(사이버보안 23강) 개발자 입장에서의 보안 Coding Tip

🧑‍💻23강 개발자 입장에서의 보안 Coding Tip

보안, 보안 하더니... 결국 내 코드가 문제였다고요? 😱
오늘은 개발자의 손끝에서 출발하는 Secure Coding의 세계로 들어가 봅시다!

---

🧨 “이 코드가 뭐 어때서요?” → 실제로 문제가 됐습니다!

보안 사고의 상당수는 개발자의 코드 한 줄에서 시작합니다.
전 세계적으로도 코딩 미스 + 보안 무지 = 취약점이라는 공식이 수없이 입증되었죠.

그렇다면 어떤 습관이 위험한가요?
그리고 어떻게 하면 내 코드를 더 안전하게 만들 수 있을까요?

---

🔑 안전한 코딩을 위한 기본 수칙

보안 코딩은 뭔가 특별한 기술이 아닙니다.
기본기를 튼튼히 지키는 습관이 가장 강력한 무기예요.

📌 1. 입력값은 절대 믿지 마라!

• 문제 사례:

  char buf[10];
  gets(buf); // 입력값 길이 제한 없음 = 버퍼 오버플로우

• 대응 팁: fgets(), strncpy() 등 길이 제한 함수 사용
• 실제 사례:
  → 2005년 Jeep 차량의 인포테인먼트 시스템에서 오버플로우 취약점 발생,
  외부 해커가 CAN 통신망까지 침투!

---

📌 2. 포인터와 메모리 관리는 철저히!

• 문제 사례:
• free(ptr); ... *ptr = 0x1234; // Use-after-free
• 대응 팁:
  • free() 후에는 반드시 ptr = NULL
  • 스마트 포인터(C++ 사용 시) 고려

---

📌 3. 타입과 연산 우선순위를 명확히!

• 문제 사례:

  if (flag = 1) { ... } // 조건이 아니라 할당!

• 대응 팁:
  • 비교는 항상 좌변에 상수를 두는 습관
    예: if (1 == flag) → 컴파일러가 실수 감지 가능

---

📌 4. MISRA-C 같은 코딩 규칙 활용

• 장점:
  • 안전성과 보안성 모두를 커버
  • Static Analysis 툴과 연계 가능
• 추천 항목:
  • Rule 21.6: sprintf() 대신 snprintf() 사용
  • Rule 9.1: 선언 전에 반드시 초기화

---

🔍 실제 버그 사례 분석 – “그때 그 코드가…”

📌 사례 1: OTA 업데이트에서의 경로 조작 취약점

• 문제 코드:

  char path[128];
  sprintf(path, "/tmp/%s", user_input); // 외부 입력 직접 포함

• 취약점: 상대 경로 조작 가능 → /etc/passwd 덮어쓰기 가능성
• 개선:
  • 입력 검증 + 화이트리스트 체크
  • realpath() 등으로 경로 정규화

📌 사례 2: CAN 메시지 파싱에서의 배열 인덱스 오류

• 문제 코드:

  uint8_t data[8];
  uint8_t len = msg->dlc;
  for (int i = 0; i <= len; i++) 
  { data[i] = ...; } // off-by-one

• 문제점: 최대 8바이트인 배열에서 9번째 접근 발생
• 개선: i < len 조건 사용 + dlc 검증 추가 필요

---

🤓 개발자를 위한 보안 코딩 요약 Check List

항목설명

🔐 입력값 검증	외부/내부 구분 없이 모두 필수
🧼 메모리 정리	free 후 null, stack size 주의
🧠 명확한 조건문	== vs = 실수 방지
🧾 코딩 규칙	MISRA, CERT-C 적용 권장
🛠 툴 활용	SAST, Lint, 컴파일러 경고 무시 금지!

---

💡 개발자를 위한 현실적인 조언

• 코드를 쓸 때 “내가 공격자라면 어디를 찌를까?” 고민해보세요.
• 보안팀과 친해지세요. 서로 말이 통하면 더 빠르게 개선됩니다.
• Secure Coding은 일회성이 아닙니다.
  계속 배우고, 반복하고, 자동화 도구와 함께 움직이세요!

---

✨ 마무리 한마디

“보안은 기능이 아니다. 습관이다.”

개발자는 기능 구현에만 집중하라는 말,
이제는 옛말입니다.
보안 코딩은 선택이 아니라 책임입니다.

그리고 그 시작은...
당신의 코드 한 줄입니다.

---

🔜 다음 시간 예고

🚗 자동차 보안 침해 시나리오 사례 분석

• 실차에서 발생한 해킹 시도들
• 어떤 취약점이 어떻게 뚫렸나?
• 방어 방법은?

다음 시간엔 공격자의 시선으로 자동차 보안을 분석해 봅니다!
궁금하시죠? 그럼… See you next time! 👋