---
id: P-REINFORCE-AUTO-WIKI-SEC-007
category: Unified
confidence_score: 0.95
tags: [security, code-review, secure-coding, owasp, adversarial-mindset, p-reinforce]
last_reinforced: 2026-05-01
---

# [[Security-focused Code Review|Security-focused Code Review]]

## 📌 한 줄 통찰 (The Karpathy Summary)
> "애플리케이션의 기능성을 넘어 '공격자가 시스템을 어떻게 악용할 수 있는가?'라는 적대적 관점(Adversarial Mindset)에서 코드를 감사하여, 치명적인 보안 결함을 배포 전 차단하는 품질의 최전선."

## 📖 구조화된 지식 (Synthesized Content)
보안 중심 코드 리뷰는 단순한 버그 탐지를 넘어 시스템의 신뢰 경계(Trust Boundary)를 보호하는 핵심 프로세스입니다.

1.  **공격자 관점의 전환**:
    *   기능적 단위 테스트를 통과한 코드라도 인가 우회, 인젝션 가능성 등을 의심하며 검토합니다.
    *   조기 발견을 통해 프로덕션 사고 비용과 기술 부채를 기하급수적으로 절감합니다.
2.  **핵심 체크리스트 (OWASP 기반)**:
    *   **입력값 검증**: 모든 외부 데이터를 위협으로 간주하고 살균(Sanitization) 및 허용 목록(Allow-list) 검증을 수행합니다.
    *   **인증 및 인가**: 최소 권한 원칙(Principle of Least Privilege) 준수 및 권한 검사 로직의 무결성을 확인합니다.
    *   **민감 정보 보호**: API 키나 토큰의 하드코딩 여부를 점검하고 암호화 알고리즘의 적절성을 평가합니다.
    *   **의존성 검증**: 서드파티 라이브러리의 알려진 취약점(CVE)을 감시합니다.
3.  **하이브리드 접근**:
    *   SAST, DAST, SCA 등 자동화 도구로 기초 결함을 필터링하고, 인간 리뷰어는 복잡한 비즈니스 로직 우회 및 아키텍처 수준의 보안 취약점 검토에 집중합니다.

## ⚠️ 모순 및 업데이트 (Contradictions & RL Update)
- **AI 생성 코드의 위협**: AI 코딩 어시스턴트가 생성한 코드는 사람이 짠 코드보다 취약점을 포함할 확률이 높으며, 환각(Hallucination)을 통한 악성 패키지 추천 위험이 있습니다. AI 생성 코드에 대해서는 더 엄격한 보안 검열이 요구됩니다.
- **검토 속도 vs 엄격성**: 모든 PR에 심층 보안 리뷰를 강제하면 병목이 발생합니다. 위험 기반 코드 리뷰(Risk-based review)를 통해 민감한 데이터를 다루는 핵심 로직에 리뷰 자원을 집중해야 합니다.

## 🔗 지식 연결 (Graph)
- [[OWASP Top 10|OWASP Top 10]]: 보안 리뷰의 표준 체크리스트.
- [[Shift-Left & Supply Chain Security|Shift-Left & Supply Chain Security]]: 보안 리뷰를 앞당기는 전략.
- [[Automated Quality & Review|Automated Quality & Review]]: 보안 자동화 도구의 통합.
- [[Architecture Review (아키텍처 및 설계 리뷰)|Architecture Review]]: 설계 단계에서의 보안 검토.
- Principle of Least Privilege: 보안 설계의 대원칙.
---