종종 IT보안 관련 내용들을 보다보면, Positive Security Model 과 Negative Security Model 에 대한 내용들을 종종 볼 수 있다. (나는 업무 특성상, WAF/WAAP 계열 제품에서 많이 듣게되었다.) 해당 내용들이 헷갈리기 때문에, 잊어먹지 않기 위해 각 내용들에 대해 간략히 정리해 본다. Positive Security Model 단어 뜻대로 직역하면 "긍정적 보안 모델" 이다. (해석만 놓고보면 헷갈리기 쉽다.) 보안적 측면에서 보면, "허용할" 대상들에 대해서 미리 정의해놓는 개념이다. 쉽게 얘기하면 Allow List의 개념으로, 웹방화벽으로 따지면 접속할 URL/경로 등을 미리 정의해놓고, 나머지 경로에 대해서는 접속을 막아놓는 개념으로 볼 수 있다. Neg..