무엇을 공부했나요?
Two scoops of Django의 26장 장고 보안의 실전 방법론을 함께 읽고 공부했습니다.
26장 요약을 8퍼센트의 CTO인 호성님께서 준비해주셨고, 심화를 문수님께서 진행해주셨습니다.
장고 보안의 실전 방법론
장고는 기본으로 제공되는 보안 도구와 잘 정돈된 문서들 덕분에 보안에 대해서는 괜찮은 평판을 갖고 있는 편입니다. 26장에서는 장고 보안에 대한 좋은 시작점들에 대해서 소개하고 있습니다.
장고가 제공하는 보안 기능은 다음과 같습니다. 자세한 내용은 장고 공식문서를 통해서 확인할 수 있습니다.
- XSS(cross-site scripting) 보안
- CSRF(cross-site request forgery) 보안
- SQL 인젝션 보안
- 클릭재킹(clickjacking) 보안
- 보안 쿠키(secure cookie)를 포함한 TLS, HTTPS, HSTS 지원
- 기본 설정으로 SH256과 PBKDF2 알고리즘을 이용한 안전 패스워드 저장
- 자동 HTML 이스케이핑
- expat 파서를 통한 XML 폭탄 공격 대비
- 강력해진 JSON, YAML, XML 직렬화/역직렬화 도구
ORM은 악의적인 SQL 코드 실행을 막아주며, 장고 Form을 활용하여 들어오는 모든 데이터에 대해서 유효성을 검사할 수 있습니다. 또한 내장된 CSRF 보안기능과 결제 필드에 대한 자동 완성 비활성화 기능 등 장고는 다양한 방식으로 보안관련 문제를 방지하기 위한 장치를 갖고 있습니다.
그 밖에도 책에서는 상용 환경에서 DEBUG 모드를 True로 설정할 경우 스텍 트레이스 페이지를 통해서 공개해서는 안되는 정보가 노출될 수 있기 때문에 주의해야 한다고 말하고 있습니다. 또한 SECRET_KEY가 공개되는 경우 원격으로 코드가 실행되는 것 부터 패스워드가 통째로 해킹 당하는 것까지 전반적인 보안 위협에 처할 수 있기에 조심해야겠습니다.
책에서는 장고 기반 애플리케이션의 진정한 보안은 장고의 보안 도구, 문서, 오픈소스 개발자도 아닌 장고 프로젝트 개발자에게 달려 있다고 말합니다. github과 같은 원격 공개 저장소에 SECRET_KEY를 함께 올렸던 경험은 장고를 공부하시는 분들이라면 한번쯤 있지 않을까 생각합니다. 작은 설정이지만 보안에 더 관심을 갖고 주의 해야겠다는 생각을 했습니다.
어땠나요?
상용 서비스에서 보안의 중요성은 모두가 공감할 것이라고 생각합니다. 특히 8퍼센트와 같이 온라인을 통해서 대출과 투자를 연결하는 서비스에서는 고객의 돈을 직접적으로 다루기 때문에 보안에 더욱 신경써야 고객들이 안심하고 서비스를 이용할 수 있겠습니다.
8퍼센트에는 재미있는 문화(?)가 한가지 있는데요. 잠시라도 자리를 비우면 보안요정이 찾아와서 컴퓨터가 제대로 잠겨 있는지 검사를 하고 갑니다. 덕분에 8퍼센트의 구성원들은 자리에서 일어나면 바로 컴퓨터 화면을 잠그는 좋은 습관을 갖게 되었습니다.
이제 2번의 스터디가 남았습니다. 참 더웠던 여름에 시작해서 이제 추운 겨울이 되었으니 시간이 많이 지났다는게 실감이 납니다. 꾸준하게 함께 해주신 스터디 구성원 분들께 감사한 마음이 듭니다. 그리고 저와 같은 초초보 주니어에게 많은 지식을 공유해주신 시니어 분들께 특히 감사 드립니다. 스터디가 끝나더라도 좋은 인연이 계속 이어졌으면 좋겠습니다.