보안 코딩이란 무엇인가요?
보안 코딩은 악의적인 행위자나 맬웨어의 공격에 저항할 수 있는 강력한 프로그램을 작성하는 관행을 말합니다. 인터넷에서는 소프트웨어 취약점이 공격에 악용되거나 맬웨어의 진입점으로 사용되는 경우가 잦습니다. 이러한 취약점의 대부분은 부주의한 설계나 프로그래밍 오류에서 비롯됩니다. 보안 코딩은 이러한 취약점을 방지하기 위한 코딩 관행에 대한 일반적인 용어입니다.
예를 들어, 웹 애플리케이션에서 양식에서 수신한 입력은 항상 정리되어야 합니다. 즉, 공격에 사용될 수 있는 유해한 문자를 제거해야 합니다. 보안 코딩에서는 "어떤 입력도 절대 믿지 마세요"라는 원칙이 가장 중요합니다. 프로그램이 예상하지 못한 데이터를 수신하는 경우에도 보안 코딩은 엄격한 입력 검증을 통해 애플리케이션이 예측 가능하고 안전하게 응답하도록 보장합니다. 이는 안전한 코딩을 향한 첫 번째 단계입니다.
또한, 웹 애플리케이션 보안 문제 해결에 중점을 둔 글로벌 오픈 커뮤니티인 OWASP(The Open Web Application Security Project)가 제공하는 도구, 프레임워크 및 지침을 활용하면 웹 애플리케이션의 보안을 크게 강화할 수 있습니다.
하지만 모든 웹 애플리케이션에 보안 코딩 관행을 포괄적으로 적용하는 것은 쉬운 일이 아닙니다. 이러한 과제에 대한 실용적인 해결책은 WAF(웹 애플리케이션 방화벽)를 구현하는 것입니다. WAF는 애플리케이션 수준의 통신을 모니터링하고 악성 또는 의심스러운 트래픽을 차단할 수 있습니다. 이러한 솔루션의 대표적인 예로는 웹 애플리케이션 공격에 대해 강력한 보호 기능을 제공하는 F5 BIG-IP가 있습니다.