개발 보안 관리

개요

웹 개발 시 사전 작업으로 서비스에 사용하는 웹 서버와 웹 어플리케이션 서버의 환경 설정에 대한 보안 강화 안내서 라인을 만들어 이를 준수하여 개발 해야한다.

 

---

개발 보안 안내서

 

1. 사용자에게 전달된 값 (Hidden Form 필드, 파라미터)를 재사용할 경우 신뢰해서는 안된다.

 

2. 최종 통제 매커니즘은 반드시 서버에서 수행되어야 한다.

    - 자바 스크립트, VB 스크립트 등을 사용하여 클라이언트 측에서 입력값을 검증하는 것은 쉽게 우회될 수 있기 때문에 서버에서 최종 점검하는 것이 반드시 필요    

 

3. 클라이언트에게 중요 정보를 전달하지 않는다.

    - 클라이언트에서 실행되는 컴포넌트에 중요 정보를 하드 코딩해서는 안되며, 쿠키에 중요 정보를 전달할 경우 암호화해서 사용해야 한다.

 

4. 중요 정보 전송시 POST 메소드 및 HTTPS를 적용한다.

    

5. 중요한 트랜잭션이 일어나는 프로세스에 사용자 비밀번호를 재확인 한다.

     - 사용자 정보 변경 등 중요한 트랜젝션이 발생하는 경우에는 사용자 비밀번호를 재확인하는 절차를 추가하여 불법적인 위장으로 인한 피해를 예방한다.

 

6. 중요 정보를 보여주는 페이지는 캐쉬를 사용하지 못하도록 설정한다.

    - 중요 정보를 보여주는 화면에 no-cache 설정을 하지 않을 경우, 로그아웃을 한 이후에도 [뒤로가기] 버튼을 사용해서 해당 내용을 볼 수 있는 위험이 존재한다.

 

7. 적절한 방법으로 암호화 한다.

    - 자체 개발한 암호화 알고리즘 사용을 권장하며, 공인된 암호화 알고리즘을 사용하는 것을 고려해 암호화 한다.

 

8. 각 언어에서 제공하는 보안 수단을 이해한 후 사용한다.

 

 

---

http://www.kisa.or.kr/public/laws/laws3.jsp

기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원