최근 다음/ 미래엣세등 다양한 보안 사고가 발생을 하고 있다. 그리고 얼마전 LG텔레콤의 개인정보 유출 사고까지....

지금까지 필자가 보안에 관련하여 회사의 문제점들을 언급하였다면 오늘은 조금은 다른 입장에서 이야기 해보고자 한다.
필자가 개발자이고 최근에 보안 관련 지식에 대해 공부하고 있는 시점에서 개발자들의 보안 인식에 대해 한번 이야기 해보고자 한다.

과연 개발자들의 보안 의식은 과연 어떠한 수준일까?

나의 개인적 생각으로 평균적으로 따질때 50%의 레벨도 안된다 생각한다. 아니 어쩌면 너무 후하게 준것이 아닐가도 생각을 한다.
과연 개발과정에서 보안에 대해 얼마나 주안점을 두고 생각을 하는가? 이다.
개발자들의 가장 기본적인 접근 방법은 기능이다. 기능 우선에 일정에 쫗기다 보니 보안 관련하여 생각을 하지 않는다.(개발 일정과 환경을 탓 할 수 있지만 이것은 어쩜 핑계가 아닐가 하는 생각도 든다.)

과연 버퍼오버런에 관련 한 코드를 생각하고 개발을 할까? SQL 인젝션이나 XSS 취약점에 대해 생각하고 개발을 할까? 분명 예라고 말하는 개발자들 또한 많을거라 생각을 하지만.. 글쎄...

필자도 개발자지만 1차도 기능과 퍼포먼스요 2차도 기능과 퍼포먼스만 생각한다. 그러나 이것은 보안적인 입장에서 볼때 가장 보안을 위협할 수 있는 가장 기본적인 위치라는 것이다. 이론 적으로는 프로그램 설계부터 테스트 단계까지 보안의 모든 항목들이 포함되어야 한다는 것이다. 개발자의 메인터넌스 홀도 보안의 홀이요 Logic Bomb이 들어갈 수도 있다.

정리 하는 의미에서 스스로에게 질문을 한번 던져보자.

당신은 개발할 때 보안요소에 대해 생각을 하는가? 이런 이야기를 들을 때 '에이 그런거 필요하나?'라는 생각이 드는 지 한번은 돌이켜 봐야 하지 않을까 한다.