해당 개시글은 24년 1월 1일에 작성되었으며, 과정이 종료된 후 공개로 전환하였습니다.
SK 쉴더스 루키즈 16기 클라우드 기반 스마트 융합보안 과정 중 모듈프로젝트1을 마무리하며 작성하였습니다.
1. 프로젝트 진행 과정
프로젝트는 23년 12월 26일부터 24년 1월 2일까지로, 마지막 1월 2일은 프로젝트 발표하는 날입니다. 발표는 온라인으로 합니다.
팀은 운영팀에서 구성하여 프로젝트 진행 1일차 오전에 알려주셨습니다. 온라인 회의실에 모여서 팀 이름을 선정하고, 어떤 주제로 프로젝트를 진행하는 것이 좋을지, 어떤 언어를 써서 웹 애플리케이션을 개발할지, AWS는 어떻게 구성할 것인지, 역할 분배를 했습니다. 강사님께서 프로젝트 스케일을 적절하게 정하는 것도 중요하다고 하셔서 저희는 화,수,목,금 4일을 목표로 프로젝트를 구성하였습니다. 저희는 '과제 게시판'을 주제로 잡고, 바로 역할을 나눠서 진행하였습니다. 1~3일차까지 웹 애플리케이션 개발과 AWS 인프라 구축, 아키텍처 구성을 하였습니다.
4일차에는 보안 점검을 했습니다. 팀원 모두가 보안 점검에 참여하였습니다. Web은 '2022 Python 시큐어 코딩 가이드'를 바탕으로 수동 진단을 진행하였습니다. 또한 자동화 솔루션도 사용하였습니다. 동적진단을 위한 OWASP ZAP, VirusTotal을 사용하였고, 정적진단을 위해 Bandit을 사용하였습니다. AWS는 'SK쉴더스 2023 클라우드 보안가이드 AWS'를 기반으로 점검하였습니다.
2. 프로젝트 후기
저희는 보안수업이므로 보안 쪽에 신경을 많이 쓰고자 개발 부분은 스케일을 작게 잡았습니다. 그럼에도 불구하고 개발이 3일이나 걸린 건 Flask에 대한 이해도가 낮았기에 초기 개발 단계에 삽질을 좀 열심히 했습니다..ㅜㅜ(학습이 필요했음) 그렇다고 보안 쪽에 신경을 적게 쓴건 아닙니다. 개발을 할 때도 시큐어 코딩 가이드를 기반으로 보안상 안전한 코드를 사용하기 위해 신경을 썼습니다. 다 같이 보안 점검을 할 때, 이전에 배운 내용도 사용해가며, SQL Injection, XSS, Directory Traversal 등을 점검하였고, Burp suite도 사용하여 패킷을 가로채 공격도 해봤습니다. 점검 시 다양한 툴도 써보려고 했습니다. 발견된 취약점에 대한 대응방안을 생각해보고, 시간 관계상 일부 항목에 대해서만 조치도 하였습니다.
[좋았던 점]
강사님의 조언을 토대로 프로젝트 스케일을 적절하게 정하여 1/1은 쉴 수 있었습니다ㅎㅎ 주제 선정 및 역할 분배를 빠르게 마치고 효율적으로 프로젝트를 진행할 수 있었습니다. 초기에 계획한 범주에서 크게 벗어나지 않고 계획대로 프로젝트를 마무리 할 수 있었습니다. 마지막으론 저희 팀원들과 소통이 잘 되었습니다.
[아쉬웠던 점]
프로젝트 기간이 너무 짧았습니다.. 사실 12/26~1/2까지라고 했지만, 하루는 발표, 3일은 주말+공휴일이 끼어 있어서 사실상 프로젝트 기간은 4일이라고 해도 무방했습니다. 토,일은 저녁에 만나서 보고서 작성 내용, 추가 작업 등에 대한 회의를 하고 결과물을 합치는 작업을 했습니다. 프로젝트와 휴식을 양립하는게 쉽지 않았습니다ㅠㅠ
[결론]
저는 개인적으로 만족스럽게 프로젝트를 마무리할 수 있었습니다! 보안적 부분에 대해 많은 신경을 쓸 수 있었고, 새로운 점검 도구도 사용해보고, 지금까지 배운 내용을 활용해 볼 수 있다는 점에서 많은 것을 배웠다고 생각합니다.
♥함께 해준 팀원들 너무 감사합니다♥
다들 열심히 해주셔서 프로젝트 기간동안 힘들지 않고, 재미있게 진행할 수 있었습니다!
SK쉴더스 루키즈에 대한 교육 후기 또한 많이 없어서 수강신청 하시는 분들께 도움이 되었으면 해서 작성하였습니다 :)