## 📝 개요 - 인증 로직 점검 중 발견된 보안 이슈 3건을 개선합니다. 1. SMS 인증번호 무차별 대입(brute-force) 방어 부재 2. 운영 로그에 SMS 인증번호 평문 노출 3. 주석 정정 (인증 보장 토큰에 관련해서) ## ✔️ To-Do - [ ] SMS 검증 실패 카운터 추가 (번호별 5회 초과 시 코드 무효화, Redis 활용) - [ ] `sendSms()` 발송 성공 로그에서 인증번호(`code`) 제거 - [ ] verification token 재사용 관련 주석 정정 (`검증 및 소멸` → 재사용 가능 명시) ## 👀 ETC - 검증 실패 카운터는 기존 로그인 실패 5회 잠금 로직과 동일한 패턴 적용 - DEV/QA 모드(`smsEnabled=false`)의 코드 로그(108번 줄)는 테스트용이므로 유지
📝 개요
✔️ To-Do
sendSms()발송 성공 로그에서 인증번호(code) 제거검증 및 소멸→ 재사용 가능 명시)👀 ETC
smsEnabled=false)의 코드 로그(108번 줄)는 테스트용이므로 유지