Microsoft 의 STRIDE 모델은 어떤 시스템이든 마주칠 공격 종류를 스캔하는 6글자 체크리스트야. 엔터프라이즈 threat modeling 에는 과하고, 솔로 작업에는 딱 맞아 — 머릿속에서 60초에 돌릴 수 있거든.
| 글자 | 위협 | 솔로 개발자 예시 |
|---|---|---|
| Spoofing | 다른 사람 행세 | auth 없이 엔드포인트 치는 사람은 자동으로 "너" |
| Tampering | 전송 중/저장 중 데이터 변조 | HTTP (S 없음) 면 카페 공격자가 API response 다시 쓸 수 있어 |
| Repudiation | 해놓고 안 했다고 부인 | audit log 없음 = 분실 윈도우 동안 뭔 일 있었는지 모름 |
| Information disclosure | 의도 안 한 데이터 누출 | 열린 /admin; verbose error stack; repo 의 .env |
| Denial of service | 크래시 시키거나 과부하 | 인터넷의 누구든 네 Ollama 엔드포인트 spam 해서 VRAM 태울 수 있어 |
| Elevation of privilege | 사용자가 admin 으로 승격 | "앱에 도달하는 사람" = "admin 이 할 수 있는 모든 걸 할 수 있는 사람" |
60초 드릴
네가 ship 하는 surface 마다 6글자 소리 내어 walk. 결과는 받아들인 gap 과 받아들이지 않은 gap 의 빠른 리스트. 6개 다 *고칠* 필요 없어 — 6개 다 *볼* 필요는 있어.