시큐어 코딩이란? 기법, 표준 및 리소스
소프트웨어 취약점을 사후 고려사항이나 혁신의 걸림돌로 간주하면 조직은 데이터 침해, 평판 훼손 및 비용이 많이 드는 법적 책임의 문을 열게 됩니다. 사이버 공격은 종종 강력한 개발 관행으로 방지할 수 있었던 코드의 약점을 악용합니다.
보안 코딩은 보안 원칙을 개발의 모든 단계에 포함시켜 이러한 문제를 해결합니다. 개발자는 취약점이 발견된 후 수정 프로그램을 구현하는 대신 인젝션 공격 및 XSS(Cross-Site Scripting)와 같은 일반적인 위협에 대한 보호 기능이 내장된 코드를 작성합니다. 이제 보안 코딩을 통해 회사는 위험을 줄이고, 사용자 신뢰를 보호하며, 규제 요구 사항을 준수하는 동시에 신뢰할 수 있는 고품질 소프트웨어를 제공하는 데 어떻게 도움이 되는지 자세히 살펴보겠습니다.
시큐어 코딩이란?
보안 코딩은 잠재적 취약점을 해결하기 위한 소프트웨어를 작성할 때 보안 모범 사례를 따르는 원칙입니다. 보안 코딩은 보안을 별도의 개발 단계로 취급하지 않고 초기 단계부터 검증된 보호 장치를 통합하여 개발자가 코드 보안에 대한 소유권을 갖고 이를 효과적으로 적용할 수 있는 기술을 갖출 수 있도록 합니다.
오픈 월드와이드 애플리케이션 보안 프로젝트(OWASP) 또는 소프트웨어 엔지니어링 연구소의 CERT 부서와 같은 기관에서 만든 공인된 보안 코딩 표준은 공격자가 악용하는 일반적인 함정을 피하려는 개발자에게 북극성 역할을 할 수 있습니다. 이러한 전략을 기존 워크플로우에 안전하게 구현하기 위해 기초적이고 실용적인 보안 코딩 기술을 지속적으로 구축하는 것은 오늘날의 사이버 보안 환경에서 타협할 수 없는 일입니다.예를 들어 가능한 많은 사용자 입력의 유효성을 검사하면 SQL 삽입 공격을 방지할 수 있고 출력 인코딩은 XSS를 차단하는 데 도움이 됩니다. 이러한 보안 코딩 방식과 기타 보안 코딩 방식은 보안 침해 위험을 줄이고 진화하는 사이버 위협에 대응할 수 있는 애플리케이션 복원력을 높여줍니다.
보안 코딩이 왜 그렇게 중요할까요?
보안 코딩의 중요성 많은 성공적인 사이버 공격은 개발 과정에서 방지할 수 있었던 취약점을 악용하기 때문입니다. 처음부터 보안 관행의 우선 순위를 지정하면 공격자가 데이터를 손상시키거나 운영을 방해하는 데 사용할 수 있는 결함이 생길 가능성을 줄일 수 있습니다. 소프트웨어 개발 수명 주기(SDLC)의 모든 단계에 보안을 구축하면 모든 기능, 업데이트 및 통합이 보호를 염두에 두고 설계되도록 할 수 있습니다.
개발 과정에서 위험을 사전에 해결하는 것이 배포 후 문제를 해결하기 위해 긴급 패치, 다운타임 및 사고 대응 리소스가 필요할 수 있는 경우보다 비용이 훨씬 저렴합니다. 또한 데이터 보호 규정 준수를 향상시켜 잠재적 벌금 및 법적 문제를 피할 수 있습니다. 보안 코딩 사례는 또한 회사에 대한 소비자 신뢰를 높이고 강력한 보안을 브랜드 평판의 일부로 만듭니다.
일반적인 코드 보안 취약점
시큐어 코딩은 공격자가 악용하는 가장 빈번하고 위험한 취약성뿐만 아니라 AI 코딩 도구를 사용할 때 나타나는 위협 벡터와 같은 새로운 위협 벡터를 방지하는 것을 목표로 합니다. 다음은 몇 가지 일반적인 취약성과 이로 인해 발생할 수 있는 피해, 보안 코딩이 이러한 취약점을 완화하는 데 어떻게 도움이 되는지에 대한 개요입니다.
역직렬화 결함
역직렬화 결함은 응용 프로그램이 적절한 검증 없이 외부 소스의 데이터를 받아들이고 처리할 때 발생합니다.직렬화는 객체를 저장하거나 전송할 수 있는 형식으로 변환하는 과정이며, 역직렬화는 해당 객체를 재구성하여 사용할 수 있도록 합니다. 역직렬화 결함의 영향은 심각할 수 있으며, 그 결과 임의 코드가 실행되거나 권한이 상승될 수 있습니다. 보안 코딩은 신뢰할 수 있고 검증된 데이터만 역직렬화되도록 하고 가능한 경우 신뢰할 수 없는 입력의 기본 역직렬화를 완전히 방지함으로써 이 문제를 해결합니다.
주사 공격
주사 공격은 공격자가 애플리케이션이 명령이나 쿼리의 일부로 해석하는 입력을 제공할 때 발생합니다. 가장 잘 알려진 유형은 악의적인 SQL 문을 쿼리에 삽입하여 데이터베이스 콘텐츠에 접근하거나 변경하는 SQL 인젝션입니다. 다른 유형으로는 공격자가 임의의 명령을 실행하는 명령 주입과 LDAP(경량 디렉터리 접근 프로토콜) 주입이 있습니다. 주사 공격의 결과는 무단 데이터 접근 및 삭제부터 전체 시스템 손상에 이르기까지 광범위합니다. 민감한 개인, 금융 또는 독점 정보가 포함된 데이터베이스가 주요 공격 대상입니다. 보안 코딩은 매개변수화된 쿼리 또는 준비된 명령문을 사용하고, 신뢰할 수 없는 데이터를 처리하기 전에 이를 피하고, 엄격한 입력 검증을 적용함으로써 인젝션 취약성을 방지하는 데 도움이 됩니다. 이러한 보안 코딩 관행과 기타 보안 코딩 방법은 공격자가 애플리케이션의 의도된 동작을 변경하지 못하도록 막을 수 있습니다.
크로스 사이트 스크립팅 (XSS)
크로스 사이트 스크립팅 (XSS) 다른 사용자가 보는 페이지에 악성 스크립트를 삽입하여 웹 애플리케이션을 대상으로 하는 인젝션 공격의 한 형태입니다. 이는 일반적으로 애플리케이션의 출력에 검증되지 않은 사용자 입력이 포함된 경우에 발생합니다. 다른 사용자의 브라우저가 페이지를 렌더링하면 악성 스크립트가 실행되어 잠재적으로 쿠키를 도용하거나 키 입력을 캡처하거나 사용자를 악성 사이트로 리디렉션할 수 있습니다.
XSS의 영향에는 세션 하이재킹과 신원 도용이 포함될 수 있습니다. 기업의 경우 이로 인해 고객의 신뢰가 약화되고 민감한 데이터가 손상될 경우 규제 관련 처벌로 이어질 수 있습니다. 보안 코딩은 사용자가 제공한 모든 입력이 표시되기 전에 이를 삭제 및 인코딩하고, 출력을 자동으로 이스케이프하는 프레임워크를 사용하며, 실행 가능한 스크립트를 제한하는 CSP (Content Security Policy)를 구현하여 XSS를 해결합니다.
액세스 제어
액세스 제어 취약성은 사용자가 보거나 수행할 수 있는 항목에 대한 규칙이 제대로 정의되거나 적용되지 않을 때 발생합니다. 취약한 액세스 제어를 통해 공격자는 의도된 사용자 역할 제한을 우회하여 잠재적으로 민감한 데이터를 읽거나, 레코드를 수정하거나, 권한이 있는 사용자에게만 해당되는 작업을 수행할 수 있습니다.
액세스 제어 문제는 상당한 문제를 야기하며, 특히 AI 코딩 도구는 고군분투했습니다. 개발자의 기술과 인식의 필요성을 강조하면서 이 취약성 클래스를 효과적으로 해결하기 위해서입니다. 액세스 제어 해제가 미치는 영향은 상당합니다. 예를 들어 관리자 전용 기능에 접근할 수 있는 공격자는 보안 설정을 비활성화하거나 개인정보를 빼내거나 다른 사용자로 위장할 수 있습니다.
보안 코딩 관행은 최소 권한 원칙에 따라 모든 요청에 대해 서버 측 인증 검사를 적용하고 보안 조치로 모호성(예: 링크 숨기기)에만 의존하지 않도록 함으로써 이러한 위험에 대응합니다. 또한 엄격한 접근 제어 테스트를 실시하면 이러한 보호 기능이 장기적으로 강력하게 유지될 수 있습니다.
사이트 간 요청 위조 (CSRF)
사이트 간 요청 위조(CSRF) 공격은 인증된 사용자가 다른 사이트에서 원치 않는 작업을 수행하도록 강요합니다. 여기에는 자금 이체, 이메일 주소 변경 또는 계정 설정 수정이 포함될 수 있습니다. 이 공격은 브라우저가 위조된 요청과 함께 쿠키와 같은 유효한 인증 토큰을 자동으로 포함하기 때문에 효과적입니다.
시큐어 코딩은 각 사용자 세션에 고유한 안티 CSRF 토큰을 구현하고 각 상태 변경 요청에서 유효성을 검사하여 CSRF를 방어합니다. 추가 방어 수단으로는 중요한 작업에 대해 재인증을 요구하고 쿠키에 SameSite 속성을 설정하여 사이트 간 요청과 함께 전송되지 않도록 하는 것이 포함됩니다.이러한 보호 기능을 개발 라이프사이클에 포함시키면 시스템이 합법적이고 의도적인 작업만 처리하게 될 가능성을 크게 높일 수 있습니다.
안전하지 않은 인증
안전하지 않은 인증은 사용자의 신원을 확인하는 과정이 취약하거나 예측 가능하거나 기타 결함이 있을 때 발생합니다. 이는 잘못된 암호 정책, 안전하지 않은 자격 증명 저장소 또는 MFA(다중 요소 인증)의 부재로 인해 발생할 수 있습니다. 공격자는 무차별 대입 공격, 자격 증명 스터핑 또는 전송 중 암호화되지 않은 자격 증명을 가로채는 등 다양한 방법을 통해 이러한 취약점을 악용할 수 있습니다.안전하지 않은 인증은 공격자에게 사용자 계정, 관리 제어 및 민감한 데이터에 대한 직접적인 접근 권한을 부여할 수 있으므로 심각한 영향을 미칩니다. 일단 내부로 침투하면 시스템을 더욱 손상시키거나 귀중한 정보를 탈취할 수 있습니다.
보안 코딩은 강력한 암호 요구 사항을 적용하고, 저장된 자격 증명을 해싱 및 솔트 처리하며, 모든 인증 교환에 HTTPS와 같은 보안 프로토콜을 사용하고, MFA를 통합하여 추가 검증 계층을 제공함으로써 이 취약성을 해결합니다. 또한 개발자는 인증 시스템이 약점이 아닌 강력한 방어선 역할을 할 수 있도록 실패 시도를 제한하고 의심스러운 활동을 조기에 탐지하는 로그인 메커니즘을 설계해야 합니다.
따라야 할 6가지 보안 코딩 실천
보안 소프트웨어 구축은 단순히 어떤 위협이 존재하는지 파악하는 것 이상의 의미를 지닙니다. 이를 위해서는 검증된 보안 코딩 관행과 패턴을 학습하고 통합해야 합니다. 아래 기술은 보안을 모든 프로젝트의 필수 요소로 만들기 위해 개발자가 취할 수 있는 실행 가능한 단계를 제공합니다.
1. 사용자 액세스 제어 구현
위에서 설명한 것처럼 사용자 액세스 제어란 시스템의 각 사용자 역할에 대한 권한을 정의하고 적용하는 것을 의미합니다. 강력한 액세스 제어는 권한이 없는 사용자가 민감한 데이터를 보거나 기록을 수정하거나 관리 작업을 수행하는 것을 방지합니다. 또한 공격자는 해당 계정의 권한만 가지므로 사용자 계정이 도용될 경우 피해를 줄일 수 있습니다.
