시큐어 코딩. 그리고 예전부터 올릴까 말까 하고 망설이기만 했던 글. 정보
시큐어 코딩. 그리고 예전부터 올릴까 말까 하고 망설이기만 했던 글.
본문
페이스북에서 이미 작년에 길게 쓴 글이 있었고, 그 내용을 그누에 몇번을 올릴까 망설였는데 이제 비슷한 내용의 글이 기사로 나왔으니 다시 한번 간추려서 페북에 올린 글을 그누보드에도 공유해봅니다.
페이스북에 글을 쓴 내용을 그대로 가져온 것이라 '~했다', '~한다'로 맺어지는데 이해해주세요ㅠㅠ
------------------------------------
얼마전에 이런 내용으로 페이스북에 글을 남긴 적이 있다. 개발일정을 잡을 때, 웹 취약점들은 개발초기 부터 설계해야 한다.
작업이 그리 어려운 것도 아니다. 하지만 침해사고가 없으면 티가 나지도 않는다.(대응이 잘되어도 티가 안난다) 그래서 인지몰라도 일정 잡을 때 자꾸 빼라는 명령을 많이 받는다.
그런데다 우리 나라 개발업계에는 참 나쁜 습관이 있는데, 리뉴얼 할때 원본 개발된 모듈을 참조해서 급조하는 일이 많다. 참조.. 말이 참조이지 그냥 "control + C, control + V" 해서 과거 코드가 문제 있던 말던 써버린다.
나름 '라이브러리'라고 쓰고 있는거다.
라이브러리도 어느정도 버전패치를 해줘야하는데, 개발일정은 항상 급하게 잡혀있고 '보안은 나중에 해도 되잖아!'라는 문화가 자리잡혀 있으니 자연스럽게 '후속조치'라는 곧 잊어버릴 말로 포장한 후에 '오픈완료'라고 잡는다.
개발업계의 이런 관행들이 고쳐지지 않으면 가장 배불리 잘먹고 잘사는 직종은 보안업계가 될 것이다. 왜냐면 국내의 취약점 사례를 잘 정리해서 패턴으로 규격화 하고, 유료 웹방화벽 솔루션만 판매해도 '역시 보안은, 전문가 한테 맡겨야 모든게 해결되는구나' 하고 돈 쥐어주면서 칭찬하니까.
지금 현업 개발자로 계시다면 팀장, 치킨집 말고 취약점 점검, 패치 등의 사업을 해보는 것도 괜찮다. 돈이 보이지 않는가.
농담이 아니다.
현재 업계의 심각한 버릇은 세가지다.
- 클라이언트 담당자가 언제나 마감일이 다가올때 급하게 의뢰한다.
- 개발사 영업팀은 클라이언트에게 실적을 위한 거짓말 '무조건된다'라고 말하고 따낸다.
- 개발자는 이미 급조작업에 익숙해져 개발자라는 이름이 무색하게 월급쟁이로 살아간다.
이것만 고쳐줘도 안녕들 하시게 된다.
------------------------------------
저것 보다 좀더 길게 정리해서 글을 쓰려고 했는데, 이런 저런일이 좀 많아서 못하고 있네요.ㅠㅠ
처음에는 1차로 일부 에이전시들의 관행을 문제로 삼고, 2차로 그들에게 의뢰하는 클라이언트들의 문제점에 대해 심층적으로 쓰려고 하고 있었지만 제가 제 밥그릇 차는 일이 될까 고민을 많이 하고 있었습니다.
그런데 이제 저런 기사도 났으니 조금 더 용기 내서 써보겠습니다.
추천
0
0
댓글 8개
댓글달려다가 너무어려워서 ㅋㅋㅋ 할말이없네요 ㅎㅎ
저도 어려워요 ㅋㅋㅋ 저도 아직 더 배워야할 것도 많고 알아가야 할 것이 많아요 ㅋㅋ
저번에 방사진보니까 공부를엄청하시는거 같던데 ㅋㅋ 역시 사람은 공부를해야 하는거같아요 ㅎㅎ
아 그 책꽂이에 들어차있던 라면냄비 받침들이요!? ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ
ㅋㅋㅋㅋ 아 오늘은 어떤놈으로 받쳐야 내 책상이 상처받지않을까 ㅋㅋ 안웃기네요 ㅎ
오늘은 하얀색 그라이데이션이 들어간 책으로 받쳐주세요!ㅋㅋㅋㅋㅋ
시큐어 코딩,
지당하고 옳으신 말씀입니다.
저의 경우,
웹서버 백업, 웹서버 업데이트하는 일 빼고나면, 스패머 IP 차단하는 일이 태반입니다.
스패머와 치열한 전투를 벌이는 중이랄까?
물론 웹싸이트를 치밀하게 업테이트를 하지 못한 저의 탓이 큽니다.
어느부분에 보안결함이 있는지는 모른채, 줄창 IP 차단만 하고 있는 것이 저의 요즘 일상입니다.
우리나라 보드 개발 업체에 자동 업데이트 구현해주고, 보안에 특별히 신경써 주기를 바라는 마음이 간절합니다
중국 발 해커들이 한국의 씨이트를 집중적으로 공격할 때에는그만큼 빈틈이 많아서 그러는 것이 아닌가 생각합니다.
지당하고 옳으신 말씀입니다.
저의 경우,
웹서버 백업, 웹서버 업데이트하는 일 빼고나면, 스패머 IP 차단하는 일이 태반입니다.
스패머와 치열한 전투를 벌이는 중이랄까?
물론 웹싸이트를 치밀하게 업테이트를 하지 못한 저의 탓이 큽니다.
어느부분에 보안결함이 있는지는 모른채, 줄창 IP 차단만 하고 있는 것이 저의 요즘 일상입니다.
우리나라 보드 개발 업체에 자동 업데이트 구현해주고, 보안에 특별히 신경써 주기를 바라는 마음이 간절합니다
중국 발 해커들이 한국의 씨이트를 집중적으로 공격할 때에는그만큼 빈틈이 많아서 그러는 것이 아닌가 생각합니다.
과거에 한참 여러 솔루션이 반짝하고 존재했다가 사라진 경우,
패치지원해줄 업체도 사라졌지만 그걸로 작업하는게 익숙해졌기 때문에 계속 패치없이 사용하는 구조가 되었죠.
ㅠㅠ
패치지원해줄 업체도 사라졌지만 그걸로 작업하는게 익숙해졌기 때문에 계속 패치없이 사용하는 구조가 되었죠.
ㅠㅠ
