以下はすべて、すくなくとも無料版の個人版のGASのwebアプリについての言及です。

①このアプリのURLさえ流出しなければ外部からのアクセスを防げるのか（ライブラリからの検索などで、外発的にURLやIDを取得することは可能なのか）

　
Goodle URLが流出しなくとも、外部からのアクセスを100%完全には防ぐことは不可能です。
ライブラリからの検索などで取得することを100%完全に防ぐことも不可能です。
なぜならデプロイURLやライブラリの識別に使われる文字種や文字数は固定されているからです。たとえば総当たりすればあなたのURLにたどり着けます。
なお「それが現実的に可能な程度の容易さであるのか？」については、定量的な調査結果がないため答えようがありません。

②このwebアプリにアクセスできた場合、どこまでその人物が情報を取得・操作できるのか（GASの関数、スプレッドシートの内容、延いては私のGoogleアカウントに紐づけられている情報の全て等）

ちょっと考えればわかる至極当たり前の話ですが、そのwebアプリのアクセス権設定の限りにおいて、そのアプリで操作できるように実装されているすべてのことが可能です。

たとえばそのGASで作ったwebアプリが、デプロイURLに適切なパラメータを付加してGETリクエストを送れば特定のスプレッドシートの内容をJSON形式で返すような作りになっていた場合、
ある人が、そのデプロイURLとパラメータさえ知っていれば、自由にスプレッドシートの内容を取り出せることになります。

①ともかかわりますが、

次のユーザーとして実行:自分
アクセスできるユーザー:全員

これがすべての元凶です。

（ログイン画面とかユーザー管理とか面倒くさそうだから作りたくない、という気持ちはすごくわかりますけどね）

セキュリティを神経質に気にするなら、少なくとも無料・個人版のGASは使わない方がいいでしょう。（では有料版・企業版なら大丈夫なのか、どうすれば大丈夫にできるのかという点については、本質問の対象外のため回答を控えます）