효과적인 사용자 액세스 제어를 위해서는 신원을 확인하기 위한 강력한 인증이 필요하며, 인증된 사용자에게 요청된 작업을 수행할 권한이 있는지 확인하기 위한 권한 검사가 뒤따릅니다. 액세스 제어 관행을 정기적으로 검토하여 최소 권한 원칙에 맞게 사용자에게 작업 수행에 필요한 최소 액세스 권한을 부여해야 합니다. 또한 액세스 제어는 정기적인 모니터링을 통해 시스템의 정책과 사용자를 최신 상태로 유지하고, 감사를 통해 비정상적인 활동을 신속하게 찾아냅니다.
2. 데이터 검증 및 삭제
데이터를 검증하고 삭제하려면 처리하기 전에 들어오는 모든 입력이 예상 형식, 유형 및 패턴을 충족하는지 확인한 다음 데이터를 정리하여 잠재적으로 위험한 콘텐츠를 제거하는 작업이 포함됩니다. 신뢰할 수 있는 출처도 손상될 수 있으므로 이러한 관행은 외부 출처에서 들어오는 데이터에도 적용되어야 합니다. 따라서 모든 입력은 검증되기 전까지는 신뢰할 수 없는 것으로 취급해야 합니다. 개발 프로세스에 검증 및 삭제 기능을 포함하면 인젝션 공격과 같은 일반적인 위협에 대한 애플리케이션 복원력을 유지할 수 있습니다.
3. 현대 언어로 글을 쓰세요
보안 코딩은 코드 작성 방법에만 국한되지 않습니다. 애초에 보안 결함이 발생하는 것을 더 쉽게 방지할 수 있는 도구와 환경을 선택하는 것도 중요합니다. 대부분의 기업에서는 최신 언어로 완전히 전환하는 것이 현실적이거나 효율적인 옵션이 아닌 경우가 많지만, 최신 프로그래밍 언어를 최소한 어느 정도 사용하고 선택한 모든 언어의 최신 버전을 사용하면 소프트웨어 보안을 개선할 수 있습니다.최신 언어와 프레임워크는 일반적으로 더 나은 메모리 안전성, 강력한 유형 검사, 일반적인 취약점에 대한 기본 제공 보호 기능을 제공합니다. 예를 들어, Rust와 Go와 같은 언어는 안전을 염두에 두고 설계되었으므로 이전 언어에서는 발생하기 쉬운 버퍼 오버플로우와 같은 문제를 방지하는 데 도움이 됩니다.
기존 언어인 Java 또는 Python은 현대화 및 보안 유지가 어려울 수 있지만, 최신 릴리스를 따라가면 최신 보안 기능을 활용하고 성능을 개선할 수 있습니다. 많은 업데이트는 알려진 취약점을 패치하고, 안전하지 않은 기능을 더 이상 사용하지 않도록 하며, 보다 안전한 기본 설정을 제공합니다.
4.연습 코드 난독화
코드 난독화는 공격자가 소스 코드 또는 컴파일된 코드를 이해, 리버스 엔지니어링 또는 조작하기 어렵게 만드는 프로세스입니다. 다른 보안 조치를 대체하지는 못하지만 애플리케이션의 로직과 민감한 루틴을 침입자가 보지 못하도록 숨겨 방어 수준을 한 단계 더 높여줍니다. 난독화에는 변수 및 함수의 이름을 의미 없는 식별자로 바꾸거나 코드를 이해하기 어렵게 하는 방식으로 재구성하는 것과 같은 기술이 포함될 수 있습니다.
목표는 공격자가 취약점을 찾아 악용하는 데 필요한 비용과 노력을 늘리는 것입니다. 보안 코딩에서 난독화는 다른 강력한 보안 관행과 함께 작동하여 애플리케이션을 덜 매력적인 대상으로 만듭니다.
5.코드 스캔 및 모니터링
보안 코딩 관행에는 코드를 적극적으로 스캔하고 모니터링하는 것도 포함됩니다. 정적 애플리케이션 보안 테스트(SAST) 도구는 배포 전에 소스 코드의 알려진 취약점을 분석하는 반면, 동적 애플리케이션 보안 테스트(DAST) 도구는 실행 중인 애플리케이션에 악용 가능한 결함이 있는지 실시간으로 테스트합니다. 두 접근 방식을 결합하면 문제를 조기에 지속적으로 파악할 수 있습니다.
개발 중 스캐닝 외에도 프로덕션 환경에서 지속적인 모니터링을 구현하는 것이 중요합니다. 여기에는 비정상적인 활동에 대한 알림을 설정하고, 보안 이벤트를 기록하며, 런타임 애플리케이션 자체 보호(RASP) 도구를 활용하여 실시간으로 공격을 탐지하고 차단하는 작업이 포함됩니다. 정기적인 검사와 모니터링을 통해 개발 중에 취약점이 발견되더라도 심각한 피해가 발생하기 전에 신속하게 해결할 수 있는 가시성을 확보할 수 있습니다.
6. 보안 코딩 표준 문서화 및 구현
보안 코딩 표준을 문서화하려면 팀의 방식을 정의하는 명확한 지침을 만들어야 합니다. 안전하고 유지 관리가 용이하며 규정을 준수하는 코드 작성. 이러한 표준은 기술 스택과 관련된 일반적인 취약점을 해결하는 방법뿐만 아니라 입력 검증, 오류 처리, 암호화 관행, 세션 관리와 같은 주제를 다루어야 합니다.
이러한 표준을 마련하면 주니어 엔지니어부터 수석 설계자까지 모든 개발자가 동일한 보안 원칙을 따를 수 있습니다. 이러한 표준을 교육 및 정기 업데이트와 함께 사용하면 개발 프로세스를 최신 보안 요구 사항에 맞게 유지하는 유용한 리소스가 됩니다.
보안 코딩 표준 및 프레임워크
자신만의 코딩 표준을 만드는 데 도움이 필요하다면 아래의 인기 가이드라인이 도움이 될 수 있습니다. 이 지침서는 일반적인 취약점을 해결하는 다양한 사례를 다루며 코딩 작업을 업계 모범 사례에 맞추는 방법을 명확히 하는 데 도움이 될 수 있습니다.
OWASP 보안 코딩 사례
OWASP는 개발자가 처음부터 끝까지 보안이 포함된 코드를 작성할 수 있도록 지원하는 가장 널리 알려진 소스 중 하나입니다. 주요 보안 코딩 리소스로 OWASP 개발자 가이드 및 OWASP 탑 10을 제공합니다. OWASP의 접근 방식은 실행 가능성이 매우 높으며, 개발 과정에서 적용할 수 있는 체크리스트 및 코딩 팁과 같은 이점을 제공합니다.
OWASP 지침을 따르면 프로젝트 전반에서 보안 코딩을 위한 공통 기준을 만들어 팀에 도움이 됩니다. OWASP는 새로운 위협 벡터와 공격 기술을 반영하도록 정기적으로 업데이트되므로 조직은 이를 사용하여 새로운 위험에 미리 대비할 수 있습니다. OWASP의 원칙을 워크플로에 적용하면 코드 품질을 개선하고 취약점을 줄이며 널리 받아들여지는 업계 지침을 준수할 수 있습니다.
NIST 보안 소프트웨어 개발 프레임워크
미국 국립표준기술원(NIST)은 포괄적인 보안 코딩 지침을 함께 발표합니다. 광범위한 사이버 보안 프레임워크. 높은 수준의 보안 소프트웨어 개발 관행에 대한 정보를 제공하는 것 외에도 NIST 보안 소프트웨어 개발 프레임워크(SSDF)는 회사 팀 내 및 팀 간 주요 문제에 대한 커뮤니케이션을 향상시키는 공통 어휘를 제공합니다. 특정 기술보다는 결과에 초점을 맞추기 때문에 OWASP 또는 SEI CERT 코딩 표준과 같은 다른 표준을 보완하는 데 가장 적합합니다.
SEI 인증서 코딩 표준
소프트웨어 엔지니어링 연구소(SEI)의 CERT 부서에서 개발했습니다. SEI 인증서 코딩 표준은 C, C++, Java 및 Perl을 포함한 특정 프로그래밍 언어의 보안 취약성을 방지하는 데 중점을 둡니다. 각 언어별 표준에는 보안 코딩 규칙, 상세한 설명, 준수 및 비준수 코드의 예가 포함되어 있습니다. CERT 코딩 표준은 특정 프로그래밍 언어의 미묘한 차이점과 취약점을 다루기 때문에 해당 환경에서 작업하는 개발자에게 매우 유용하고 실행 가능합니다.
마이크로소프트 보안 개발 라이프사이클
마이크로소프트의 보안 개발 라이프사이클(SDL)은 보안을 소프트웨어 개발 프로세스의 필수적인 부분으로 만들기 위해 고안된 일련의 모범 사례입니다. 여기에는 다음과 같은 권장 사항이 포함됩니다. 10가지 핵심 주제 여기에는위협 모델링, 개발자를 위한 보안 교육, 소프트웨어 공급망 보안이 포함됩니다.Microsoft는 이 접근 방식을 자체적으로 사용하므로 조직은 개발자, 테스터 및 보안 팀을 조정하는 검증된 프로세스를 활용할 수 있습니다.
ISO/IEC 27001
ISO/IEC 27001은 정보 보안 관리 시스템(ISMS)의 표준으로 가장 잘 알려져 있지만 보안 코딩에도 큰 영향을 미칩니다. 조직 차원의 ISMS 수립에 중점을 두지만 여기에는 보안 코딩 원칙이 포함됩니다. 이러한 권장 사항은 조직이 보안 코딩 관행을 구현할 때 따를 수 있는 높은 수준의 지침을 제공합니다.
AI 보안 규칙
AI 코딩 도구는 그 어느 때보다 편리하지만, 안전하고 정확한 코드를 만들지 못하면 득보다 실이 더 많을 수 있습니다.시큐어 코드 워리어의 AI 보안 규칙 — 동종 최초의 제품 — 지침 제공 GitHub Copilot, Cline, Cursor, Windsurf와 같은 AI 도구와 함께 사용할 수 있는 보안 코딩 모범 사례에 대해 설명합니다. 이러한 규칙은 안전하지 않은 코드의 위험을 최소화하는 가드레일을 마련하여 AI 코딩 어시스턴트를 추적할 수 있도록 합니다.
처음부터 보안 코드를 만드는 방법 알아보기
보안 코딩은 단순한 기술적 요구 사항이 아니라 중요한 비즈니스 이점입니다. 팀이 처음부터 보안 코드를 작성하면 비용이 많이 드는 취약점을 예방하고 데이터 침해 위험을 줄이며 고객이 신뢰할 수 있는 소프트웨어를 제공할 수 있습니다.그러나 체계적인 지침이 없다면 보안 코딩 관행을 익히는 것이 특히 어려울 수 있습니다. 개발자에게는 실제 사례, 진화하는 위협에 대한 최신 지식, 모든 코드 라인에 보안 원칙을 자신 있게 적용할 수 있는 방법이 필요합니다.
시큐어 코드 워리어의 ISO 27001 인증 및 SOC 2 준수 애자일 학습 플랫폼은 바로 그 점을 팀에 제공합니다. 언어별 보안 모범 사례, 현실적인 코딩 문제, 다양한 역할을 위해 큐레이션된 콘텐츠에 대한 교육을 통해 보안을 사후 고려 사항에서 벗어나 개발 프로세스의 자연스러운 부분으로 전환합니다. 개발자는 취약점을 조기에 식별 및 수정하고, 업계 표준을 준수하며, 소프트웨어 개발 수명 주기 전반에 걸쳐 코드 보안에 대한 완전한 소유권을 가질 수 있는 기술을 구축합니다.Secure Code Warrior를 사용하는 회사가 소프트웨어 취약점을 53% 줄이고, 최대 1,400만 달러의 비용 절감을 실현하며, 개발자 중 92%가 추가 교육을 원한다는 것은 놀라운 일이 아닙니다.
팀이 첫날부터 어떻게 더 안전하고 강력한 코드를 작성할 수 있는지 알고 싶다면 지금 시큐어 코드 워리어 데모를 예약하세요.
