icon
10장 : 보안과 모범 사례

보안 모범 사례와 취약점 스캐닝

지난 절에서는 애플리케이션의 운영과 보안 감사를 위한 로깅 및 감사 추적의 중요성에 대해 알아보았습니다. 이제 10장의 마지막 절로, 앞서 다룬 내용들을 포함하여 NestJS 애플리케이션의 전반적인 보안 수준을 높이기 위한 보안 모범 사례(Security Best Practices) 와 잠재적인 취약점을 식별하는 데 필수적인 취약점 스캐닝(Vulnerability Scanning) 에 대해 살펴보겠습니다.

소프트웨어 개발에서 보안은 지속적인 관심과 노력이 필요한 영역입니다. 완벽한 보안 시스템은 없으므로, 다양한 위협에 대비하고 선제적으로 취약점을 찾아 개선하는 문화가 중요합니다.

일반적인 보안 모범 사례

애플리케이션 개발 전반에 걸쳐 적용할 수 있는 핵심적인 보안 모범 사례들은 다음과 같습니다.

최소 권한 원칙

  • 정의: 사용자, 시스템, 프로세스 등 모든 엔티티에게 주어진 작업을 수행하는 데 필요한 최소한의 권한만 부여해야 합니다.
  • 적용
    • 데이터베이스 사용자: 애플리케이션이 데이터베이스에 접근할 때, SELECT, INSERT, UPDATE, DELETE 등 필요한 권한만 부여하고, DROP TABLE 같은 관리자 권한은 주지 않습니다.
    • API 키: 각 API 키에는 해당 서비스 이용에 필요한 최소한의 권한만 부여합니다.
    • 서비스 계정: 클라우드 환경의 서비스 계정(IAM Roles, Service Accounts)에도 필요한 리소스에 대한 최소한의 권한만 설정합니다.
  • NestJS 관련: 데이터베이스 연결 시 사용되는 사용자 계정, 외부 API 연동 시 사용되는 자격 증명 등에 이 원칙을 적용합니다.

입력값 유효성 검사

  • 정의: 사용자로부터 입력받는 모든 데이터는 신뢰할 수 없다고 가정하고, 서버 측에서 엄격하게 유효성을 검사하고 살균(Sanitization)해야 합니다.
  • 위험: 유효성 검사가 부족하면 SQL Injection, XSS, Command Injection 등 다양한 인젝션 공격에 취약해집니다.
  • NestJS 관련
    • DTO (Data Transfer Object)와 Class-validator: NestJS의 @nestjs/commonclass-validator, class-transformer를 사용하여 강력한 DTO 기반의 입력값 유효성 검사를 구현할 수 있습니다. 
      // src/dto/create-user.dto.ts
import { IsString, IsEmail, IsInt, Min, Max, IsNotEmpty } from 'class-validator';
export class CreateUserDto {
  @IsString()
  @IsNotEmpty()
  name: string;
  @IsEmail()
  email: string;
  @IsInt()
  @Min(18)
  @Max(100)
  age: number;
}
    • Global Validation Pipe: main.ts에서 app.useGlobalPipes(new ValidationPipe({ whitelist: true, forbidNonWhitelisted: true, transform: true }))를 설정하여 전역적으로 DTO 유효성 검사를 적용합니다. whitelist는 DTO에 정의되지 않은 속성을 제거하고, forbidNonWhitelisted는 이를 허용하지 않아 불필요한 데이터를 방지합니다.

출력값 이스케이프

  • 정의: 사용자 생성 콘텐츠를 웹 페이지에 렌더링하기 전에, 스크립트나 HTML 태그로 해석될 수 있는 특수 문자를 HTML 엔티티로 변환하여 브라우저가 코드 대신 일반 텍스트로 인식하도록 합니다.
  • 위험: XSS(Cross-Site Scripting) 공격 방어에 필수적입니다.
  • NestJS 관련: 백엔드가 주로 JSON API를 제공하는 경우, 이스케이프는 주로 프론트엔드 프레임워크의 역할입니다. React, Angular, Vue 등은 기본적으로 텍스트를 DOM에 삽입할 때 자동으로 이스케이프합니다. 하지만 NestJS가 직접 HTML을 렌더링하거나, 사용자 입력값을 다시 다른 서비스로 전달하는 경우에는 백엔드에서도 적절한 살균 또는 이스케이프 처리를 해야 합니다 (예: sanitize-html 라이브러리).

보안 헤더 사용

  • 정의: HTTP 응답에 보안 관련 헤더를 추가하여 브라우저에게 특정 보안 정책을 적용하도록 지시합니다.

