안전한 웹 어플리케이션 개발에 참고할만한 좋은 연재 내용.. First Line of Defense for Web Applications.. 최근 옥션이나 여러 사이트들에서 사용자 정보가 해킹되어 유출된 사례가 있어 더욱 보안이 중시되는 요즘 읽어볼만한 내용이다.. 업계 입장에서 본다면 이런 사례들이 어떤 경로를 통해 해킹을 당했고, 그에 대한 방어 방법은 어떤지 사례전파를 통해 정보를 공유할 수 있으면 좋겠지만 안그래도 혼나고 있는 업체들이 내용을 공개하지 않는 것 같다.. 사이버 수사대에서는 업체명을 거론하지 않고 이런 기술자료들을 공표할 수도 있을 것 같은데, 자신들의 업무가 아니라 생각하는건지 이미 공개되었는데 내가 찾지 못해 멍청한 소리 하는건지는 모르겠다.. 업체명도 거론하지 않고, 사례도 약간 다른 것 처럼 하여 이야기 할 수 있을텐데 좀 아쉬운 부분이고, 아직까지는 유료의 보안강좌 같은 것을 들어야만 얻을 수 있는 정보인가 보다.. 국가나 업계 차원에서 이런 부분에 대한 무료 강좌들일 많아 지면 좋지 않을까 생각하는데 아직은 나서는 사람도, 기관도 없어 보인다.. 한국소프트웨어진흥회 같은 곳에서 적극적으로 예산 편성을 하는등 나서주면 좋을 것 같기도 한데.. 아마도, 지금까지도 많은 지원활동을 했으며 앞으로도 많은 계획이 있으리라 생각한다..

사실 이런 부분은 엄밀히 말하면 업체 잘못이다.. 이런 사고가 있기 전에 이런 부분에 신경을 써야 하는 것이 업체 의무라 할 수 있다.. 하지만, 현재로서는 비용은 들면서 효과는 별로 없어 보이는 이런 부분에 투자를 하고 싶어하는 경영진은 별로 없다는 것이 문제다.. 이번 사태로 인식이 좀 바뀔 수 있겠지만, 대부분의 경우는 프로젝트의 비용과 기간은 그대로 이면서 이 부분에 대한 교육훈련 비용은 책정이 안되고 실무진 스스로 알아서 교육 혹은 학습을 통해 해결하라는 경우가 대부분이지 않을까.. 경쟁력 있는 개발자가 되기 위해 알아서 학습해야만 하는 시스템으로 가서는 안될 것 같은데..

최근에는 관공서나 기타 웹사이트 개발시 준수해야 하는 보안관련 사항들이 있기 때문에 개선되어가는 부분들이 많다.. 하지만, 보안 이슈는 언제나 관심을 가지고 일정 부분 이상의 투자를 하지 않는 한은 뒤따라 갈 수 밖에 없는 상황이다.. 사소한 부분 하나 하나에서부터, 설계단계에서부터 이런 부분들이 고려되어야 하는데 그렇지 않으면 지금까지 발견된 사항들만 조치가 되지 잠재적인 보안이슈가 될 수 있는 사항들에 대해서는 여전히 문제를 안고 가는 것이다.. 정작 중요한 부분은 이런 부분인데 말이다.. 지금까지 발견된 사항들 잘 조치를 해놓았어도 다른 부분에서 어이없게 뚫린다면 결과는 같다..

하지만, 여기에 많은 투자를 하는 Microsoft나 Adobe, 리눅스 공개 소프트웨어 그룹들도 많은 보안 패치들이 나오고 있는 상황을 보면 도대체 어느 정도의 투자가 각 기업의 상황에 맞는 보안에 대한 투자인지 결정하기 쉽지 않다.. 그렇기 때문에 많은 업체들이 프로그래머들 개개인의 몫으로 치부를 해버리고 신경쓰고 싶지 않아 하는 것일지도 모른다..

보안 문제는 업체 뿐만 아니라, 고객사, 사용자 모두가 같이 노력해야 대응이 되는 문제이기 때문에 평소에 많은 노력이 기울여져야 하는 부분도 사전 예방에 어려운 부분이 있다.. 회사 차원에서는 보안문제에 대한 투자를 최대한 늘리려는 노력을, 개발자들은 보안에 관한 경험체득을 위한 노력을, 사용자들은 위험성을 발견했을때 악용하기 보다는 개선방향을 찾기위한 노력을 해야할 것이다.. 써놓고 보니 절라 이상적이다..

꼬리말 : 옥션 해킹 범인이 잡혔다는데.. 중국 해커라네.. 배후에는 우리나라 개인정보 암거래상이 있다는군..