code, I try to run static analysis tools or use linters with security rules enabled. And if I’m working on authentication or authorization logic, I make sure to apply the principle of least privilege.

보안적인 코드를 작성하기 위해 저는 개발 단계 전반에 걸쳐 몇 가지 원칙을 실천합니다. 먼저, 사용자 입력은 항상 검증하고 정제하여 SQL 인젝션이나 XSS(크로스 사이트 스크립팅) 같은 일반적인 공격을 방지합니다. 프레임워크에서 일부를 처리하더라도 기본 설정만 믿고 넘어가지 않습니다.

또한, 환경 변수를 활용해 비밀번호나 API 키 같은 민감 정보를 코드에 직접 작성하지 않도록 주의합니다. 특히 프론트엔드와 백엔드 모두에서 인증 관련 정보를 다룰 때는 더욱 신중하게 접근합니다.

코드를 배포하기 전에는 정적 분석 도구를 활용하여 취약점을 미리 점검하려고 합니다. 그리고 인증/권한 관리 코드를 작성할 때는 반드시 최소 권한 원칙을 따릅니다.

• sanitize user input: 사용자 입력을 정제하다
• environment variables: 환경 변수
• static analysis tools: 정적 분석 도구
• least privilege: 최소 권한 원칙

I believe writing secure code starts with the right mindset. I try to think like an attacker when reviewing sensitive logic — especially when handling user data, permissions, or financial operations.

On a team level, I encourage regular code reviews with a focus on security, not just functionality. I’ve also worked on projects where we integrated a dependency scanner like npm audit or Snyk to catch known vulnerabilities early.

In addition, I stay up to date with OWASP Top 10 and try to apply those principles when writing or reviewing code. For example, I’m careful to avoid insecure direct object references or improper error handling that might expose system internals.

저는 보안적인 코드를 작성하려면 먼저 보안 중심의 사고방식을 갖는 것이 중요하다고 생각합니다. 민감한 로직을 작성하거나 리뷰할 때는, 공격자의 입장에서 생각해보며 권한, 개인정보, 결제 기능 등을 점검합니다.

팀 단위에서는 기능 위주의 코드 리뷰를 넘어서, 보안 관점의 리뷰 문화를 도입하려고 노력합니다. 제가 참여했던 프로젝트에서는 npm audit이나 Snyk 같은 의존성 취약점 점검 도구를 사용해, 알려진 취약점을 조기에 차단한 경험도 있습니다.

또한 저는 OWASP Top 10과 같은 보안 권고안을 주기적으로 학습하고, 실제 코드에서 이를 반영하려고 합니다. 예를 들어, 직접 객체 참조 취약점이나 과도한 에러 메시지 노출 등은 항상 조심합니다.

• think like an attacker: 공격자의 입장에서 생각하다
• dependency scanner: 의존성 취약점 점검 도구
• insecure direct object references: 직접 객체 참조 취약점
• improper error handling: 부적절한 에러 처리