보안은 기능이 아니라 기반이다

Source: Dev.to

내가 힘들게 배운 교훈

경력 10년 차에, 아직도 소름이 끼치는 보안 사고를 겪었습니다.

우리는 금융 클라이언트를 위한 온라인 거래 시스템을 개발하고 있었습니다. 팀의 한 젊은 프로그래머가 주문 내역을 조회하는 엔드포인트를 작성하면서 지름길을 시도했는데, SQL 문자열을 직접 연결했습니다. 맞습니다, 바로 그 말이 맞습니다—가장 전형적인 교과서적인 SQL‑인젝션 취약점이었죠. 😈

해커가 이 취약점을 이용해 인증을 우회하고 전체 사용자 테이블을 탈취했습니다. 우리가 이를 발견했을 때는 이미 늦었습니다.

그 후 몇 달 동안 우리 팀 전체는 악몽 같은 상황에 빠졌습니다:

• 조사에 협조하고,
• 클라이언트를 달래며,
• 취약점을 수정하고,
• 다른 모든 회사 프로젝트를 유사 위험에 대해 감사하는 일에 매달렸습니다.

회사의 평판과 비즈니스는 크게 손상되었습니다. 그 사건은 내 경력에서 가장 깊은 교훈을 주었습니다: 웹 개발 세계에서는 보안이 언제나 최우선이라는 점입니다.

“보안 나중에”가 치명적인 오해인 이유

많은 개발자들은 특히 프로젝트 마감이 촉박할 때 보안을 “기능 모듈”로 생각합니다.

“우선 핵심 기능을 구현하고, 다음 반복에서 보안을 추가하자.”

이것은 치명적인 오해입니다. 보안은 집을 다 지은 뒤에 칠할 수 있는 페인트가 아니라, 첫 삽을 뜨기 전부터 고려해야 할 기초와 구조입니다.

기초가 부실하면, 그 위에 얼마나 웅장한 건물을 세우든 결국 무너질 수밖에 없습니다. 😨

“잘못된 구현”의 고전적인 예시

아래는 가장 흔히 발생하는 취약점 몇 가지입니다. 어떤 언어에서도 나타날 수 있지만, 일부 언어와 프레임워크는 이를 더 쉽게 저지르게 합니다.

1. SQL 인젝션 – 명령과 데이터를 혼동

이 오류의 근본 원인은 “명령”과 “데이터”를 혼동하는 것입니다. $username이 데이터가 되길 기대하지만, 문자열을 연결함으로써 그것이 “명령”이 될 기회를 제공하게 됩니다.

2. 크로스‑사이트 스크립팅 (XSS)

다른 사용자가 이 페이지를 방문하면, 그 악성 JavaScript가 그들의 브라우저에서 실행됩니다. 쿠키를 탈취하고, 요청을 위조하며, 그 결과는 상상하기 어렵습니다.

3. 크로스‑사이트 요청 위조 (CSRF)

당신이 은행 웹사이트 mybank.com에 로그인한 상태라고 가정해 보세요. 그런 다음 다른 브라우저 탭에서 실수로 악성 사이트 evil.com을 클릭합니다. 이 악성 사이트는 숨겨진 폼을 가지고 있어 자동으로 mybank.com/transfer에 이체 요청을 제출할 수 있습니다. 당신의 브라우저가 mybank.com에 대한 로그인 쿠키를 가지고 있기 때문에, 은행 서버는 이 요청을 정상적인 것으로 간주합니다! 이렇게 해서 당신은 모르게 해커에게 돈을 이체하게 됩니다. 💸

이러한 취약점이 흔한 이유는 많은 오래된 기술 스택에서 보안에 취약한 코딩 방식이 가장 간단하고 직관적인 방법이기 때문입니다. 보안을 확보하려면 추가적인, 의식적인 노력이 필요합니다.

기본 보안: 현대 프레임워크 철학

책임감 있는 현대 프레임워크 생태계는 **“기본 보안”**이어야 합니다. 이는 다음을 의미합니다:

• 코드를 작성하는 가장 간단하고 직관적인 방법이 바로 보안이 보장된 방법이어야 합니다.
• 보안 메커니즘을 우회하려는 추가적인 노력이 필요해야 하며, 이를 활성화하려는 노력이 필요하지 않아야 합니다.

Hyperlane 프레임워크와 그 주변 Rust 생태계는 이 철학의 모범 사례입니다.

Hyperlane (와 Rust)가 안전한 기반을 구축하는 방법

sqlx – 안전한 데이터베이스 상호작용

우리는 이전 글에서 Hyperlane 생태계가 데이터베이스와의 상호작용에 sqlx 사용을 권장한다는 점을 다뤘습니다. 이 라이브러리의 핵심 기능 중 하나는 파라미터화된 쿼리와 컴파일 타임 검사입니다.

// Example of a parameterized query with sqlx
let row = sqlx::query!("SELECT * FROM users WHERE username = $1", username)
    .fetch_one(&pool)
    .await?;

• $1은 드라이버에게 “이 첫 번째 파라미터는 어떤 내용이든 순수 데이터로 취급해라”라고 알려줍니다.
• 데이터베이스는 이를 SQL로 파싱하지 않으므로 SQL 인젝션 가능성이 사라집니다.
• sqlx는 컴파일 시점에 데이터베이스에 연결해 SQL 문법이 올바른지, 반환 타입이 User 구조체와 일치하는지를 검증합니다. 이중 보험, 완벽한 보안! ✅

템플릿 엔진을 통한 XSS 방어

문서에서 “XSS 공격에 대한 추가 보호”가 언급된 것을 보았습니다. 현대 웹 프레임워크에서는 보통 기본적으로 HTML 이스케이프를 수행하는 템플릿 엔진을 통합함으로써 이를 구현합니다.

