보안과 관련하여

사이트를 개발하는데 있어 우리가 가장 중요하게 알아둬야할 요소 중 하나는 보안이다.

내가 지난 프로젝트들을 수행함에 있어 보안이 숭숭 뚫려있는 사이트를 막아보겠다고 난리를 쳤던 것을 생각하면 정말 아직도 아찔해지는 기억이다.

 

정신 나갈 것 같은 보안

사실 보안이라는게 외부의 침입을 막고 해커가 마음대로 서버를 헤집어 놓을 수 없도록 하고 만약 침투에 성공했다고 하더라도 서버에 저장되어있는 데이터를 함부로 가져갈 수 없도록 해야하며 만약 가져가더라도 데이터가 암호화 되어있어서 데이터가 무용지물이 되도록 하는 것이 보안인데 개발같은거 잘 모르고 해커 같은거 무서워하는 우리로써는 참으로 배우기 힘든 분야다.

해커 뭐야 무서워

어떻게 시작해야할지, 어떤 책을 봐야할지, 전문적으로 배우려고 학원에 가려고 해봐도 제대로 배울 수나 있을지.

잘 모르겠을 때 일단 한국 인터넷 진흥원에서 운영하는 "KISA 인터넷 보안나라"를 찾아가 보자.(누가 이름을 지었는지 모르겠지만 손발이 좀 많이 오그라들것 같은 기분이 든다.)

 

이 사이트에 가보면 우리나라 웹 보안 관련 기본 정보들을 알려주고 새로운 취약점이 발생하면 공지해주고 뉴스에 나오는 디도스(DDos) 공격이나 스미싱, 랜섬웨어 같은 정보들을 알려주고 어떻게 방어하는지 알려주고 있다. 뿐만 아니라 웹 서버 보안관련 기초 가이드도 같이 배포하고 있는데 "자료실 > 가이드 및 매뉴얼" 메뉴로 이동하면 "웹서버 보안 강화 안내서" 라는 2018년도에 작성된 글을 확인할 수 있다.

 

여기에 업로드 되어있는 "웹서버_보안_강화_안내서.pdf" 파일을 읽어보면 해커들이 어떻게 침투하고 서버관리자는 어떻게 방어하는지에 대해 기초적인 내용들을 설명하고 있다. 말이 기초적이라는 말이지 이 자료대로만 코딩하고 서버를 관리하기만 해도 80~90%의 해킹 시도는 막아낼 수 있다.(고 생각한다.... 저도 보안 전문가는 아니라서;;)

 

물론 완벽한 방패는 없다. 하지만 개발자로써 최소한의 도리는 하고 사이트를 구축해야하지 않을까.

 

그리고 하나 더 알려주자면 프로젝트 담당자들은 보안으로 뒤통수 맞기 싫다면 www.kisa.or.kr/public/laws/laws3.jsp 페이지를 참고하기 바란다. 이 페이지는 웹 사이트 구축과 관련하여 "정보 보호 시스템 안전"이나 "개인 정보 보호"관련 정부에서 요구하는 가이드 라인을 설명하는 문서들을 제공하고 있다. 이 문서들은 "적어도 이 정도는 보안을 유지해야" 한다는 최소한의 요구사항을 가이드하고 있으니 꼭 읽고 프로젝트에 적용해야한다.

 

오늘은 여기까지만 쓰고 떠난다. 안녕!