[이미지 = gettyimagesbank]
배경 : 크리덴셜을 하드코딩 한 채 소프트웨어를 출시하는 경우는 대단히 많다. 개발 과정에서 여러 가지 이유로 크리덴셜을 코드 안에 입력해 두고 작업을 하는데, 거기까지는 충분히 용인될 수 있다. 문제는 개발이 완료되고서다. 완료 후에는 코드에 저장되어 있는 크리덴셜 정보를 지우고 출시해야 하는데, 이를 종종 잊어버린다. 깃허브에 공유되는 오픈소스의 코드들에도 이런 정보들이 꽤나 많은 것으로 알려져 있다.
말말말 : “누군가 앱의 소스코드에만 접근할 수 있게 된다면 크리덴셜을 자유롭게 악용할 수 있습니다. 크리덴셜을 코드 안에 넣어 두었다면 그것을 엄격하게 관리해야 합니다.” -시만텍(Symantec)-
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>