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
이 기사는 다음에 의해 작성되었습니다. Secure Code Warrior 업계 전문가로 구성된 팀은 개발자에게 처음부터 안전한 소프트웨어를 구축할 수 있는 지식과 기술을 제공하기 위해 최선을 다하고 있습니다. 안전한 코딩 관행, 업계 동향 및 실제 통찰력에 대한 심층적인 전문 지식을 활용합니다.
소프트웨어 취약점을 사후 고려사항이나 혁신의 걸림돌로 간주하면 조직은 데이터 침해, 평판 훼손 및 비용이 많이 드는 법적 책임의 문을 열게 됩니다. 사이버 공격은 종종 강력한 개발 관행으로 방지할 수 있었던 코드의 약점을 악용합니다.
보안 코딩은 보안 원칙을 개발의 모든 단계에 포함시켜 이러한 문제를 해결합니다. 개발자는 취약점이 발견된 후 수정 프로그램을 구현하는 대신 인젝션 공격 및 XSS(Cross-Site Scripting)와 같은 일반적인 위협에 대한 보호 기능이 내장된 코드를 작성합니다. 이제 보안 코딩을 통해 회사는 위험을 줄이고, 사용자 신뢰를 보호하며, 규제 요구 사항을 준수하는 동시에 신뢰할 수 있는 고품질 소프트웨어를 제공하는 데 어떻게 도움이 되는지 자세히 살펴보겠습니다.
시큐어 코딩이란?
보안 코딩은 잠재적 취약점을 해결하기 위한 소프트웨어를 작성할 때 보안 모범 사례를 따르는 원칙입니다. 보안 코딩은 보안을 별도의 개발 단계로 취급하지 않고 초기 단계부터 검증된 보호 장치를 통합하여 개발자가 코드 보안에 대한 소유권을 갖고 이를 효과적으로 적용할 수 있는 기술을 갖출 수 있도록 합니다.
오픈 월드와이드 애플리케이션 보안 프로젝트(OWASP) 또는 소프트웨어 엔지니어링 연구소의 CERT 부서와 같은 기관에서 만든 공인된 보안 코딩 표준은 공격자가 악용하는 일반적인 함정을 피하려는 개발자에게 북극성 역할을 할 수 있습니다. 이러한 전략을 기존 워크플로우에 안전하게 구현하기 위해 기초적이고 실용적인 보안 코딩 기술을 지속적으로 구축하는 것은 오늘날의 사이버 보안 환경에서 타협할 수 없는 일입니다.예를 들어 가능한 많은 사용자 입력의 유효성을 검사하면 SQL 삽입 공격을 방지할 수 있고 출력 인코딩은 XSS를 차단하는 데 도움이 됩니다. 이러한 보안 코딩 방식과 기타 보안 코딩 방식은 보안 침해 위험을 줄이고 진화하는 사이버 위협에 대응할 수 있는 애플리케이션 복원력을 높여줍니다.
보안 코딩이 왜 그렇게 중요할까요?
보안 코딩의 중요성 많은 성공적인 사이버 공격은 개발 과정에서 방지할 수 있었던 취약점을 악용하기 때문입니다. 처음부터 보안 관행의 우선 순위를 지정하면 공격자가 데이터를 손상시키거나 운영을 방해하는 데 사용할 수 있는 결함이 생길 가능성을 줄일 수 있습니다. 소프트웨어 개발 수명 주기(SDLC)의 모든 단계에 보안을 구축하면 모든 기능, 업데이트 및 통합이 보호를 염두에 두고 설계되도록 할 수 있습니다.
개발 과정에서 위험을 사전에 해결하는 것이 배포 후 문제를 해결하기 위해 긴급 패치, 다운타임 및 사고 대응 리소스가 필요할 수 있는 경우보다 비용이 훨씬 저렴합니다. 또한 데이터 보호 규정 준수를 향상시켜 잠재적 벌금 및 법적 문제를 피할 수 있습니다. 보안 코딩 사례는 또한 회사에 대한 소비자 신뢰를 높이고 강력한 보안을 브랜드 평판의 일부로 만듭니다.
일반적인 코드 보안 취약점
시큐어 코딩은 공격자가 악용하는 가장 빈번하고 위험한 취약성뿐만 아니라 AI 코딩 도구를 사용할 때 나타나는 위협 벡터와 같은 새로운 위협 벡터를 방지하는 것을 목표로 합니다. 다음은 몇 가지 일반적인 취약성과 이로 인해 발생할 수 있는 피해, 보안 코딩이 이러한 취약점을 완화하는 데 어떻게 도움이 되는지에 대한 개요입니다.
역직렬화 결함
역직렬화 결함은 응용 프로그램이 적절한 검증 없이 외부 소스의 데이터를 받아들이고 처리할 때 발생합니다.직렬화는 객체를 저장하거나 전송할 수 있는 형식으로 변환하는 과정이며, 역직렬화는 해당 객체를 재구성하여 사용할 수 있도록 합니다. 역직렬화 결함의 영향은 심각할 수 있으며, 그 결과 임의 코드가 실행되거나 권한이 상승될 수 있습니다. 보안 코딩은 신뢰할 수 있고 검증된 데이터만 역직렬화되도록 하고 가능한 경우 신뢰할 수 없는 입력의 기본 역직렬화를 완전히 방지함으로써 이 문제를 해결합니다.
주사 공격
주사 공격은 공격자가 애플리케이션이 명령이나 쿼리의 일부로 해석하는 입력을 제공할 때 발생합니다. 가장 잘 알려진 유형은 악의적인 SQL 문을 쿼리에 삽입하여 데이터베이스 콘텐츠에 접근하거나 변경하는 SQL 인젝션입니다. 다른 유형으로는 공격자가 임의의 명령을 실행하는 명령 주입과 LDAP(경량 디렉터리 접근 프로토콜) 주입이 있습니다. 주사 공격의 결과는 무단 데이터 접근 및 삭제부터 전체 시스템 손상에 이르기까지 광범위합니다. 민감한 개인, 금융 또는 독점 정보가 포함된 데이터베이스가 주요 공격 대상입니다. 보안 코딩은 매개변수화된 쿼리 또는 준비된 명령문을 사용하고, 신뢰할 수 없는 데이터를 처리하기 전에 이를 피하고, 엄격한 입력 검증을 적용함으로써 인젝션 취약성을 방지하는 데 도움이 됩니다. 이러한 보안 코딩 관행과 기타 보안 코딩 방법은 공격자가 애플리케이션의 의도된 동작을 변경하지 못하도록 막을 수 있습니다.
크로스 사이트 스크립팅 (XSS)
크로스 사이트 스크립팅 (XSS) 다른 사용자가 보는 페이지에 악성 스크립트를 삽입하여 웹 애플리케이션을 대상으로 하는 인젝션 공격의 한 형태입니다. 이는 일반적으로 애플리케이션의 출력에 검증되지 않은 사용자 입력이 포함된 경우에 발생합니다. 다른 사용자의 브라우저가 페이지를 렌더링하면 악성 스크립트가 실행되어 잠재적으로 쿠키를 도용하거나 키 입력을 캡처하거나 사용자를 악성 사이트로 리디렉션할 수 있습니다.
XSS의 영향에는 세션 하이재킹과 신원 도용이 포함될 수 있습니다. 기업의 경우 이로 인해 고객의 신뢰가 약화되고 민감한 데이터가 손상될 경우 규제 관련 처벌로 이어질 수 있습니다. 보안 코딩은 사용자가 제공한 모든 입력이 표시되기 전에 이를 삭제 및 인코딩하고, 출력을 자동으로 이스케이프하는 프레임워크를 사용하며, 실행 가능한 스크립트를 제한하는 CSP (Content Security Policy)를 구현하여 XSS를 해결합니다.
액세스 제어
액세스 제어 취약성은 사용자가 보거나 수행할 수 있는 항목에 대한 규칙이 제대로 정의되거나 적용되지 않을 때 발생합니다. 취약한 액세스 제어를 통해 공격자는 의도된 사용자 역할 제한을 우회하여 잠재적으로 민감한 데이터를 읽거나, 레코드를 수정하거나, 권한이 있는 사용자에게만 해당되는 작업을 수행할 수 있습니다.
액세스 제어 문제는 상당한 문제를 야기하며, 특히 AI 코딩 도구는 고군분투했습니다. 개발자의 기술과 인식의 필요성을 강조하면서 이 취약성 클래스를 효과적으로 해결하기 위해서입니다. 액세스 제어 해제가 미치는 영향은 상당합니다. 예를 들어 관리자 전용 기능에 접근할 수 있는 공격자는 보안 설정을 비활성화하거나 개인정보를 빼내거나 다른 사용자로 위장할 수 있습니다.
보안 코딩 관행은 최소 권한 원칙에 따라 모든 요청에 대해 서버 측 인증 검사를 적용하고 보안 조치로 모호성(예: 링크 숨기기)에만 의존하지 않도록 함으로써 이러한 위험에 대응합니다. 또한 엄격한 접근 제어 테스트를 실시하면 이러한 보호 기능이 장기적으로 강력하게 유지될 수 있습니다.
사이트 간 요청 위조 (CSRF)
사이트 간 요청 위조(CSRF) 공격은 인증된 사용자가 다른 사이트에서 원치 않는 작업을 수행하도록 강요합니다. 여기에는 자금 이체, 이메일 주소 변경 또는 계정 설정 수정이 포함될 수 있습니다. 이 공격은 브라우저가 위조된 요청과 함께 쿠키와 같은 유효한 인증 토큰을 자동으로 포함하기 때문에 효과적입니다.
시큐어 코딩은 각 사용자 세션에 고유한 안티 CSRF 토큰을 구현하고 각 상태 변경 요청에서 유효성을 검사하여 CSRF를 방어합니다. 추가 방어 수단으로는 중요한 작업에 대해 재인증을 요구하고 쿠키에 SameSite 속성을 설정하여 사이트 간 요청과 함께 전송되지 않도록 하는 것이 포함됩니다.이러한 보호 기능을 개발 라이프사이클에 포함시키면 시스템이 합법적이고 의도적인 작업만 처리하게 될 가능성을 크게 높일 수 있습니다.
안전하지 않은 인증
안전하지 않은 인증은 사용자의 신원을 확인하는 과정이 취약하거나 예측 가능하거나 기타 결함이 있을 때 발생합니다. 이는 잘못된 암호 정책, 안전하지 않은 자격 증명 저장소 또는 MFA(다중 요소 인증)의 부재로 인해 발생할 수 있습니다. 공격자는 무차별 대입 공격, 자격 증명 스터핑 또는 전송 중 암호화되지 않은 자격 증명을 가로채는 등 다양한 방법을 통해 이러한 취약점을 악용할 수 있습니다.안전하지 않은 인증은 공격자에게 사용자 계정, 관리 제어 및 민감한 데이터에 대한 직접적인 접근 권한을 부여할 수 있으므로 심각한 영향을 미칩니다. 일단 내부로 침투하면 시스템을 더욱 손상시키거나 귀중한 정보를 탈취할 수 있습니다.
보안 코딩은 강력한 암호 요구 사항을 적용하고, 저장된 자격 증명을 해싱 및 솔트 처리하며, 모든 인증 교환에 HTTPS와 같은 보안 프로토콜을 사용하고, MFA를 통합하여 추가 검증 계층을 제공함으로써 이 취약성을 해결합니다. 또한 개발자는 인증 시스템이 약점이 아닌 강력한 방어선 역할을 할 수 있도록 실패 시도를 제한하고 의심스러운 활동을 조기에 탐지하는 로그인 메커니즘을 설계해야 합니다.
따라야 할 6가지 보안 코딩 실천
보안 소프트웨어 구축은 단순히 어떤 위협이 존재하는지 파악하는 것 이상의 의미를 지닙니다. 이를 위해서는 검증된 보안 코딩 관행과 패턴을 학습하고 통합해야 합니다. 아래 기술은 보안을 모든 프로젝트의 필수 요소로 만들기 위해 개발자가 취할 수 있는 실행 가능한 단계를 제공합니다.
1. 사용자 액세스 제어 구현
위에서 설명한 것처럼 사용자 액세스 제어란 시스템의 각 사용자 역할에 대한 권한을 정의하고 적용하는 것을 의미합니다. 강력한 액세스 제어는 권한이 없는 사용자가 민감한 데이터를 보거나 기록을 수정하거나 관리 작업을 수행하는 것을 방지합니다. 또한 공격자는 해당 계정의 권한만 가지므로 사용자 계정이 도용될 경우 피해를 줄일 수 있습니다.
