2026년 자체 호스팅 서비스에 대한 합리적인 보안 기준?

Source: Dev.to

High-level setup

• Linux 호스트
• Docker화된 서비스
• 공개적으로 노출되는 포트는 80/443만
• TLS를 종료하는 리버스 프록시 (HTTPS 강제 적용)
• ASP.NET (.NET 10) 내장 Identity + OAuth
• EF Core/ORM만 사용 (raw SQL 없음)
• 자동 인코딩, 사용자 HTML 렌더링 없음
• 기본 보안 헤더 (CSP, HSTS, nosniff, Referrer‑Policy, Permissions‑Policy)
• 호스트 방화벽 활성화 (기본적으로 들어오는 트래픽 차단)
• 정기적인 보안 업데이트 (OS + 컨테이너 재빌드, 자동 업그레이드)

Question

이것은 엔터프라이즈 수준을 목표로 하는 것이 아니라, 취미 앱에 합리적인 수준입니다. 이 단계에서 사람들이 흔히 놓치는 일반적인 사각지대(운영, 유지보수, 프로세스 측면)는 무엇인가요?