API 엔드포인트에 /log/가 들어가면 문제가 될까?

운영 중인 API 경로에 /log/라는 키워드가 들어가 있었다. 그러던 중 WAF 담당 부서쪽에서 이 경로명을 다른 것으로 바꿀 수 없냐”는 요청이 들어왔다. 단순히 문자열일 뿐인데 왜 문제가 될까?

---

1. 경로명 자체는 취약점이 아니다

URL에 log라는 단어가 들어간다고 해서 자동으로 뚫리거나 해킹되는 것은 아니다. 단어 하나 때문에 보안이 깨지는 일은 없다.

---

2. 그러나 의심을 살 수 있다

보안 장비(WAF, IDS)는 흔히 쓰이는 단어를 기반으로 탐지 규칙을 만들기도 한다. 
따라서 /log/라는 엔드포인트가 있으면 “혹시 로그 열람 API인가?” 하는 의심을 받을 수 있고, 그 자체로 주의를 끌 수 있다.

---

3. 그래서 이름을 바꾸기도 한다

보안상 큰 의미는 없더라도, 불필요하게 오탐이나 오해를 만들지 않기 위해 경로명을 다른 단어로 교체하는 경우가 있다.
즉, 네이밍 변경은 본질적인 보안 강화라기보다는 운영상의 불편을 줄이기 위한 조치라고 할 수 있다.

---

결론

• /log/라는 문자열 자체가 보안 취약점은 아니다.
• 다만 보안 장비나 보안팀에서 민감하게 볼 수 있는 키워드라면 피하는 게 좋다.
• 결국 중요한 건 이름이 아니라, 해당 API에 인증과 접근 통제가 제대로 적용되어 있느냐이다.