보안쟁이가 개발에 도움이 될까?!

개발에 손을 놓은지도 언 3년이 넘어가는 것 같다. 그리 오래된 시간은 아니지만 개발자 입장에서는 너무도 많은 것이 변해 새롭게 적응하기에는 충분한 기간이라고 생각된다. 암무튼 지금도 나는 개발자의 피가 흐른다고 말하고 싶다. (아직도 시간만 나면 개발을 하고 싶다는 생각을 하고 있는데 말이다.) 그러나 지금은 OOOO이라는 회사에서 보안쟁이로써 침해사고 대응부터 보안정책까지 광범위하게 보안의 영역을 녋혀가고 있다. 급기야 어제는 개발 기획단계의 미팅에 참석하여 개발이 완료된 후가 아닌 시작 단계부터 보안이 강화될 수 있도록 하겠다는 취지로 참석하게 되었다.

개발자들이 이런저런 회의를 하는데 나도 모르게 의견을 제시하고, 그러다가 까이고, ㅋㅋㅋ 재미있었다. 역시 개발에 느낌이 충만한 젊은 친구들을 걱정하는 것은 기우였다. 

그러나 정작 내가 보안을 강화하는데 도움을 주었는가? 하는 의문이 들었다. 개발단계에서 보안을 이야기 할 때 어떤 구조로 이야기를 해야 할까? 아무리 개발을 했었다고 하더라도 개발단계에서 보안을 생각하면 만들어본 적이 없는 나로써도 뜬 구름만 잡고 있다는 생각이 들었다. 

한 예로, OTP 서비스 제공하는 측에서 OTP 서비스 이용이 허가된 사용자 이 외에는 서비스를 받지 못하도록 대비하기위해 서비스 코드를 입력받자고 했다. 그랬더니 한 친구가 그런 요구조건은 방화벽에서 IP로 통제 해야 한다고 했다. 어찌보면 맞는 말이다. 그렇게 할 수는 있다. 하지만 곰곰히 생각해보면 의문시 되는 것들이 몇 가지가 있다. (1) 서비스 머신의 물리적 위치가 이동 될 때 방화벽과 같이 움직여야 하는가? (2) 서비스 이용자가 Dynamic IP 를 사용하면 어떻게 해야 하는가? (3) IP를 속이는 경우에는??? 등등...

두 번째 예로, OTP 에서 Verification Code 를 입력하는 웹페이지에 brute force attack 할 때 어떻게 대비해야 하는가? 에 대해 이야기가 되고 있어서 해당 웹페이지 URL을 고정으로 하지 말자고 했다. 그런데 그건 별로 좋은 생각이 아니라고 한다. 마치 no problem symptoms 에 걸린 사람들 같았다. 그래 그 방법 말고도 다른 좋은 방법이 많이 있다. IP 별로 페이지 호출 횟수를 제안한다거나 하는 방법이 있을 것 등. 암튼 괜히 그런 이야기를 꺼내서 실없는 사람이 된 기분이다.

번외로 다른 사람들은 내가 참석하는 것만으로 엄청나게 보안에 신경쓰고 있다는 것을 알리고 싶어하는 것 같았다.

내가 이런 고민을 하고 있는 이유는 새로운 숙제가 생긴 것 같아서이다. 나의 역할을 분명하게 해야 하는 것, 보안이 개발에 그리도 다른 사업에 어디까지 도움을 줄 수 있는지 진지하게 고민해봐야 하겠다.