  • 적용

    • Content-Security-Policy (CSP): XSS, 데이터 인젝션 공격 방어에 효과적입니다. 어떤 출처의 스크립트, 스타일시트, 이미지 등을 로드할 수 있는지 브라우저에 지시합니다.
    • X-Frame-Options: Clickjacking 공격을 방어하기 위해 웹 페이지가 <iframe>, <frame>, <object> 등에 포함되는 것을 제어합니다.
    • X-Content-Type-Options: MIME-sniffing 공격을 방지합니다.
    • Strict-Transport-Security (HSTS): 웹사이트가 HTTPS를 통해서만 접근되도록 강제하여 중간자 공격(Man-in-the-Middle)을 방어합니다.
    • Referrer-Policy: Referer 헤더에 어떤 정보가 포함될지 제어합니다.

  • NestJS 관련: helmet 패키지를 사용하여 다양한 보안 HTTP 헤더를 쉽게 적용할 수 있습니다.

    npm install helmet
npm install --save-dev @types/helmet
    // src/main.ts
import { NestFactory } from '@nestjs/core';
import { AppModule } from './app.module';
import helmet from 'helmet'; // helmet 임포트

async function bootstrap() {
  const app = await NestFactory.create(AppModule);

  // Helmet 미들웨어 적용
  app.use(helmet({
    contentSecurityPolicy: {
      directives: {
        defaultSrc: ["'self'"],
        scriptSrc: ["'self'", "'unsafe-inline'"], // 개발 환경에서는 'unsafe-inline'이 필요할 수 있으나, 운영에서는 제거 권장
        objectSrc: ["'none'"],
        upgradeInsecureRequests: [], // HTTP 요청을 HTTPS로 자동 업그레이드
      },
    },
    noSniff: true, // X-Content-Type-Options
    frameguard: { action: 'deny' }, // X-Frame-Options: DENY
    hsts: { maxAge: 31536000, includeSubDomains: true, preload: true }, // Strict-Transport-Security
    referrerPolicy: { policy: 'no-referrer' }, // Referrer-Policy
  }));

  await app.listen(3000);
}
bootstrap();

강력한 인증 및 권한 부여

  • 인증(Authentication): 사용자 신원을 확인하는 과정 (ID/비밀번호, OAuth, JWT 등).
  • 권한 부여(Authorization): 인증된 사용자가 특정 리소스나 작업에 접근할 수 있는지 결정하는 과정 (역할 기반 접근 제어 RABC, 속성 기반 접근 제어 ABAC).
  • NestJS 관련
    • Passport.js: NestJS는 인증 전략을 위한 @nestjs/passport 패키지를 제공하며, JWT, OAuth, Local 등 다양한 인증 방식을 쉽게 통합할 수 있습니다.
    • Guards: NestJS Guard를 사용하여 라우트 핸들러에 접근하기 전에 인증 및 권한 부여 로직을 구현할 수 있습니다.
    • Interceptor: 요청/응답 로깅, 변환 등 추가적인 보안 로직을 적용할 수 있습니다.

시크릿(Secret) 관리

  • 정의: 데이터베이스 비밀번호, API 키, 인증서 등 민감한 정보를 안전하게 저장하고 접근을 제어합니다.
  • 위험: 하드코딩, Git 커밋, 불안전한 환경 변수 저장은 심각한 보안 위험을 초래합니다.
  • NestJS 관련: ConfigModule을 사용하여 환경 변수를 관리하고, 운영 환경에서는 AWS Secrets Manager, Google Cloud Secret Manager, HashiCorp Vault와 같은 전용 비밀 정보 관리 도구를 사용합니다.

종속성 보안

  • 정의: 프로젝트가 사용하는 모든 외부 라이브러리, 프레임워크, 모듈 등의 잠재적인 보안 취약점을 지속적으로 확인하고 업데이트합니다.
  • 위험: 오픈 소스 라이브러리의 취약점은 애플리케이션에 직접적인 영향을 미칠 수 있습니다.
  • NestJS 관련
    • npm audit 또는 yarn audit: 프로젝트의 package.jsonpackage-lock.json을 분석하여 알려진 취약점을 보고합니다.
    • Dependabot (GitHub): GitHub 레포지토리에서 자동으로 의존성 업데이트를 감지하고 보안 취약점에 대한 PR을 생성합니다.
    • Snyk, WhiteSource: 상업용 의존성 보안 스캐너로, 더 심층적인 분석과 자동화된 워크플로우를 제공합니다.
  • 정기적인 업데이트: Node.js, NestJS 프레임워크, 그리고 모든 @nestjs/* 패키지를 포함한 의존성을 정기적으로 최신 보안 패치가 적용된 버전으로 업데이트합니다.

에러 처리 및 정보 노출 방지

  • 정의: 상세한 에러 메시지나 스택 트레이스는 공격자에게 시스템 내부 정보를 노출할 수 있으므로, 운영 환경에서는 일반적인 에러 메시지만 사용자에게 보여주고 상세 정보는 로그에만 기록합니다.
  • NestJS 관련
    • HttpExceptionFilter: NestJS의 예외 필터를 사용하여 HTTP 응답 에러를 커스터마이징하고, 민감한 정보를 제거한 후 클라이언트에 응답하도록 합니다.
    • Logger를 사용하여 상세한 에러 정보를 백엔드 로그에만 기록합니다.