효과적인 사용자 액세스 제어를 위해서는 신원을 확인하기 위한 강력한 인증이 필요하며, 인증된 사용자에게 요청된 작업을 수행할 권한이 있는지 확인하기 위한 권한 검사가 뒤따릅니다. 액세스 제어 관행을 정기적으로 검토하여 최소 권한 원칙에 맞게 사용자에게 작업 수행에 필요한 최소 액세스 권한을 부여해야 합니다. 또한 액세스 제어는 정기적인 모니터링을 통해 시스템의 정책과 사용자를 최신 상태로 유지하고, 감사를 통해 비정상적인 활동을 신속하게 찾아냅니다.
2. 데이터 검증 및 삭제
데이터를 검증하고 삭제하려면 처리하기 전에 들어오는 모든 입력이 예상 형식, 유형 및 패턴을 충족하는지 확인한 다음 데이터를 정리하여 잠재적으로 위험한 콘텐츠를 제거하는 작업이 포함됩니다. 신뢰할 수 있는 출처도 손상될 수 있으므로 이러한 관행은 외부 출처에서 들어오는 데이터에도 적용되어야 합니다. 따라서 모든 입력은 검증되기 전까지는 신뢰할 수 없는 것으로 취급해야 합니다. 개발 프로세스에 검증 및 삭제 기능을 포함하면 인젝션 공격과 같은 일반적인 위협에 대한 애플리케이션 복원력을 유지할 수 있습니다.
3. 현대 언어로 글을 쓰세요
보안 코딩은 코드 작성 방법에만 국한되지 않습니다. 애초에 보안 결함이 발생하는 것을 더 쉽게 방지할 수 있는 도구와 환경을 선택하는 것도 중요합니다. 대부분의 기업에서는 최신 언어로 완전히 전환하는 것이 현실적이거나 효율적인 옵션이 아닌 경우가 많지만, 최신 프로그래밍 언어를 최소한 어느 정도 사용하고 선택한 모든 언어의 최신 버전을 사용하면 소프트웨어 보안을 개선할 수 있습니다.최신 언어와 프레임워크는 일반적으로 더 나은 메모리 안전성, 강력한 유형 검사, 일반적인 취약점에 대한 기본 제공 보호 기능을 제공합니다. 예를 들어, Rust와 Go와 같은 언어는 안전을 염두에 두고 설계되었으므로 이전 언어에서는 발생하기 쉬운 버퍼 오버플로우와 같은 문제를 방지하는 데 도움이 됩니다.
기존 언어인 Java 또는 Python은 현대화 및 보안 유지가 어려울 수 있지만, 최신 릴리스를 따라가면 최신 보안 기능을 활용하고 성능을 개선할 수 있습니다. 많은 업데이트는 알려진 취약점을 패치하고, 안전하지 않은 기능을 더 이상 사용하지 않도록 하며, 보다 안전한 기본 설정을 제공합니다.
4.연습 코드 난독화
코드 난독화는 공격자가 소스 코드 또는 컴파일된 코드를 이해, 리버스 엔지니어링 또는 조작하기 어렵게 만드는 프로세스입니다. 다른 보안 조치를 대체하지는 못하지만 애플리케이션의 로직과 민감한 루틴을 침입자가 보지 못하도록 숨겨 방어 수준을 한 단계 더 높여줍니다. 난독화에는 변수 및 함수의 이름을 의미 없는 식별자로 바꾸거나 코드를 이해하기 어렵게 하는 방식으로 재구성하는 것과 같은 기술이 포함될 수 있습니다.
목표는 공격자가 취약점을 찾아 악용하는 데 필요한 비용과 노력을 늘리는 것입니다. 보안 코딩에서 난독화는 다른 강력한 보안 관행과 함께 작동하여 애플리케이션을 덜 매력적인 대상으로 만듭니다.
5.코드 스캔 및 모니터링
보안 코딩 관행에는 코드를 적극적으로 스캔하고 모니터링하는 것도 포함됩니다. 정적 애플리케이션 보안 테스트(SAST) 도구는 배포 전에 소스 코드의 알려진 취약점을 분석하는 반면, 동적 애플리케이션 보안 테스트(DAST) 도구는 실행 중인 애플리케이션에 악용 가능한 결함이 있는지 실시간으로 테스트합니다. 두 접근 방식을 결합하면 문제를 조기에 지속적으로 파악할 수 있습니다.
개발 중 스캐닝 외에도 프로덕션 환경에서 지속적인 모니터링을 구현하는 것이 중요합니다. 여기에는 비정상적인 활동에 대한 알림을 설정하고, 보안 이벤트를 기록하며, 런타임 애플리케이션 자체 보호(RASP) 도구를 활용하여 실시간으로 공격을 탐지하고 차단하는 작업이 포함됩니다. 정기적인 검사와 모니터링을 통해 개발 중에 취약점이 발견되더라도 심각한 피해가 발생하기 전에 신속하게 해결할 수 있는 가시성을 확보할 수 있습니다.
6. 보안 코딩 표준 문서화 및 구현
보안 코딩 표준을 문서화하려면 팀의 방식을 정의하는 명확한 지침을 만들어야 합니다. 안전하고 유지 관리가 용이하며 규정을 준수하는 코드 작성. 이러한 표준은 기술 스택과 관련된 일반적인 취약점을 해결하는 방법뿐만 아니라 입력 검증, 오류 처리, 암호화 관행, 세션 관리와 같은 주제를 다루어야 합니다.
이러한 표준을 마련하면 주니어 엔지니어부터 수석 설계자까지 모든 개발자가 동일한 보안 원칙을 따를 수 있습니다. 이러한 표준을 교육 및 정기 업데이트와 함께 사용하면 개발 프로세스를 최신 보안 요구 사항에 맞게 유지하는 유용한 리소스가 됩니다.
보안 코딩 표준 및 프레임워크
자신만의 코딩 표준을 만드는 데 도움이 필요하다면 아래의 인기 가이드라인이 도움이 될 수 있습니다. 이 지침서는 일반적인 취약점을 해결하는 다양한 사례를 다루며 코딩 작업을 업계 모범 사례에 맞추는 방법을 명확히 하는 데 도움이 될 수 있습니다.
OWASP 보안 코딩 사례
OWASP는 개발자가 처음부터 끝까지 보안이 포함된 코드를 작성할 수 있도록 지원하는 가장 널리 알려진 소스 중 하나입니다. 주요 보안 코딩 리소스로 OWASP 개발자 가이드 및 OWASP 탑 10을 제공합니다. OWASP의 접근 방식은 실행 가능성이 매우 높으며, 개발 과정에서 적용할 수 있는 체크리스트 및 코딩 팁과 같은 이점을 제공합니다.
OWASP 지침을 따르면 프로젝트 전반에서 보안 코딩을 위한 공통 기준을 만들어 팀에 도움이 됩니다. OWASP는 새로운 위협 벡터와 공격 기술을 반영하도록 정기적으로 업데이트되므로 조직은 이를 사용하여 새로운 위험에 미리 대비할 수 있습니다. OWASP의 원칙을 워크플로에 적용하면 코드 품질을 개선하고 취약점을 줄이며 널리 받아들여지는 업계 지침을 준수할 수 있습니다.
NIST 보안 소프트웨어 개발 프레임워크
미국 국립표준기술원(NIST)은 포괄적인 보안 코딩 지침을 함께 발표합니다. 광범위한 사이버 보안 프레임워크. 높은 수준의 보안 소프트웨어 개발 관행에 대한 정보를 제공하는 것 외에도 NIST 보안 소프트웨어 개발 프레임워크(SSDF)는 회사 팀 내 및 팀 간 주요 문제에 대한 커뮤니케이션을 향상시키는 공통 어휘를 제공합니다. 특정 기술보다는 결과에 초점을 맞추기 때문에 OWASP 또는 SEI CERT 코딩 표준과 같은 다른 표준을 보완하는 데 가장 적합합니다.
SEI 인증서 코딩 표준
소프트웨어 엔지니어링 연구소(SEI)의 CERT 부서에서 개발했습니다. SEI 인증서 코딩 표준은 C, C++, Java 및 Perl을 포함한 특정 프로그래밍 언어의 보안 취약성을 방지하는 데 중점을 둡니다. 각 언어별 표준에는 보안 코딩 규칙, 상세한 설명, 준수 및 비준수 코드의 예가 포함되어 있습니다. CERT 코딩 표준은 특정 프로그래밍 언어의 미묘한 차이점과 취약점을 다루기 때문에 해당 환경에서 작업하는 개발자에게 매우 유용하고 실행 가능합니다.
마이크로소프트 보안 개발 라이프사이클
마이크로소프트의 보안 개발 라이프사이클(SDL)은 보안을 소프트웨어 개발 프로세스의 필수적인 부분으로 만들기 위해 고안된 일련의 모범 사례입니다. 여기에는 다음과 같은 권장 사항이 포함됩니다. 10가지 핵심 주제 여기에는위협 모델링, 개발자를 위한 보안 교육, 소프트웨어 공급망 보안이 포함됩니다.Microsoft는 이 접근 방식을 자체적으로 사용하므로 조직은 개발자, 테스터 및 보안 팀을 조정하는 검증된 프로세스를 활용할 수 있습니다.
ISO/IEC 27001
ISO/IEC 27001은 정보 보안 관리 시스템(ISMS)의 표준으로 가장 잘 알려져 있지만 보안 코딩에도 큰 영향을 미칩니다. 조직 차원의 ISMS 수립에 중점을 두지만 여기에는 보안 코딩 원칙이 포함됩니다. 이러한 권장 사항은 조직이 보안 코딩 관행을 구현할 때 따를 수 있는 높은 수준의 지침을 제공합니다.
AI 보안 규칙
AI 코딩 도구는 그 어느 때보다 편리하지만, 안전하고 정확한 코드를 만들지 못하면 득보다 실이 더 많을 수 있습니다.시큐어 코드 워리어의 AI 보안 규칙 — 동종 최초의 제품 — 지침 제공 GitHub Copilot, Cline, Cursor, Windsurf와 같은 AI 도구와 함께 사용할 수 있는 보안 코딩 모범 사례에 대해 설명합니다. 이러한 규칙은 안전하지 않은 코드의 위험을 최소화하는 가드레일을 마련하여 AI 코딩 어시스턴트를 추적할 수 있도록 합니다.
처음부터 보안 코드를 만드는 방법 알아보기
보안 코딩은 단순한 기술적 요구 사항이 아니라 중요한 비즈니스 이점입니다. 팀이 처음부터 보안 코드를 작성하면 비용이 많이 드는 취약점을 예방하고 데이터 침해 위험을 줄이며 고객이 신뢰할 수 있는 소프트웨어를 제공할 수 있습니다.그러나 체계적인 지침이 없다면 보안 코딩 관행을 익히는 것이 특히 어려울 수 있습니다. 개발자에게는 실제 사례, 진화하는 위협에 대한 최신 지식, 모든 코드 라인에 보안 원칙을 자신 있게 적용할 수 있는 방법이 필요합니다.
시큐어 코드 워리어의 ISO 27001 인증 및 SOC 2 준수 애자일 학습 플랫폼은 바로 그 점을 팀에 제공합니다. 언어별 보안 모범 사례, 현실적인 코딩 문제, 다양한 역할을 위해 큐레이션된 콘텐츠에 대한 교육을 통해 보안을 사후 고려 사항에서 벗어나 개발 프로세스의 자연스러운 부분으로 전환합니다. 개발자는 취약점을 조기에 식별 및 수정하고, 업계 표준을 준수하며, 소프트웨어 개발 수명 주기 전반에 걸쳐 코드 보안에 대한 완전한 소유권을 가질 수 있는 기술을 구축합니다.Secure Code Warrior를 사용하는 회사가 소프트웨어 취약점을 53% 줄이고, 최대 1,400만 달러의 비용 절감을 실현하며, 개발자 중 92%가 추가 교육을 원한다는 것은 놀라운 일이 아닙니다.
팀이 첫날부터 어떻게 더 안전하고 강력한 코드를 작성할 수 있는지 알고 싶다면 지금 시큐어 코드 워리어 데모를 예약하세요.
