요즘 시스템은 API 중심으로 흘러간다.그래서 보안 점검에서도 “API 인증 붙였나요?”로 끝내면 안 되는 경우가 많다.API는 인증이 시작점이고, 실제 사고는 다른 지점에서 터지는 일이 많다.인증 다음에 봐야 하는 것: 인가(Authorization)인증은 “누구냐”를 확인하고, 인가는 “무엇을 할 수 있냐”를 정한다.API 사고는 보통 인가에서 나온다.본인 데이터만 조회해야 하는데 다른 사용자 데이터가 조회되는 경우역할에 따라 접근 범위가 달라야 하는데 통제가 느슨한 경우객체 단위 인가가 빠져서 ID만 바꾸면 다른 데이터가 보이는 경우실무에서는 이걸 “객체 수준 접근통제” 관점으로 반드시 체크한다.속도 제한과 남용 방지: Rate Limit은 보안이다API는 공격자가 자동화하기 좋은 구조다.그래서 다..