안전한 세션 관리

  • 정의: 세션 ID는 예측 불가능해야 하며, HttpOnly 플래그를 사용하여 JavaScript 접근을 막고, Secure 플래그를 사용하여 HTTPS에서만 전송되도록 합니다. 세션 탈취를 방지하기 위해 유효 기간을 적절히 설정합니다.
  • NestJS 관련: express-session 또는 @nestjs/platform-express에서 제공하는 쿠키 옵션을 사용하여 세션 관련 설정을 강화합니다.

취약점 스캐닝

보안 모범 사례를 적용하는 것도 중요하지만, 실제 시스템에 잠재적인 취약점이 존재하는지 자동으로 점검하는 취약점 스캐닝은 필수적입니다.

정적 애플리케이션 보안 테스트

  • 정의: 소스 코드를 분석하여 잠재적인 보안 취약점(예: SQL Injection, XSS, 취약한 암호화 사용 등)을 식별합니다. 코드가 실행되지 않는 상태에서 분석하므로 "화이트박스 테스팅"이라고도 합니다.
  • 장점: 개발 초기 단계에서 빠르게 취약점을 발견할 수 있고, 전체 코드베이스를 검사할 수 있습니다.
  • 단점: 실제 런타임 환경의 취약점을 모두 잡아내지 못할 수 있으며, 오탐(False Positive)이 발생할 수 있습니다.
  • 도구
    • ESLint/TSLint (보안 플러그인): eslint-plugin-security와 같은 플러그인을 사용하여 기본적인 코드 보안 검사를 수행합니다.
    • SonarQube: 다양한 언어를 지원하는 정적 분석 도구로, 코드 품질 및 보안 취약점을 분석하고 리포트를 제공합니다. CI/CD 파이프라인에 통합될 수 있습니다.
    • Semgrep: 패턴 기반의 정적 분석 도구로, YAML 규칙을 사용하여 커스텀 보안 패턴을 정의하고 코드베이스에서 취약점을 찾을 수 있습니다.

동적 애플리케이션 보안 테스트

  • 정의: 실행 중인 애플리케이션에 실제로 공격을 시도하여 취약점을 탐지합니다. 외부에서 애플리케이션을 "블랙박스"처럼 테스트합니다.
  • 장점: 실제 런타임 환경에서 발생할 수 있는 취약점(예: 인증 우회, 세션 관리 문제)을 발견하는 데 효과적입니다.
  • 단점: 코드의 모든 경로를 테스트하기 어렵고, 실제 공격 시도를 통해 시스템에 부하를 줄 수 있습니다.
  • 도구
    • OWASP ZAP (Zed Attack Proxy): 가장 인기 있는 오픈 소스 DAST 도구입니다. 자동 스캐닝, 퍼징, 수동 탐색 등 다양한 기능을 제공합니다.
    • Burp Suite: 상업용 DAST 도구로, OWASP ZAP과 유사한 강력한 기능을 제공하며, 전문가들 사이에서 널리 사용됩니다.
    • Postman/Insomnia (수동 테스트): REST API 테스트 도구를 사용하여 수동으로 취약점을 테스트할 수도 있습니다 (예: 잘못된 입력값 전송, 권한 없이 접근 시도).

의존성 스캐닝

  • 정의: 프로젝트가 사용하는 외부 라이브러리(npm 패키지 등)에서 알려진 보안 취약점을 스캔합니다.
  • 도구
    • npm audit / yarn audit: 로컬에서 실행할 수 있는 기본 도구입니다.
    • Snyk: npm audit보다 더 상세한 정보를 제공하고, 자동 수정 제안 및 CI/CD 통합을 지원합니다.
    • GitHub Dependabot: GitHub 레포지토리와 연동하여 자동으로 취약점을 감지하고 PR을 생성해줍니다.

보안은 애플리케이션 개발 수명 주기(SDLC) 전반에 걸쳐 통합되어야 하는 지속적인 프로세스입니다. NestJS는 견고한 프레임워크와 활발한 커뮤니티 덕분에 많은 보안 기능을 내장하거나 쉽게 통합할 수 있습니다. 최소 권한, 입력값 검증, 안전한 인증/권한 부여 등 기본적인 보안 모범 사례를 준수하고, SAST, DAST, 의존성 스캐닝과 같은 자동화된 도구를 활용하여 잠재적인 취약점을 선제적으로 찾아 개선하는 것이 중요합니다. 주기적인 보안 업데이트와 최신 위협 동향에 대한 학습도 게을리하지 말아야 합니다.

로깅과 감사 추적

Previous Page

Docker를 이용한 컨테이너화

Next Page