로우코드·노코드, 보안 위험성 유발 ↑

이미지출처 : www.pixabay.com

정보 보안 전문매체 테크타겟이 개발 및 애플리케이션 작업을 간소화하고 자동화하기 위해 사용하고 있는 로우코드와 노코드 때문에 보안 위험이 증가하고 있다고 보도했다. 

로우코드, 노코드는 사용자가 끌어서 놓기, 대화형 메뉴와 같은 시각적 방법을 적용해 코드 생성 방법을 자동화할 수 있는 신속한 애플리케이션 개발 모델이다. 로우코드를 통해 사용자는 플랫폼에서 자동 생성된 코드와 함께 사용자 지정 코드를 추가할 수 있다. 노코드 옵션을 사용하면 궁극적으로 플랫폼의 자동 생성 코드만 후속 애플리케이션에 포함된다.

노코드는 일반적으로 간단한 UI, 대시보드, 기본 웹, 모바일 애플리케이션용으로 사용된다. 모든 코드는 끌어서 놓기와 메뉴를 통해 생성된다. 반면 로우코드는 사용자 정의가 가능해 보다 다양한 애플리케이션 시나리오에서 사용할 수 있다. 일반적으로 API 및 통합 개발 환경(IDE) 지원, 코드 템플릿, 다른 도구 서비스와 함께 사용할 수 있는 다양한 플러그인을 제공한다.

그러나 접근 방식에 관계없이 로우코드나 노코드가 여러 가지 보안 위험과 잠재적인 취약성에 노출될 수 있어, 보안 문제가 발생한다. 우선 높은 보안 위험 중 하나는 코드 자체의 품질이다. 두 접근 방식 모두 타사 플랫폼의 컨텍스트 내에서 완전히 생성된 일부 코드를 포함하고 있다. 이러한 코드 스니펫은 사용하는 도구, 서비스에 따라 품질이 크게 다를 수 있다. 또한 코드가 알려진 보안 모범 사례를 준수하는지 감독이나 조사가 힘들 수 있다. 

또한 로우코드 접근 방식은 대부분 보안 팀에서 모니터링 할 수 있는 도구(최소한 IDE)를 사용하는 개발팀에 의존한다. 때문에 플랫폼에서 생성된 코드에 대해서는 완전한 정적 분석, 코드의 동적 테스트를 수행하는 것이 불가능할 수 있다.

노코드의 경우에는 코드 개발, 배포에 대한 모니터링이 거의 불가능할 수 있다. 이로 인해 감지하기 어려운 새로운 형태의 쉐도우 IT가 생겨 보안 팀에 대한 가시성이 전반적으로 부족해질 수 있다.

로우코드, 노코드 앱 생성, 호스팅에 내재된 위험 외에도 이러한 플랫폼은 동일한 모든 주요 애플리케이션 결함과 취약성의 영향을 받는다. 여기에는 SQL 삽입, 교차 사이트 스크립팅, 명령 삽입, 인증, 권한 부여 결함이 포함된다.

많은 기존 테스트 도구, 방법(정적 및 동적)은 로우코드와 노코드 접근 방식과 쉽게 통합되지 않는다. 또한 로우코드와 노코드는 배경 지식이 거의 또는 전혀 없더라도 누구나 쉽게 코드를 제작할 수 있어 버그와 보안 문제가 발생할 가능성이 높아질 수 있다. 

전반적으로 두 코딩 접근 방식 모두 많은 가능성을 제공하지만 로우코드, 노코드의 보안 위험이 존재할 수밖에 없다는 것이다. 적절한 모니터링과 테스트 기능이 부족한 회사에서 코딩 지식이나 개발 감독이 없는 사용자에게 애플리케이션을 만들 수 있는 기능을 제공할 때, 보안 위험성이 더 커질 수 있다.

출처 : 코딩월드뉴스(https://www.codingworldnews.com)