2008. 6. 1. 23:38 Review/Book
당신의 웹페이지는 안녕하십니까? - PHP보안 : 몇 줄의 코드로 안전하게
여유가 없는 삶을 살다보면, 생활의 많은 것을 포기하게 된다. 자신이 쥐고 있는 것 들을 일열로 나열한 뒤 가장 중요도가 낮다고 생각하는 것 부터 하나하나 버리게 되는데, 물론 순서는 각자의 기준에 따라 바뀐다.
웹서비스를 개발하는 것도 마찬가지이다. 서비스 구상과 아이디어
회의를 하고, 기획안을 작성하고, 디자인을 하고, 개발을 하는데, 모두 다른 각각의 역할에서 한가지 공통점이 있다면 그것은 바로 언제나, 늘
시간이 부족 하다는 것이다.
이렇게 여유가 없는 프로젝트를 진행하다 보면 마찬가지로 프로젝트의 많은 것을 포기하게, 아니 포기해야 된다.
다른 부분은 차치하고라도 개발의 경우는 이런 현상이 꽤 심하다.
여유 없는 상황에서 개발하는 과정 역시 여유 없는 삶을 사는 것과 마찬가지로 몇가지 것들을 버리게 되는데, (좋지 않은 현상이지만)한가지 다른점이 있다면 최우선순위에 해당하는 몇몇 개를 제외하고는 우선순위에 크게 구애받지 않는 다는 것이다.
어떻게 보면 최우선순위에 속하지만, 우선순위에 크게 구애받지 않는 유력한 후보 중 하나가 바로 보안이다. 이것은 하기 싫어서, 또는 중요하지 않아서 하지 않는다기보다는 예측불가능한 상황이 벌어지고, 자신이 아는 만큼은 했다고 생각하기 때문에 오랜 시간을 투자하지 못하는 것이다.
모든 상황을 예측할 수 없기 때문에 더욱 불안해 지지만, 시간에 쫓기다보면 이런 불안감은 곧 놀이터에 버려진 고양이처럼 방치된다. "에이, 괜찮겠지" 와 같은 생각과 함께.
(오래전부터 있어왔지만) 얼마전 크게 뉴스화 된 큰 쇼핑몰의 개인정보 유출과 같은 사건도 바로 이런 점에서 시작했다고 봐도 과장이 아닐 것이다. 수많은 웹사이트가 죽순처럼 생겨나는데, 보안을 신경쓰는 웹페이지는 얼마 많지 않다.
옥X의 경우 개인정보를 빼내는데, 꽤 힘든 작업과정을 거쳤겠지만, 일반적으로는 현란한 고급 해킹기술이 필요한 것도 아니다. 검색엔진 하나만으로도 얼굴도 모르는 사람의 개인정보를 정말 쉽게 획득할 수 있다.( 참조 : 구글해킹, 에이콘 )
이러한 현상을 최소화 하기 위해서 웹개발자를 비롯한 프론트엔드 개발자들은 특히 이런 보안에 대해 끊임없는 학습을 해야만 한다.
이 책을 소개하기 위해 좀 돌아왔는데, PHP 개발자를 위한 꽤 괜찮은 서적이 출간되었다. PHP보안, (한빛미디어, 2006) 이라는 이름의 책인데, 공격패턴을 소개하고 그에 대한 방어책을 제시해준다.
주요 이슈로는
XSS 방어,
URL
공격방어,
SQL 삽입공격,
세션 공격방어
가 있는데, 적어도 책에서 설명하고 있는 부분들만 신경쓴다면, 최소한의 보안은 검증된다고 할 수 있겠다.
물론 이 외에 수 없이 많은 패턴이 존재하고, 전혀 생각지도 못한 방법으로 해킹에 성공한다.
마치 좀 더 강한 금속을 찾아내어 방어구를 만드는 것 처럼 한걸음 한걸음 나아가다 보면, (한동안) 뚫을 수 없는 방패를 만드는 것도 가능하지 않을까?
'Review > Book' 카테고리의 다른 글
서점에서 인사이트를 말하세요. (4) | 2008.10.08 |
---|---|
모방범과 낙원 (2) | 2008.07.14 |
추천 도서 목록. (6) | 2008.03.27 |
몇 번째 인생의 전환점 - 장미와 찔레 (13) | 2008.02.29 |
자유롭게 해줘야 하는 그것에 의한 감금 - 잠수복과 나비 (12) | 2008.02.23 |