소프트웨어 취약점을 사후 고려사항이나 혁신의 걸림돌로 간주하면 조직은 데이터 침해, 평판 훼손 및 비용이 많이 드는 법적 책임의 문을 열게 됩니다. 사이버 공격은 종종 강력한 개발 관행으로 방지할 수 있었던 코드의 약점을 악용합니다.
보안 코딩은 보안 원칙을 개발의 모든 단계에 포함시켜 이러한 문제를 해결합니다. 개발자는 취약점이 발견된 후 수정 프로그램을 구현하는 대신 인젝션 공격 및 XSS(Cross-Site Scripting)와 같은 일반적인 위협에 대한 보호 기능이 내장된 코드를 작성합니다. 이제 보안 코딩을 통해 회사는 위험을 줄이고, 사용자 신뢰를 보호하며, 규제 요구 사항을 준수하는 동시에 신뢰할 수 있는 고품질 소프트웨어를 제공하는 데 어떻게 도움이 되는지 자세히 살펴보겠습니다.
시큐어 코딩이란?
보안 코딩은 잠재적 취약점을 해결하기 위한 소프트웨어를 작성할 때 보안 모범 사례를 따르는 원칙입니다. 보안 코딩은 보안을 별도의 개발 단계로 취급하지 않고 초기 단계부터 검증된 보호 장치를 통합하여 개발자가 코드 보안에 대한 소유권을 갖고 이를 효과적으로 적용할 수 있는 기술을 갖출 수 있도록 합니다.
오픈 월드와이드 애플리케이션 보안 프로젝트(OWASP) 또는 소프트웨어 엔지니어링 연구소의 CERT 부서와 같은 기관에서 만든 공인된 보안 코딩 표준은 공격자가 악용하는 일반적인 함정을 피하려는 개발자에게 북극성 역할을 할 수 있습니다. 이러한 전략을 기존 워크플로우에 안전하게 구현하기 위해 기초적이고 실용적인 보안 코딩 기술을 지속적으로 구축하는 것은 오늘날의 사이버 보안 환경에서 타협할 수 없는 일입니다.예를 들어 가능한 많은 사용자 입력의 유효성을 검사하면 SQL 삽입 공격을 방지할 수 있고 출력 인코딩은 XSS를 차단하는 데 도움이 됩니다. 이러한 보안 코딩 방식과 기타 보안 코딩 방식은 보안 침해 위험을 줄이고 진화하는 사이버 위협에 대응할 수 있는 애플리케이션 복원력을 높여줍니다.
보안 코딩이 왜 그렇게 중요할까요?
보안 코딩의 중요성 많은 성공적인 사이버 공격은 개발 과정에서 방지할 수 있었던 취약점을 악용하기 때문입니다. 처음부터 보안 관행의 우선 순위를 지정하면 공격자가 데이터를 손상시키거나 운영을 방해하는 데 사용할 수 있는 결함이 생길 가능성을 줄일 수 있습니다. 소프트웨어 개발 수명 주기(SDLC)의 모든 단계에 보안을 구축하면 모든 기능, 업데이트 및 통합이 보호를 염두에 두고 설계되도록 할 수 있습니다.
개발 과정에서 위험을 사전에 해결하는 것이 배포 후 문제를 해결하기 위해 긴급 패치, 다운타임 및 사고 대응 리소스가 필요할 수 있는 경우보다 비용이 훨씬 저렴합니다. 또한 데이터 보호 규정 준수를 향상시켜 잠재적 벌금 및 법적 문제를 피할 수 있습니다. 보안 코딩 사례는 또한 회사에 대한 소비자 신뢰를 높이고 강력한 보안을 브랜드 평판의 일부로 만듭니다.
일반적인 코드 보안 취약점
시큐어 코딩은 공격자가 악용하는 가장 빈번하고 위험한 취약성뿐만 아니라 AI 코딩 도구를 사용할 때 나타나는 위협 벡터와 같은 새로운 위협 벡터를 방지하는 것을 목표로 합니다. 다음은 몇 가지 일반적인 취약성과 이로 인해 발생할 수 있는 피해, 보안 코딩이 이러한 취약점을 완화하는 데 어떻게 도움이 되는지에 대한 개요입니다.
역직렬화 결함
역직렬화 결함은 응용 프로그램이 적절한 검증 없이 외부 소스의 데이터를 받아들이고 처리할 때 발생합니다.직렬화는 객체를 저장하거나 전송할 수 있는 형식으로 변환하는 과정이며, 역직렬화는 해당 객체를 재구성하여 사용할 수 있도록 합니다. 역직렬화 결함의 영향은 심각할 수 있으며, 그 결과 임의 코드가 실행되거나 권한이 상승될 수 있습니다. 보안 코딩은 신뢰할 수 있고 검증된 데이터만 역직렬화되도록 하고 가능한 경우 신뢰할 수 없는 입력의 기본 역직렬화를 완전히 방지함으로써 이 문제를 해결합니다.
주사 공격
주사 공격은 공격자가 애플리케이션이 명령이나 쿼리의 일부로 해석하는 입력을 제공할 때 발생합니다. 가장 잘 알려진 유형은 악의적인 SQL 문을 쿼리에 삽입하여 데이터베이스 콘텐츠에 접근하거나 변경하는 SQL 인젝션입니다. 다른 유형으로는 공격자가 임의의 명령을 실행하는 명령 주입과 LDAP(경량 디렉터리 접근 프로토콜) 주입이 있습니다. 주사 공격의 결과는 무단 데이터 접근 및 삭제부터 전체 시스템 손상에 이르기까지 광범위합니다. 민감한 개인, 금융 또는 독점 정보가 포함된 데이터베이스가 주요 공격 대상입니다. 보안 코딩은 매개변수화된 쿼리 또는 준비된 명령문을 사용하고, 신뢰할 수 없는 데이터를 처리하기 전에 이를 피하고, 엄격한 입력 검증을 적용함으로써 인젝션 취약성을 방지하는 데 도움이 됩니다. 이러한 보안 코딩 관행과 기타 보안 코딩 방법은 공격자가 애플리케이션의 의도된 동작을 변경하지 못하도록 막을 수 있습니다.
크로스 사이트 스크립팅 (XSS)
크로스 사이트 스크립팅 (XSS) 다른 사용자가 보는 페이지에 악성 스크립트를 삽입하여 웹 애플리케이션을 대상으로 하는 인젝션 공격의 한 형태입니다. 이는 일반적으로 애플리케이션의 출력에 검증되지 않은 사용자 입력이 포함된 경우에 발생합니다. 다른 사용자의 브라우저가 페이지를 렌더링하면 악성 스크립트가 실행되어 잠재적으로 쿠키를 도용하거나 키 입력을 캡처하거나 사용자를 악성 사이트로 리디렉션할 수 있습니다.
XSS의 영향에는 세션 하이재킹과 신원 도용이 포함될 수 있습니다. 기업의 경우 이로 인해 고객의 신뢰가 약화되고 민감한 데이터가 손상될 경우 규제 관련 처벌로 이어질 수 있습니다. 보안 코딩은 사용자가 제공한 모든 입력이 표시되기 전에 이를 삭제 및 인코딩하고, 출력을 자동으로 이스케이프하는 프레임워크를 사용하며, 실행 가능한 스크립트를 제한하는 CSP (Content Security Policy)를 구현하여 XSS를 해결합니다.
액세스 제어
액세스 제어 취약성은 사용자가 보거나 수행할 수 있는 항목에 대한 규칙이 제대로 정의되거나 적용되지 않을 때 발생합니다. 취약한 액세스 제어를 통해 공격자는 의도된 사용자 역할 제한을 우회하여 잠재적으로 민감한 데이터를 읽거나, 레코드를 수정하거나, 권한이 있는 사용자에게만 해당되는 작업을 수행할 수 있습니다.
액세스 제어 문제는 상당한 문제를 야기하며, 특히 AI 코딩 도구는 고군분투했습니다. 개발자의 기술과 인식의 필요성을 강조하면서 이 취약성 클래스를 효과적으로 해결하기 위해서입니다. 액세스 제어 해제가 미치는 영향은 상당합니다. 예를 들어 관리자 전용 기능에 접근할 수 있는 공격자는 보안 설정을 비활성화하거나 개인정보를 빼내거나 다른 사용자로 위장할 수 있습니다.
보안 코딩 관행은 최소 권한 원칙에 따라 모든 요청에 대해 서버 측 인증 검사를 적용하고 보안 조치로 모호성(예: 링크 숨기기)에만 의존하지 않도록 함으로써 이러한 위험에 대응합니다. 또한 엄격한 접근 제어 테스트를 실시하면 이러한 보호 기능이 장기적으로 강력하게 유지될 수 있습니다.
사이트 간 요청 위조 (CSRF)
사이트 간 요청 위조(CSRF) 공격은 인증된 사용자가 다른 사이트에서 원치 않는 작업을 수행하도록 강요합니다. 여기에는 자금 이체, 이메일 주소 변경 또는 계정 설정 수정이 포함될 수 있습니다. 이 공격은 브라우저가 위조된 요청과 함께 쿠키와 같은 유효한 인증 토큰을 자동으로 포함하기 때문에 효과적입니다.
시큐어 코딩은 각 사용자 세션에 고유한 안티 CSRF 토큰을 구현하고 각 상태 변경 요청에서 유효성을 검사하여 CSRF를 방어합니다. 추가 방어 수단으로는 중요한 작업에 대해 재인증을 요구하고 쿠키에 SameSite 속성을 설정하여 사이트 간 요청과 함께 전송되지 않도록 하는 것이 포함됩니다.이러한 보호 기능을 개발 라이프사이클에 포함시키면 시스템이 합법적이고 의도적인 작업만 처리하게 될 가능성을 크게 높일 수 있습니다.
안전하지 않은 인증
안전하지 않은 인증은 사용자의 신원을 확인하는 과정이 취약하거나 예측 가능하거나 기타 결함이 있을 때 발생합니다. 이는 잘못된 암호 정책, 안전하지 않은 자격 증명 저장소 또는 MFA(다중 요소 인증)의 부재로 인해 발생할 수 있습니다. 공격자는 무차별 대입 공격, 자격 증명 스터핑 또는 전송 중 암호화되지 않은 자격 증명을 가로채는 등 다양한 방법을 통해 이러한 취약점을 악용할 수 있습니다.안전하지 않은 인증은 공격자에게 사용자 계정, 관리 제어 및 민감한 데이터에 대한 직접적인 접근 권한을 부여할 수 있으므로 심각한 영향을 미칩니다. 일단 내부로 침투하면 시스템을 더욱 손상시키거나 귀중한 정보를 탈취할 수 있습니다.
보안 코딩은 강력한 암호 요구 사항을 적용하고, 저장된 자격 증명을 해싱 및 솔트 처리하며, 모든 인증 교환에 HTTPS와 같은 보안 프로토콜을 사용하고, MFA를 통합하여 추가 검증 계층을 제공함으로써 이 취약성을 해결합니다. 또한 개발자는 인증 시스템이 약점이 아닌 강력한 방어선 역할을 할 수 있도록 실패 시도를 제한하고 의심스러운 활동을 조기에 탐지하는 로그인 메커니즘을 설계해야 합니다.
따라야 할 6가지 보안 코딩 실천
보안 소프트웨어 구축은 단순히 어떤 위협이 존재하는지 파악하는 것 이상의 의미를 지닙니다. 이를 위해서는 검증된 보안 코딩 관행과 패턴을 학습하고 통합해야 합니다. 아래 기술은 보안을 모든 프로젝트의 필수 요소로 만들기 위해 개발자가 취할 수 있는 실행 가능한 단계를 제공합니다.
1. 사용자 액세스 제어 구현
위에서 설명한 것처럼 사용자 액세스 제어란 시스템의 각 사용자 역할에 대한 권한을 정의하고 적용하는 것을 의미합니다. 강력한 액세스 제어는 권한이 없는 사용자가 민감한 데이터를 보거나 기록을 수정하거나 관리 작업을 수행하는 것을 방지합니다. 또한 공격자는 해당 계정의 권한만 가지므로 사용자 계정이 도용될 경우 피해를 줄일 수 있습니다.
