시큐어 코딩이란?
시큐어 코딩(Secure Coding)은 소프트웨어 개발 단계에서 보안 취약점이 발생하지 않도록 보안 원칙을 적용하는 코딩 방법론입니다. 취약점을 나중에 패치하는 것보다 처음부터 안전하게 개발하는 것이 훨씬 비용 효율적입니다.
입력 데이터 검증 원칙
화이트리스트 vs 블랙리스트
- 화이트리스트(Allowlist): 허용된 값만 통과. 더 안전하고 권장되는 방법
- 블랙리스트(Denylist): 알려진 악성 값 차단. 우회 가능성 있음
입력 검증 위치
- 서버 측(Server-side) 검증: 반드시 수행. 클라이언트 검증은 우회 가능
- 클라이언트 측(Client-side) 검증: UX 향상용 보조 수단
주요 취약점과 방어 코딩
인젝션 방어
- 준비된 구문(Prepared Statement)/파라미터화 쿼리 사용
- 저장 프로시저(Stored Procedure) 활용
- ORM(Object-Relational Mapping) 사용
- 입력값 특수문자 이스케이프
XSS 방어
- 출력 시 HTML 인코딩 적용 (< → <)
- Content-Security-Policy(CSP) 헤더 설정
- HttpOnly, Secure 쿠키 플래그 설정
인증·세션 관리
- 세션 ID: 암호학적으로 안전한 난수 생성
- 로그인 성공 후 세션 ID 재생성 (Session Fixation 방어)
- 타임아웃: 일정 시간 비활성 시 세션 만료
- HTTPS에서만 세션 쿠키 전송 (Secure 플래그)
민감 정보 처리
- 패스워드: 단방향 해시(bcrypt, Argon2) 저장 (단순 MD5/SHA-1 사용 금지)
- 소금(Salt) 추가: 레인보우 테이블 공격 방어
- 신용카드 번호: PCI-DSS에 따라 암호화 저장 또는 토큰화
- 민감 정보 로그 기록 금지 (패스워드, 카드번호, 개인정보)
오류 처리 보안
- 상세 오류 메시지를 사용자에게 노출하지 않음 (내부 경로, 스택 트레이스 숨김)
- 오류는 로그에만 기록 (서버 측)
- 기본 오류 페이지(404, 500) 커스터마이징
국내 시큐어 코딩 기준
- 행안부 시큐어 코딩 가이드: 공공기관 소프트웨어 개발 시 의무 적용
- 7대 보안 약점: 입력 데이터 검증·표현, 보안 기능, 시간 및 상태, 에러 처리, 코드 오류, 캡슐화, API 오용
시험 핵심 포인트
- Prepared Statement: 인젝션 방어의 핵심 기법
- 화이트리스트: 블랙리스트보다 안전한 입력 검증
- 서버 측 검증: 반드시 수행 (클라이언트 검증만으로는 불충분)
- 패스워드 저장: bcrypt/Argon2 + Salt (단방향 해시)
- HttpOnly 쿠키: JavaScript 접근 차단 (XSS로 쿠키 탈취 방지)
마무리
시큐어 코딩은 보안의 시작점입니다. 인젝션 방어(Prepared Statement), XSS 방어(출력 인코딩), 패스워드 안전 저장은 가장 중요한 세 가지 원칙입니다.