Rust 생태계에서는 Tera나 Askama와 같은 템플릿 엔진이 “기본적으로 안전”이라는 원칙을 따릅니다.

{{ username }}          {# 자동으로 이스케이프됨 #}
{{ username | raw }}    {# 의도적으로 이스케이프 비활성화 #}

username에 alert('hacked')와 같은 문자열이 들어 있더라도 엔진은 이를 무해한 일반 텍스트로 렌더링하고 실행 가능한 스크립트로 변환하지 않습니다. 안전 밸브를 끄려면 특별히 “raw” 필터를 사용해야 합니다. 정말 좋은 설계죠! 😌

CSRF 방어 – 토큰 기반 미들웨어

Hyperlane 생태계 로그에서 X‑CSRF‑TOKEN이 언급된 것을 보았습니다. 이는 프레임워크 설계자가 CSRF 방어를 충분히 고려했음을 의미합니다. 일반적인 토큰 기반 CSRF 미들웨어는 Hyperlane 아키텍처에서 다음과 같이 구현됩니다.

1. 토큰 생성 – 사용자가 로그인하면 미들웨어가 무작위이며 고유한 CSRF 토큰을 생성하고, 이를 사용자의 세션(Context의 attributes)에 저장한 뒤 Set‑Cookie 헤더를 통해 클라이언트에 전달합니다.
2. 폼에 토큰 삽입 – 프론트엔드가 폼을 렌더링할 때 쿠키에 저장된 CSRF 토큰을 읽어 숨은 필드로 폼에 포함시킵니다.
3. 토큰 검증 – 사용자가 폼을 제출하면 또 다른 미들웨어가 모든 “unsafe” 요청(POST, PUT, DELETE 등)을 검사하고, 폼에 포함된 토큰과 세션에 저장된 토큰을 비교합니다.
   • 일치하면 요청을 정상으로 판단하고 next()를 통해 다음 핸들러로 전달합니다.
   • 일치하지 않으면 즉시 요청을 거부합니다. 🛡️

보안 헤더 – HSTS

우리는 **Strict-Transport-Security**와 같은 보안 헤더도 확인했습니다. 이는 프레임워크 설계가 개발자에게 HSTS와 같은 모범 사례를 사용하도록 장려한다는 것을 보여줍니다.

Rust의 고유한 안전성

Hyperlane이 Rust 위에 구축되었기 때문에, 버퍼 오버플로, use‑after‑free 등 많은 다른 언어에서 흔히 발생하는 메모리 안전 버그들에 대해 근본적으로 면역입니다. 이러한 저수준 안전성은 스택 위에 구축된 애플리케이션 전체의 보안 태세를 한층 강화합니다.

요약

• 보안은 처음부터 내재되어야 합니다.
• 현대적이고 기본적으로 보안이 보장되는 스택을 선택하세요 (예: Hyperlane + Rust + sqlx).
• 프레임워크가 제공하는 파라미터화된 쿼리, 자동 HTML 이스케이프, CSRF 토큰, 그리고 보안 헤더를 활용하세요.
• 기억하세요: 코드를 작성하는 가장 간단한 방법이 가장 안전한 방법이어야 합니다.

이러한 관행을 채택하면 제가 겪었던 악몽을 피할 수 있고, 견고하고 안전한 기반 위에 애플리케이션을 구축할 수 있습니다.

저수준 언어의 보안 취약점

부적절한 메모리 관리(예: 버퍼 오버플로우와 댕글링 포인터)는 **C/C++**로 작성된 웹 서버나 모듈에서 여전히 주요 보안 위협의 원인입니다.
Rust를 선택하는 것은 집에 갑옷을 입히는 것과 같습니다. 💪

보안‑우선 마인드셋

보안은 단순히 체크리스트를 확인해 넘길 수 있는 것이 아닙니다. 소프트웨어 개발 전체 라이프사이클에 걸쳐 적용되는 마인드와 실천입니다. 시작은 다음과 같습니다:

• 선택한 언어
• 의존하는 프레임워크
• 따르는 아키텍처

보안‑기본 프레임워크

훌륭한 프레임워크 생태계는 보안 부담을 개별 개발자에게 전가하지 않습니다. 보안‑기본 도구와 패턴을 제공함으로써:

• 기본적이면서도 흔히 발생하는 보안 실수를 저지르기 어렵게 만든다
• 보안을 자연스러운 습관으로 만든다

실제 세계 제한 사항

어떤 기술도 여러분을 100 % 걱정 없이 만들 수 없습니다. 비즈니스 로직 취약점은 여전히 개발자가 발견하고 수정해야 합니다. 그러나 보안을 처음부터 설계한 Hyperlane와 Rust와 같은 기술 스택을 선택하면, 공격과 방어가 끊임없이 이어지는 전쟁에서 훨씬 강력한 위치에 설 수 있습니다. ❤️

*GitHub Home*