효과적인 사용자 액세스 제어를 위해서는 신원을 확인하기 위한 강력한 인증이 필요하며, 인증된 사용자에게 요청된 작업을 수행할 권한이 있는지 확인하기 위한 권한 검사가 뒤따릅니다. 액세스 제어 관행을 정기적으로 검토하여 최소 권한 원칙에 맞게 사용자에게 작업 수행에 필요한 최소 액세스 권한을 부여해야 합니다. 또한 액세스 제어는 정기적인 모니터링을 통해 시스템의 정책과 사용자를 최신 상태로 유지하고, 감사를 통해 비정상적인 활동을 신속하게 찾아냅니다.
2. 데이터 검증 및 삭제
데이터를 검증하고 삭제하려면 처리하기 전에 들어오는 모든 입력이 예상 형식, 유형 및 패턴을 충족하는지 확인한 다음 데이터를 정리하여 잠재적으로 위험한 콘텐츠를 제거하는 작업이 포함됩니다. 신뢰할 수 있는 출처도 손상될 수 있으므로 이러한 관행은 외부 출처에서 들어오는 데이터에도 적용되어야 합니다. 따라서 모든 입력은 검증되기 전까지는 신뢰할 수 없는 것으로 취급해야 합니다. 개발 프로세스에 검증 및 삭제 기능을 포함하면 인젝션 공격과 같은 일반적인 위협에 대한 애플리케이션 복원력을 유지할 수 있습니다.
3. 현대 언어로 글을 쓰세요
보안 코딩은 코드 작성 방법에만 국한되지 않습니다. 애초에 보안 결함이 발생하는 것을 더 쉽게 방지할 수 있는 도구와 환경을 선택하는 것도 중요합니다. 대부분의 기업에서는 최신 언어로 완전히 전환하는 것이 현실적이거나 효율적인 옵션이 아닌 경우가 많지만, 최신 프로그래밍 언어를 최소한 어느 정도 사용하고 선택한 모든 언어의 최신 버전을 사용하면 소프트웨어 보안을 개선할 수 있습니다.최신 언어와 프레임워크는 일반적으로 더 나은 메모리 안전성, 강력한 유형 검사, 일반적인 취약점에 대한 기본 제공 보호 기능을 제공합니다. 예를 들어, Rust와 Go와 같은 언어는 안전을 염두에 두고 설계되었으므로 이전 언어에서는 발생하기 쉬운 버퍼 오버플로우와 같은 문제를 방지하는 데 도움이 됩니다.
기존 언어인 Java 또는 Python은 현대화 및 보안 유지가 어려울 수 있지만, 최신 릴리스를 따라가면 최신 보안 기능을 활용하고 성능을 개선할 수 있습니다. 많은 업데이트는 알려진 취약점을 패치하고, 안전하지 않은 기능을 더 이상 사용하지 않도록 하며, 보다 안전한 기본 설정을 제공합니다.
4.연습 코드 난독화
코드 난독화는 공격자가 소스 코드 또는 컴파일된 코드를 이해, 리버스 엔지니어링 또는 조작하기 어렵게 만드는 프로세스입니다. 다른 보안 조치를 대체하지는 못하지만 애플리케이션의 로직과 민감한 루틴을 침입자가 보지 못하도록 숨겨 방어 수준을 한 단계 더 높여줍니다. 난독화에는 변수 및 함수의 이름을 의미 없는 식별자로 바꾸거나 코드를 이해하기 어렵게 하는 방식으로 재구성하는 것과 같은 기술이 포함될 수 있습니다.
목표는 공격자가 취약점을 찾아 악용하는 데 필요한 비용과 노력을 늘리는 것입니다. 보안 코딩에서 난독화는 다른 강력한 보안 관행과 함께 작동하여 애플리케이션을 덜 매력적인 대상으로 만듭니다.
5.코드 스캔 및 모니터링
보안 코딩 관행에는 코드를 적극적으로 스캔하고 모니터링하는 것도 포함됩니다. 정적 애플리케이션 보안 테스트(SAST) 도구는 배포 전에 소스 코드의 알려진 취약점을 분석하는 반면, 동적 애플리케이션 보안 테스트(DAST) 도구는 실행 중인 애플리케이션에 악용 가능한 결함이 있는지 실시간으로 테스트합니다. 두 접근 방식을 결합하면 문제를 조기에 지속적으로 파악할 수 있습니다.
개발 중 스캐닝 외에도 프로덕션 환경에서 지속적인 모니터링을 구현하는 것이 중요합니다. 여기에는 비정상적인 활동에 대한 알림을 설정하고, 보안 이벤트를 기록하며, 런타임 애플리케이션 자체 보호(RASP) 도구를 활용하여 실시간으로 공격을 탐지하고 차단하는 작업이 포함됩니다. 정기적인 검사와 모니터링을 통해 개발 중에 취약점이 발견되더라도 심각한 피해가 발생하기 전에 신속하게 해결할 수 있는 가시성을 확보할 수 있습니다.
6. 보안 코딩 표준 문서화 및 구현
보안 코딩 표준을 문서화하려면 팀의 방식을 정의하는 명확한 지침을 만들어야 합니다. 안전하고 유지 관리가 용이하며 규정을 준수하는 코드 작성. 이러한 표준은 기술 스택과 관련된 일반적인 취약점을 해결하는 방법뿐만 아니라 입력 검증, 오류 처리, 암호화 관행, 세션 관리와 같은 주제를 다루어야 합니다.
이러한 표준을 마련하면 주니어 엔지니어부터 수석 설계자까지 모든 개발자가 동일한 보안 원칙을 따를 수 있습니다. 이러한 표준을 교육 및 정기 업데이트와 함께 사용하면 개발 프로세스를 최신 보안 요구 사항에 맞게 유지하는 유용한 리소스가 됩니다.
보안 코딩 표준 및 프레임워크
자신만의 코딩 표준을 만드는 데 도움이 필요하다면 아래의 인기 가이드라인이 도움이 될 수 있습니다. 이 지침서는 일반적인 취약점을 해결하는 다양한 사례를 다루며 코딩 작업을 업계 모범 사례에 맞추는 방법을 명확히 하는 데 도움이 될 수 있습니다.
OWASP 보안 코딩 사례
OWASP는 개발자가 처음부터 끝까지 보안이 포함된 코드를 작성할 수 있도록 지원하는 가장 널리 알려진 소스 중 하나입니다. 주요 보안 코딩 리소스로 OWASP 개발자 가이드 및 OWASP 탑 10을 제공합니다. OWASP의 접근 방식은 실행 가능성이 매우 높으며, 개발 과정에서 적용할 수 있는 체크리스트 및 코딩 팁과 같은 이점을 제공합니다.
OWASP 지침을 따르면 프로젝트 전반에서 보안 코딩을 위한 공통 기준을 만들어 팀에 도움이 됩니다. OWASP는 새로운 위협 벡터와 공격 기술을 반영하도록 정기적으로 업데이트되므로 조직은 이를 사용하여 새로운 위험에 미리 대비할 수 있습니다. OWASP의 원칙을 워크플로에 적용하면 코드 품질을 개선하고 취약점을 줄이며 널리 받아들여지는 업계 지침을 준수할 수 있습니다.
NIST 보안 소프트웨어 개발 프레임워크
미국 국립표준기술원(NIST)은 포괄적인 보안 코딩 지침을 함께 발표합니다. 광범위한 사이버 보안 프레임워크. 높은 수준의 보안 소프트웨어 개발 관행에 대한 정보를 제공하는 것 외에도 NIST 보안 소프트웨어 개발 프레임워크(SSDF)는 회사 팀 내 및 팀 간 주요 문제에 대한 커뮤니케이션을 향상시키는 공통 어휘를 제공합니다. 특정 기술보다는 결과에 초점을 맞추기 때문에 OWASP 또는 SEI CERT 코딩 표준과 같은 다른 표준을 보완하는 데 가장 적합합니다.
SEI 인증서 코딩 표준
소프트웨어 엔지니어링 연구소(SEI)의 CERT 부서에서 개발했습니다. SEI 인증서 코딩 표준은 C, C++, Java 및 Perl을 포함한 특정 프로그래밍 언어의 보안 취약성을 방지하는 데 중점을 둡니다. 각 언어별 표준에는 보안 코딩 규칙, 상세한 설명, 준수 및 비준수 코드의 예가 포함되어 있습니다. CERT 코딩 표준은 특정 프로그래밍 언어의 미묘한 차이점과 취약점을 다루기 때문에 해당 환경에서 작업하는 개발자에게 매우 유용하고 실행 가능합니다.
마이크로소프트 보안 개발 라이프사이클
마이크로소프트의 보안 개발 라이프사이클(SDL)은 보안을 소프트웨어 개발 프로세스의 필수적인 부분으로 만들기 위해 고안된 일련의 모범 사례입니다. 여기에는 다음과 같은 권장 사항이 포함됩니다. 10가지 핵심 주제 여기에는위협 모델링, 개발자를 위한 보안 교육, 소프트웨어 공급망 보안이 포함됩니다.Microsoft는 이 접근 방식을 자체적으로 사용하므로 조직은 개발자, 테스터 및 보안 팀을 조정하는 검증된 프로세스를 활용할 수 있습니다.
ISO/IEC 27001
ISO/IEC 27001은 정보 보안 관리 시스템(ISMS)의 표준으로 가장 잘 알려져 있지만 보안 코딩에도 큰 영향을 미칩니다. 조직 차원의 ISMS 수립에 중점을 두지만 여기에는 보안 코딩 원칙이 포함됩니다. 이러한 권장 사항은 조직이 보안 코딩 관행을 구현할 때 따를 수 있는 높은 수준의 지침을 제공합니다.
AI 보안 규칙
AI 코딩 도구는 그 어느 때보다 편리하지만, 안전하고 정확한 코드를 만들지 못하면 득보다 실이 더 많을 수 있습니다.시큐어 코드 워리어의 AI 보안 규칙 — 동종 최초의 제품 — 지침 제공 GitHub Copilot, Cline, Cursor, Windsurf와 같은 AI 도구와 함께 사용할 수 있는 보안 코딩 모범 사례에 대해 설명합니다. 이러한 규칙은 안전하지 않은 코드의 위험을 최소화하는 가드레일을 마련하여 AI 코딩 어시스턴트를 추적할 수 있도록 합니다.
처음부터 보안 코드를 만드는 방법 알아보기
보안 코딩은 단순한 기술적 요구 사항이 아니라 중요한 비즈니스 이점입니다. 팀이 처음부터 보안 코드를 작성하면 비용이 많이 드는 취약점을 예방하고 데이터 침해 위험을 줄이며 고객이 신뢰할 수 있는 소프트웨어를 제공할 수 있습니다.그러나 체계적인 지침이 없다면 보안 코딩 관행을 익히는 것이 특히 어려울 수 있습니다. 개발자에게는 실제 사례, 진화하는 위협에 대한 최신 지식, 모든 코드 라인에 보안 원칙을 자신 있게 적용할 수 있는 방법이 필요합니다.
시큐어 코드 워리어의 ISO 27001 인증 및 SOC 2 준수 애자일 학습 플랫폼은 바로 그 점을 팀에 제공합니다. 언어별 보안 모범 사례, 현실적인 코딩 문제, 다양한 역할을 위해 큐레이션된 콘텐츠에 대한 교육을 통해 보안을 사후 고려 사항에서 벗어나 개발 프로세스의 자연스러운 부분으로 전환합니다. 개발자는 취약점을 조기에 식별 및 수정하고, 업계 표준을 준수하며, 소프트웨어 개발 수명 주기 전반에 걸쳐 코드 보안에 대한 완전한 소유권을 가질 수 있는 기술을 구축합니다.Secure Code Warrior를 사용하는 회사가 소프트웨어 취약점을 53% 줄이고, 최대 1,400만 달러의 비용 절감을 실현하며, 개발자 중 92%가 추가 교육을 원한다는 것은 놀라운 일이 아닙니다.
팀이 첫날부터 어떻게 더 안전하고 강력한 코드를 작성할 수 있는지 알고 싶다면 지금 시큐어 코드 워리어 데모를 예약하세요.
아래 링크를 클릭하고 이 리소스의 PDF를 다운로드하십시오.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
이 기사는 다음에 의해 작성되었습니다. Secure Code Warrior 업계 전문가로 구성된 팀은 개발자에게 처음부터 안전한 소프트웨어를 구축할 수 있는 지식과 기술을 제공하기 위해 최선을 다하고 있습니다. 안전한 코딩 관행, 업계 동향 및 실제 통찰력에 대한 심층적인 전문 지식을 활용합니다.
