본문 바로가기

Secure coding

[시큐어 코딩] 해킹 당했다. 어디서부터 잘못된 거지? 하루가 멀다 하고 해킹 사고가 뉴스에 오르내리고 있습니다. 최근에는 숙박 앱이 해킹되어 개인 정보와 숙박 기록까지 유출된 것으로 추정되어 한바탕 소동이 일고 있습니다. 또 중국에서는 최근의 국내 군사 움직임을 문제 삼아 보복성 해킹 공격을 예고하고 또 실행하기도 했습니다. 이러한 환경에서 과연 우리의 IT 시스템은 얼마나 안전할 수 있을까요? 전문가들은 보안은 100% 안전할 수 없다고 말합니다. 그래서 기업의 보안담당자들은 치솟아만 가는 해킹의 위협 속에서 “제발 우리 회사는 공격 대상이 안됐으면 좋겠다”라든지, “설마, 우리 회사를 공격하겠어?”라는 기대와 희망이 교차하리라 생각됩니다. 물론 이미 다양한 방법으로 해킹 공격에 대응을 하는 회사도 있습니다. 또는 열심히 기도를 하고 있을 수도 있겠네요... 더보기
프로젝트에서 소스 코드 보안 점검하기 최근 인공지능, 빅데이터, VR에 대한 소식이 많이 들리고 있는데요. 이런 것들이 점차 하드웨어보다 소프트웨어에 대한 중요성이 더욱 커지고 있는 현상을 보여주고 있는 것이 아닐까 합니다. 이러한 현상과 함께 이곳 저곳에서 해킹을 당했다는 소식도 많이 들려와 보안을 업으로 하는 입장에서 안타까움이 큽니다. 2010년도 들어오면서 정부에서 안전한 개발에 대한 지원을 하고 있어 보다 안전한 소프트웨어가 확산될 수 있기를 기대하고 있습니다. 이러한 상황에서 시큐어 코딩이(Secure Coding)라는 용어가 확대되고 있는데요. 이를 계기로 보안에 대해서 좀 더 깊이있게 생각해 보고자 합니다. 시큐어 코딩이란? 행정자치부 시큐어 코딩 가이드를 참조하면 시큐어 코딩이란 해킹 등 사이버 공격의 원인이 되는 보안 약점.. 더보기
소프트웨어 개발 보안 – 시큐어 코딩 사이버 공격 기술은 끊임없이 진화하고 있습니다. 해커들은 다양한 소프트웨어와 시스템의 취약점을 찾아내 공격하는데요. 다음 그림은 소프트웨어 취약점을 통해 공격하는 패턴입니다. DB와 연동된 소프트웨어에서 입력된 데이터의 유효성을 검증하지 않는다면, SQL문을 조작하여 DB에 저장된 열람 권한이 없는 정보들에 접근할 수 있거나, 디렉토리 경로 조작을 통해 서버 내 주요 파일을 다운로드 할 수 있습니다. l SQL 삽입: 웹페이지에서 입력이 가능한 부분에 공격 스크립트를 삽입하여 공격 시도 l 디렉토리 경로 조작: 접근 제한 영역에 대한 경로 문자열 구성, 정보 누출 유발 시큐어 코딩(Secure Coding)은 소프트웨어를 개발하는 과정에서 코딩 시에 개발자의 실수나 오류, 약점 또는 취약점이 삽입되지 않.. 더보기