시큐어 코딩이란 소프트웨어의 보안취약점을 발견하고 해킹을 방지하고 보안을 높이는 것

시큐어 코딩은 소프트웨어 개발에 필요한 보안 절차이다. 데이터는 소중하고 민감하다. 특히 기업의 정보, 개인정보를 다룰 때는 더더욱 신경써야 하는 것이 시큐어 코딩이기도 하다. 개발자가 아니더라도 한번쯤 공부해 보는 것은 어떨까 한다. 시큐어 코딩 가이드북은 한국인터넷진흥원과 행정안전부 홈페이지에서 pdf 형태로 받을 수 있다.

시큐어 코딩이란
소프트웨어의 보안취약점을 발견하고 해킹을 방지하고 보안을 높이는 것

소프트웨어를 개발할 때 코딩을 위한 개발능력도 필요하지만 지금은 보안에 대한 관심도 추가되었다.

비용이 있다면 개발자 따로, 보안 작업 따로 하는 것이 좋겠지만 현실적으로 어려운 것도 사실이다.

하지만, 기업이나 정보의 경우 개발단계부터 보안인식을 향상을 위한 교육을 수시로 하고 있고, 개발 단계부터 보안을 위한 코드를 삽입하도록 하고 있기도 하다.

기업이 사용하는 프로그램의 내용들은 모두 대외비로써 보안이 중요하기 때문.

우리나라 정부나 대기업의 경우 소프트웨어 개발완료시 시큐어 코딩 테스트를 통해 보안 취약점을 찾고 있다.

우리나라의 경우 한국인터넷진흥원 ( kisa ), 행정안전부 를 통해 시큐어 코딩 가이드북을 제공하고 있다.

소프트웨어 개발시 참고하여 적용해 보는 것이 어떨까 한다.

가이드북을 참고하기

보안을 위해 해킹을 공부하는 사람들도 있고, 단순히 해킹이라 분야가 궁금하여 공부하는 사람들도 많다.

개발자라면 해킹이란 분야에 관심을 갖게 마련이고, 프로젝트 진행시 시큐어 코딩 교육을 한번쯤은 받아봤을 것이다.

기업의 데이터는 중요하고 대외비로 분류된다. 특히 제품에 대한 기록이나 회계정보는 더더욱 보안을 요구한다.

시큐어 코딩 가이드북의 내용은 매년 업데이트 되고 있다.

기관을 통해 pdf 문서로 제공되고 있으니 참고하도록 한다.

기관의 문서라고 해도 중요한 내용은 모두 포함되어 있다.

• 한국인터넷진흥원
  https://www.kisa.or.kr/
• 행정안전부
  https://www.mois.go.kr/

프로그램 언어에 따른 시큐어 코딩

소프트웨어 개발시 보안은 중요하고 기본적인 개념들은 같지만, 프로그램 언어별로 나뉘어진 것을 볼 수 있다.

공공기관에 특화된 자바는 이미 오랜기간 시큐어 코딩 교육을 해왔다.

대기업에 사용하는 C# 과 C, C++ 또한 시큐어 코딩 교육이 지속적으로 진행되어 왔다.

자바나 C 계열은 사용이 오래된 언어이고 그만큼 민감한 분야에 사용이 되기 때문에 필수적으로 사용된다.

추가로 SQL 관련한 시큐어 코딩 가이드북도 있다.

보통 SQL 인젝션을 통한 데이터베이스 공격을 방어하는데 있다.

최근엔 비전공 개발자들도 관심을 많이 받는 node js 나 파이썬에 관한 시큐어 코딩 내용들이 작성되고 배포되고 있다.

대표적으로 공개된 시큐어 코딩 가이드북은 다음과 같다.

• 자바 ( java )
• C, C++, C#
• 파이썬 ( python ) , node.js

모든 프로그램에 필요할까

프로그램을 만드는 개발자마다 다르겠지만 적용하면 좋다.

기업이나 정부의 프로젝트는 정보 데이터의 민감성 때문에 필수로 적용하게 되어 있다.

개발자 혼자 나름의 단순한 프로그램에 굳이 시큐어 코딩을 하는 것은 개개인의 선택으로 보는 것이 맞을 것이다.

연습삼아 만든 단순한 계산기 프로그램에 시큐어 코딩을 하는 것에도 얘기가 나올 수 있기도 하다.

별것아닌 프로그램인데 굳이 또는 연습삼아 넣는 것도 하는 것은 선택의 문제

다만, 개인개발자가 만들어 배포하는 서비스 중 개인정보나 이메일, 주소, 전화번호 등과 같은 민감한 정보를 저장하고 사용해야 하는 경우 시큐어 코딩을 통해 데이터를 보호할 필요는 있다.