소프트웨어 취약점을 사후 고려사항이나 혁신의 걸림돌로 간주하면 조직은 데이터 침해, 평판 훼손 및 비용이 많이 드는 법적 책임의 문을 열게 됩니다. 사이버 공격은 종종 강력한 개발 관행으로 방지할 수 있었던 코드의 약점을 악용합니다.
보안 코딩은 보안 원칙을 개발의 모든 단계에 포함시켜 이러한 문제를 해결합니다. 개발자는 취약점이 발견된 후 수정 프로그램을 구현하는 대신 인젝션 공격 및 XSS(Cross-Site Scripting)와 같은 일반적인 위협에 대한 보호 기능이 내장된 코드를 작성합니다. 이제 보안 코딩을 통해 회사는 위험을 줄이고, 사용자 신뢰를 보호하며, 규제 요구 사항을 준수하는 동시에 신뢰할 수 있는 고품질 소프트웨어를 제공하는 데 어떻게 도움이 되는지 자세히 살펴보겠습니다.
시큐어 코딩이란?
보안 코딩은 잠재적 취약점을 해결하기 위한 소프트웨어를 작성할 때 보안 모범 사례를 따르는 원칙입니다. 보안 코딩은 보안을 별도의 개발 단계로 취급하지 않고 초기 단계부터 검증된 보호 장치를 통합하여 개발자가 코드 보안에 대한 소유권을 갖고 이를 효과적으로 적용할 수 있는 기술을 갖출 수 있도록 합니다.
오픈 월드와이드 애플리케이션 보안 프로젝트(OWASP) 또는 소프트웨어 엔지니어링 연구소의 CERT 부서와 같은 기관에서 만든 공인된 보안 코딩 표준은 공격자가 악용하는 일반적인 함정을 피하려는 개발자에게 북극성 역할을 할 수 있습니다. 이러한 전략을 기존 워크플로우에 안전하게 구현하기 위해 기초적이고 실용적인 보안 코딩 기술을 지속적으로 구축하는 것은 오늘날의 사이버 보안 환경에서 타협할 수 없는 일입니다.예를 들어 가능한 많은 사용자 입력의 유효성을 검사하면 SQL 삽입 공격을 방지할 수 있고 출력 인코딩은 XSS를 차단하는 데 도움이 됩니다. 이러한 보안 코딩 방식과 기타 보안 코딩 방식은 보안 침해 위험을 줄이고 진화하는 사이버 위협에 대응할 수 있는 애플리케이션 복원력을 높여줍니다.
보안 코딩이 왜 그렇게 중요할까요?
보안 코딩의 중요성 많은 성공적인 사이버 공격은 개발 과정에서 방지할 수 있었던 취약점을 악용하기 때문입니다. 처음부터 보안 관행의 우선 순위를 지정하면 공격자가 데이터를 손상시키거나 운영을 방해하는 데 사용할 수 있는 결함이 생길 가능성을 줄일 수 있습니다. 소프트웨어 개발 수명 주기(SDLC)의 모든 단계에 보안을 구축하면 모든 기능, 업데이트 및 통합이 보호를 염두에 두고 설계되도록 할 수 있습니다.
개발 과정에서 위험을 사전에 해결하는 것이 배포 후 문제를 해결하기 위해 긴급 패치, 다운타임 및 사고 대응 리소스가 필요할 수 있는 경우보다 비용이 훨씬 저렴합니다. 또한 데이터 보호 규정 준수를 향상시켜 잠재적 벌금 및 법적 문제를 피할 수 있습니다. 보안 코딩 사례는 또한 회사에 대한 소비자 신뢰를 높이고 강력한 보안을 브랜드 평판의 일부로 만듭니다.
일반적인 코드 보안 취약점
시큐어 코딩은 공격자가 악용하는 가장 빈번하고 위험한 취약성뿐만 아니라 AI 코딩 도구를 사용할 때 나타나는 위협 벡터와 같은 새로운 위협 벡터를 방지하는 것을 목표로 합니다. 다음은 몇 가지 일반적인 취약성과 이로 인해 발생할 수 있는 피해, 보안 코딩이 이러한 취약점을 완화하는 데 어떻게 도움이 되는지에 대한 개요입니다.
역직렬화 결함
역직렬화 결함은 응용 프로그램이 적절한 검증 없이 외부 소스의 데이터를 받아들이고 처리할 때 발생합니다.직렬화는 객체를 저장하거나 전송할 수 있는 형식으로 변환하는 과정이며, 역직렬화는 해당 객체를 재구성하여 사용할 수 있도록 합니다. 역직렬화 결함의 영향은 심각할 수 있으며, 그 결과 임의 코드가 실행되거나 권한이 상승될 수 있습니다. 보안 코딩은 신뢰할 수 있고 검증된 데이터만 역직렬화되도록 하고 가능한 경우 신뢰할 수 없는 입력의 기본 역직렬화를 완전히 방지함으로써 이 문제를 해결합니다.
주사 공격
주사 공격은 공격자가 애플리케이션이 명령이나 쿼리의 일부로 해석하는 입력을 제공할 때 발생합니다. 가장 잘 알려진 유형은 악의적인 SQL 문을 쿼리에 삽입하여 데이터베이스 콘텐츠에 접근하거나 변경하는 SQL 인젝션입니다. 다른 유형으로는 공격자가 임의의 명령을 실행하는 명령 주입과 LDAP(경량 디렉터리 접근 프로토콜) 주입이 있습니다. 주사 공격의 결과는 무단 데이터 접근 및 삭제부터 전체 시스템 손상에 이르기까지 광범위합니다. 민감한 개인, 금융 또는 독점 정보가 포함된 데이터베이스가 주요 공격 대상입니다. 보안 코딩은 매개변수화된 쿼리 또는 준비된 명령문을 사용하고, 신뢰할 수 없는 데이터를 처리하기 전에 이를 피하고, 엄격한 입력 검증을 적용함으로써 인젝션 취약성을 방지하는 데 도움이 됩니다. 이러한 보안 코딩 관행과 기타 보안 코딩 방법은 공격자가 애플리케이션의 의도된 동작을 변경하지 못하도록 막을 수 있습니다.
크로스 사이트 스크립팅 (XSS)
크로스 사이트 스크립팅 (XSS) 다른 사용자가 보는 페이지에 악성 스크립트를 삽입하여 웹 애플리케이션을 대상으로 하는 인젝션 공격의 한 형태입니다. 이는 일반적으로 애플리케이션의 출력에 검증되지 않은 사용자 입력이 포함된 경우에 발생합니다. 다른 사용자의 브라우저가 페이지를 렌더링하면 악성 스크립트가 실행되어 잠재적으로 쿠키를 도용하거나 키 입력을 캡처하거나 사용자를 악성 사이트로 리디렉션할 수 있습니다.
XSS의 영향에는 세션 하이재킹과 신원 도용이 포함될 수 있습니다. 기업의 경우 이로 인해 고객의 신뢰가 약화되고 민감한 데이터가 손상될 경우 규제 관련 처벌로 이어질 수 있습니다. 보안 코딩은 사용자가 제공한 모든 입력이 표시되기 전에 이를 삭제 및 인코딩하고, 출력을 자동으로 이스케이프하는 프레임워크를 사용하며, 실행 가능한 스크립트를 제한하는 CSP (Content Security Policy)를 구현하여 XSS를 해결합니다.
액세스 제어
액세스 제어 취약성은 사용자가 보거나 수행할 수 있는 항목에 대한 규칙이 제대로 정의되거나 적용되지 않을 때 발생합니다. 취약한 액세스 제어를 통해 공격자는 의도된 사용자 역할 제한을 우회하여 잠재적으로 민감한 데이터를 읽거나, 레코드를 수정하거나, 권한이 있는 사용자에게만 해당되는 작업을 수행할 수 있습니다.
액세스 제어 문제는 상당한 문제를 야기하며, 특히 AI 코딩 도구는 고군분투했습니다. 개발자의 기술과 인식의 필요성을 강조하면서 이 취약성 클래스를 효과적으로 해결하기 위해서입니다. 액세스 제어 해제가 미치는 영향은 상당합니다. 예를 들어 관리자 전용 기능에 접근할 수 있는 공격자는 보안 설정을 비활성화하거나 개인정보를 빼내거나 다른 사용자로 위장할 수 있습니다.
보안 코딩 관행은 최소 권한 원칙에 따라 모든 요청에 대해 서버 측 인증 검사를 적용하고 보안 조치로 모호성(예: 링크 숨기기)에만 의존하지 않도록 함으로써 이러한 위험에 대응합니다. 또한 엄격한 접근 제어 테스트를 실시하면 이러한 보호 기능이 장기적으로 강력하게 유지될 수 있습니다.
사이트 간 요청 위조 (CSRF)
사이트 간 요청 위조(CSRF) 공격은 인증된 사용자가 다른 사이트에서 원치 않는 작업을 수행하도록 강요합니다. 여기에는 자금 이체, 이메일 주소 변경 또는 계정 설정 수정이 포함될 수 있습니다. 이 공격은 브라우저가 위조된 요청과 함께 쿠키와 같은 유효한 인증 토큰을 자동으로 포함하기 때문에 효과적입니다.
시큐어 코딩은 각 사용자 세션에 고유한 안티 CSRF 토큰을 구현하고 각 상태 변경 요청에서 유효성을 검사하여 CSRF를 방어합니다. 추가 방어 수단으로는 중요한 작업에 대해 재인증을 요구하고 쿠키에 SameSite 속성을 설정하여 사이트 간 요청과 함께 전송되지 않도록 하는 것이 포함됩니다.이러한 보호 기능을 개발 라이프사이클에 포함시키면 시스템이 합법적이고 의도적인 작업만 처리하게 될 가능성을 크게 높일 수 있습니다.
안전하지 않은 인증
안전하지 않은 인증은 사용자의 신원을 확인하는 과정이 취약하거나 예측 가능하거나 기타 결함이 있을 때 발생합니다. 이는 잘못된 암호 정책, 안전하지 않은 자격 증명 저장소 또는 MFA(다중 요소 인증)의 부재로 인해 발생할 수 있습니다. 공격자는 무차별 대입 공격, 자격 증명 스터핑 또는 전송 중 암호화되지 않은 자격 증명을 가로채는 등 다양한 방법을 통해 이러한 취약점을 악용할 수 있습니다.안전하지 않은 인증은 공격자에게 사용자 계정, 관리 제어 및 민감한 데이터에 대한 직접적인 접근 권한을 부여할 수 있으므로 심각한 영향을 미칩니다. 일단 내부로 침투하면 시스템을 더욱 손상시키거나 귀중한 정보를 탈취할 수 있습니다.
보안 코딩은 강력한 암호 요구 사항을 적용하고, 저장된 자격 증명을 해싱 및 솔트 처리하며, 모든 인증 교환에 HTTPS와 같은 보안 프로토콜을 사용하고, MFA를 통합하여 추가 검증 계층을 제공함으로써 이 취약성을 해결합니다. 또한 개발자는 인증 시스템이 약점이 아닌 강력한 방어선 역할을 할 수 있도록 실패 시도를 제한하고 의심스러운 활동을 조기에 탐지하는 로그인 메커니즘을 설계해야 합니다.
따라야 할 6가지 보안 코딩 실천
보안 소프트웨어 구축은 단순히 어떤 위협이 존재하는지 파악하는 것 이상의 의미를 지닙니다. 이를 위해서는 검증된 보안 코딩 관행과 패턴을 학습하고 통합해야 합니다. 아래 기술은 보안을 모든 프로젝트의 필수 요소로 만들기 위해 개발자가 취할 수 있는 실행 가능한 단계를 제공합니다.
1. 사용자 액세스 제어 구현
위에서 설명한 것처럼 사용자 액세스 제어란 시스템의 각 사용자 역할에 대한 권한을 정의하고 적용하는 것을 의미합니다. 강력한 액세스 제어는 권한이 없는 사용자가 민감한 데이터를 보거나 기록을 수정하거나 관리 작업을 수행하는 것을 방지합니다. 또한 공격자는 해당 계정의 권한만 가지므로 사용자 계정이 도용될 경우 피해를 줄일 수 있습니다.
