시큐어 코딩의 실시간 검증을 위한 프레임워크 설계

Abstract

최근 보안 사고의 75%가 소프트웨어 보안 취약점을 이용한 공격에 의한 것으로 나타나고 있다. 보안 취약점을 파고드는 공격은 더욱 지능화되고 심각한 장애를 일으켜 막대한 손해를 초래할 수 있을 정도로 위험한 상황이다. 하지만, 현재 대부분의 프로젝트 개발 과정에서 시큐어 코딩은 주요 업무가 아닌 부가적인 업무, 우선순위를 뒤로 미뤄 고려해도 되는 업무로 인식하고 있다. 당장 프로젝트 성과를 도출하는데 급급한 프로젝트 수행 현실에서 시스템 개발과는 별도로 부가적인 시간과 노력, 비용이 상당히 소요되는 시큐어 코딩 적용에 리소스를 투입하는 것이 힘들기 마련이다. 본 논문에서는 위와 같은 문제들을 해결하기 위해 시큐어 코딩 검증이 프레임워크 단에서 실시간으로 자동처리 되도록 설계하여 해결책을 제시하였다. 개발자는 시스템 개발에만 집중하고 시큐어 코딩 관련 업무는 시스템이 담당하게 함으로써 프로젝트 개발 과정에서 시간과 비용 관련 리소스를 획기적으로 줄일 수 있는 프레임워크 설계를 제안하고자 한다. 본 논문에서는 정부에서 권장 배포하는 표준화된 프레임워크인 전자정부 표준프레임워크를 이용하여 시큐어 코딩의 실시간 검증을 위한 프레임워크를 설계 및 검증을 하였다. 설계의 핵심 기능은 스프링 AOP 기술을 이용하여 프레임워크 단에 시큐어 코딩 검증을 수행하고 결과적으로 시큐어 코딩 관련 작업을 시스템이 중앙집중방식으로 처리하여 개발자가 소비하는 시간과 비용에 대한 리소스를 0으로 하는 것이 최종 목표이다. 본 논문이 제안하는 방법은 Spring AOP 기법을 이용하여 새로운 비즈니스 로직이 추가되거나 기존 비즈니스 로직이 삭제 또는 변경되어도 각 비즈니스 로직에 공통적으로 한번에 보안 검증 로직이 적용되도록 하는 방법이다. 시큐어 코딩 보안 취약점을 횡단관심사로 정의하고 각 시스템의 컨트롤러나 서비스 단에서 각각 설계해야 할 취약점 검증을 프레임워크 단에서 공통으로 처리하도록 설계하였다. 설계 검증을 위해서 실제 개발 프로젝트에서 가장 많이 활용하는 CRUD 게시판 패턴을 구현하여 검증하였고 프레임워크 기반으로 시큐어 코딩 보안 취약점을 실시간으로 자동적으로 검출, 수정하도록 구현하였다. 또한, 다양한 형식의 입력 데이터를 검증할 수 있도록 하여 제안한 방법이 입력 데이터에 관련된 시큐어 코딩 취약점을 대부분 대응할 수 있도록 하였다. 이상의 구현 내용을 바탕으로 한 성능 평가에서는 페이지 이동에 따른 실시간 처리량과 처리 속도를 측정하여 기존 평가 도구들과 비교 분석하였다. 또한, 본 논문에서 제안한 방식으로 해결 가능한 보안약점 건수를 집계하여 기존 평가 도구들과 비교 분석하였다.