효과적인 사용자 액세스 제어를 위해서는 신원을 확인하기 위한 강력한 인증이 필요하며, 인증된 사용자에게 요청된 작업을 수행할 권한이 있는지 확인하기 위한 권한 검사가 뒤따릅니다. 액세스 제어 관행을 정기적으로 검토하여 최소 권한 원칙에 맞게 사용자에게 작업 수행에 필요한 최소 액세스 권한을 부여해야 합니다. 또한 액세스 제어는 정기적인 모니터링을 통해 시스템의 정책과 사용자를 최신 상태로 유지하고, 감사를 통해 비정상적인 활동을 신속하게 찾아냅니다.
2. 데이터 검증 및 삭제
데이터를 검증하고 삭제하려면 처리하기 전에 들어오는 모든 입력이 예상 형식, 유형 및 패턴을 충족하는지 확인한 다음 데이터를 정리하여 잠재적으로 위험한 콘텐츠를 제거하는 작업이 포함됩니다. 신뢰할 수 있는 출처도 손상될 수 있으므로 이러한 관행은 외부 출처에서 들어오는 데이터에도 적용되어야 합니다. 따라서 모든 입력은 검증되기 전까지는 신뢰할 수 없는 것으로 취급해야 합니다. 개발 프로세스에 검증 및 삭제 기능을 포함하면 인젝션 공격과 같은 일반적인 위협에 대한 애플리케이션 복원력을 유지할 수 있습니다.
3. 현대 언어로 글을 쓰세요
보안 코딩은 코드 작성 방법에만 국한되지 않습니다. 애초에 보안 결함이 발생하는 것을 더 쉽게 방지할 수 있는 도구와 환경을 선택하는 것도 중요합니다. 대부분의 기업에서는 최신 언어로 완전히 전환하는 것이 현실적이거나 효율적인 옵션이 아닌 경우가 많지만, 최신 프로그래밍 언어를 최소한 어느 정도 사용하고 선택한 모든 언어의 최신 버전을 사용하면 소프트웨어 보안을 개선할 수 있습니다.최신 언어와 프레임워크는 일반적으로 더 나은 메모리 안전성, 강력한 유형 검사, 일반적인 취약점에 대한 기본 제공 보호 기능을 제공합니다. 예를 들어, Rust와 Go와 같은 언어는 안전을 염두에 두고 설계되었으므로 이전 언어에서는 발생하기 쉬운 버퍼 오버플로우와 같은 문제를 방지하는 데 도움이 됩니다.
기존 언어인 Java 또는 Python은 현대화 및 보안 유지가 어려울 수 있지만, 최신 릴리스를 따라가면 최신 보안 기능을 활용하고 성능을 개선할 수 있습니다. 많은 업데이트는 알려진 취약점을 패치하고, 안전하지 않은 기능을 더 이상 사용하지 않도록 하며, 보다 안전한 기본 설정을 제공합니다.
4.연습 코드 난독화
코드 난독화는 공격자가 소스 코드 또는 컴파일된 코드를 이해, 리버스 엔지니어링 또는 조작하기 어렵게 만드는 프로세스입니다. 다른 보안 조치를 대체하지는 못하지만 애플리케이션의 로직과 민감한 루틴을 침입자가 보지 못하도록 숨겨 방어 수준을 한 단계 더 높여줍니다. 난독화에는 변수 및 함수의 이름을 의미 없는 식별자로 바꾸거나 코드를 이해하기 어렵게 하는 방식으로 재구성하는 것과 같은 기술이 포함될 수 있습니다.
목표는 공격자가 취약점을 찾아 악용하는 데 필요한 비용과 노력을 늘리는 것입니다. 보안 코딩에서 난독화는 다른 강력한 보안 관행과 함께 작동하여 애플리케이션을 덜 매력적인 대상으로 만듭니다.
5.코드 스캔 및 모니터링
보안 코딩 관행에는 코드를 적극적으로 스캔하고 모니터링하는 것도 포함됩니다. 정적 애플리케이션 보안 테스트(SAST) 도구는 배포 전에 소스 코드의 알려진 취약점을 분석하는 반면, 동적 애플리케이션 보안 테스트(DAST) 도구는 실행 중인 애플리케이션에 악용 가능한 결함이 있는지 실시간으로 테스트합니다. 두 접근 방식을 결합하면 문제를 조기에 지속적으로 파악할 수 있습니다.
개발 중 스캐닝 외에도 프로덕션 환경에서 지속적인 모니터링을 구현하는 것이 중요합니다. 여기에는 비정상적인 활동에 대한 알림을 설정하고, 보안 이벤트를 기록하며, 런타임 애플리케이션 자체 보호(RASP) 도구를 활용하여 실시간으로 공격을 탐지하고 차단하는 작업이 포함됩니다. 정기적인 검사와 모니터링을 통해 개발 중에 취약점이 발견되더라도 심각한 피해가 발생하기 전에 신속하게 해결할 수 있는 가시성을 확보할 수 있습니다.
6. 보안 코딩 표준 문서화 및 구현
보안 코딩 표준을 문서화하려면 팀의 방식을 정의하는 명확한 지침을 만들어야 합니다. 안전하고 유지 관리가 용이하며 규정을 준수하는 코드 작성. 이러한 표준은 기술 스택과 관련된 일반적인 취약점을 해결하는 방법뿐만 아니라 입력 검증, 오류 처리, 암호화 관행, 세션 관리와 같은 주제를 다루어야 합니다.
이러한 표준을 마련하면 주니어 엔지니어부터 수석 설계자까지 모든 개발자가 동일한 보안 원칙을 따를 수 있습니다. 이러한 표준을 교육 및 정기 업데이트와 함께 사용하면 개발 프로세스를 최신 보안 요구 사항에 맞게 유지하는 유용한 리소스가 됩니다.
보안 코딩 표준 및 프레임워크
자신만의 코딩 표준을 만드는 데 도움이 필요하다면 아래의 인기 가이드라인이 도움이 될 수 있습니다. 이 지침서는 일반적인 취약점을 해결하는 다양한 사례를 다루며 코딩 작업을 업계 모범 사례에 맞추는 방법을 명확히 하는 데 도움이 될 수 있습니다.
OWASP 보안 코딩 사례
OWASP는 개발자가 처음부터 끝까지 보안이 포함된 코드를 작성할 수 있도록 지원하는 가장 널리 알려진 소스 중 하나입니다. 주요 보안 코딩 리소스로 OWASP 개발자 가이드 및 OWASP 탑 10을 제공합니다. OWASP의 접근 방식은 실행 가능성이 매우 높으며, 개발 과정에서 적용할 수 있는 체크리스트 및 코딩 팁과 같은 이점을 제공합니다.
OWASP 지침을 따르면 프로젝트 전반에서 보안 코딩을 위한 공통 기준을 만들어 팀에 도움이 됩니다. OWASP는 새로운 위협 벡터와 공격 기술을 반영하도록 정기적으로 업데이트되므로 조직은 이를 사용하여 새로운 위험에 미리 대비할 수 있습니다. OWASP의 원칙을 워크플로에 적용하면 코드 품질을 개선하고 취약점을 줄이며 널리 받아들여지는 업계 지침을 준수할 수 있습니다.
NIST 보안 소프트웨어 개발 프레임워크
미국 국립표준기술원(NIST)은 포괄적인 보안 코딩 지침을 함께 발표합니다. 광범위한 사이버 보안 프레임워크. 높은 수준의 보안 소프트웨어 개발 관행에 대한 정보를 제공하는 것 외에도 NIST 보안 소프트웨어 개발 프레임워크(SSDF)는 회사 팀 내 및 팀 간 주요 문제에 대한 커뮤니케이션을 향상시키는 공통 어휘를 제공합니다. 특정 기술보다는 결과에 초점을 맞추기 때문에 OWASP 또는 SEI CERT 코딩 표준과 같은 다른 표준을 보완하는 데 가장 적합합니다.
SEI 인증서 코딩 표준
소프트웨어 엔지니어링 연구소(SEI)의 CERT 부서에서 개발했습니다. SEI 인증서 코딩 표준은 C, C++, Java 및 Perl을 포함한 특정 프로그래밍 언어의 보안 취약성을 방지하는 데 중점을 둡니다. 각 언어별 표준에는 보안 코딩 규칙, 상세한 설명, 준수 및 비준수 코드의 예가 포함되어 있습니다. CERT 코딩 표준은 특정 프로그래밍 언어의 미묘한 차이점과 취약점을 다루기 때문에 해당 환경에서 작업하는 개발자에게 매우 유용하고 실행 가능합니다.
마이크로소프트 보안 개발 라이프사이클
마이크로소프트의 보안 개발 라이프사이클(SDL)은 보안을 소프트웨어 개발 프로세스의 필수적인 부분으로 만들기 위해 고안된 일련의 모범 사례입니다. 여기에는 다음과 같은 권장 사항이 포함됩니다. 10가지 핵심 주제 여기에는위협 모델링, 개발자를 위한 보안 교육, 소프트웨어 공급망 보안이 포함됩니다.Microsoft는 이 접근 방식을 자체적으로 사용하므로 조직은 개발자, 테스터 및 보안 팀을 조정하는 검증된 프로세스를 활용할 수 있습니다.
ISO/IEC 27001
ISO/IEC 27001은 정보 보안 관리 시스템(ISMS)의 표준으로 가장 잘 알려져 있지만 보안 코딩에도 큰 영향을 미칩니다. 조직 차원의 ISMS 수립에 중점을 두지만 여기에는 보안 코딩 원칙이 포함됩니다. 이러한 권장 사항은 조직이 보안 코딩 관행을 구현할 때 따를 수 있는 높은 수준의 지침을 제공합니다.
AI 보안 규칙
AI 코딩 도구는 그 어느 때보다 편리하지만, 안전하고 정확한 코드를 만들지 못하면 득보다 실이 더 많을 수 있습니다.시큐어 코드 워리어의 AI 보안 규칙 — 동종 최초의 제품 — 지침 제공 GitHub Copilot, Cline, Cursor, Windsurf와 같은 AI 도구와 함께 사용할 수 있는 보안 코딩 모범 사례에 대해 설명합니다. 이러한 규칙은 안전하지 않은 코드의 위험을 최소화하는 가드레일을 마련하여 AI 코딩 어시스턴트를 추적할 수 있도록 합니다.
처음부터 보안 코드를 만드는 방법 알아보기
보안 코딩은 단순한 기술적 요구 사항이 아니라 중요한 비즈니스 이점입니다. 팀이 처음부터 보안 코드를 작성하면 비용이 많이 드는 취약점을 예방하고 데이터 침해 위험을 줄이며 고객이 신뢰할 수 있는 소프트웨어를 제공할 수 있습니다.그러나 체계적인 지침이 없다면 보안 코딩 관행을 익히는 것이 특히 어려울 수 있습니다. 개발자에게는 실제 사례, 진화하는 위협에 대한 최신 지식, 모든 코드 라인에 보안 원칙을 자신 있게 적용할 수 있는 방법이 필요합니다.
시큐어 코드 워리어의 ISO 27001 인증 및 SOC 2 준수 애자일 학습 플랫폼은 바로 그 점을 팀에 제공합니다. 언어별 보안 모범 사례, 현실적인 코딩 문제, 다양한 역할을 위해 큐레이션된 콘텐츠에 대한 교육을 통해 보안을 사후 고려 사항에서 벗어나 개발 프로세스의 자연스러운 부분으로 전환합니다. 개발자는 취약점을 조기에 식별 및 수정하고, 업계 표준을 준수하며, 소프트웨어 개발 수명 주기 전반에 걸쳐 코드 보안에 대한 완전한 소유권을 가질 수 있는 기술을 구축합니다.Secure Code Warrior를 사용하는 회사가 소프트웨어 취약점을 53% 줄이고, 최대 1,400만 달러의 비용 절감을 실현하며, 개발자 중 92%가 추가 교육을 원한다는 것은 놀라운 일이 아닙니다.
팀이 첫날부터 어떻게 더 안전하고 강력한 코드를 작성할 수 있는지 알고 싶다면 지금 시큐어 코드 워리어 데모를 예약하세요.
목차
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약다운로드
%20(1).avif)
.avif)
