포럼이 인증 처리가 뭐 잘 된 건 별로 아닙니다.
사실 말하자면 별로 신경 안썼습니다. --;;

하지만 일반적인 방법과 좀 다른 방법들을 썼기 때문에 기본적인 방법들로는 잘 안뚫릴 거겁니다.

인증에 별로 신경을 안쓴 건...
포럼 계정들에 별다른 개인정보라고 할 만한 것이 없기 때문이기도 합니다.

하다못해 주민번호도 입력을 안하고 실명을 강요하지도 않으니, 메일주소 하나 빼고는 개인적인 정보가 별로 없죠. 메일주소를 입력받는 이유도, 리플이 달렸을 때 자동으로 알림 메일을 보내기 위해서고요. 기본적으로 우리 포럼의 계정이라는 것은, 그냥 접때 그 사람이구나, 하고 알아보기 위한 정도라고 할 수 있죠.

SQL 인젝션에 대해서는, 일단 파이어버드를 쓰기 때문에 영향이 좀 적습니다.
아무래도 SQL서버가 SQL 인젝션에 가장 취약합니다. 설치한 후 기본 상태대로 그냥 쓰면 당연히(!), 그리고 너무나 자연스럽게(!) 뚫립니다.

또 SQL서버에는 디비 서버 주제에 컴맨드라인 같은 로컬 머신 자원에 접근하는 시스템 프로시저들이 많아서 더 위험하고요. (디비 서버에 이런 기능들을 넣다니, MS 정말 어리버리한 개발자들 혹하게 만드는 말초적인 기능들에 미쳤습니다)

SQL 인젝션을 최대한 막으려면, 원칙적으로는 당연히 모든 서버 프로그램을 수정해야 합니다.
폼으로 입력받는 곳, 파라미터 입력받는 곳들은 모두 검증 코드를 추가해야 하지요.
하지만 몇년 이상 기존의 소스를 조금씩 수정해가며 유지보수해왔다면 노가다 일거리가 장난아니게 많습니다.
특히 디자이너와 웹 개발자가 따로 작업할 수밖에 없는 중규모 이상의 사이트라면 어마어마한 일이 됩니다.

그래서 쓰는 것이 웹 방화벽인데, 사실 웹 방화벽이라고 불리는 것들은 대부분 조오금 가격이 나가지요.
천만원 단위가 넘는다고 생각하면 됩니다. 조그만 규모의 회사에서는 IT 인프라를 위해선 쉽게 볼 액수가 아니지요.

저희 회사같은 경우 구입할 여력은 충분히 됩니다만... 몇달을 두고보다가 안샀습니다.
웹 방화벽이라는 것이, 네트웍 방화벽과는 달리 여러가지 문제들을 일으키는 사례들을 봐왔기 때문입니다.

일단 가장 큰 문제는, 성능의 문제입니다.
대부분의 웹 방화벽 업체들이 이용하는 소프트웨어 방식은 웹 응답 성능을 대폭 떨어뜨려줍니다. 버벅인다는 느낌이죠.
대부분 리눅스 랙 서버에 깔아서 하드웨어 서버인 것처럼 판매하기도 하는데요. 비교적 최근에는 게이트웨이 방식이라고 해서 웹 성능을 떨어뜨리지 않(는다고 주장하)는 방식이 나오기도 했습니다.

웹 방화벽의 또 한가지 문제는, 웹 방화벽의 경우 그냥 설치만 해놓는 것으로 끝나는 것이 아니라, 설정이 대단히 복잡한데 지속적으로 신경을 써주어야 한다는 겁니다. 떠억~ 설치만 해놓으면 안심, 그런 솔루션들과는 차원이 다른, 꽤 성가신 넘입니다.

그래도, 작년에 대대적으로 보도되었던 그 해킹 사건도 있었고 해서 몇달동안 여러 동향들을 주시했었는데요.
그냥 비싸서 망설인 것이 아니라 가격 대비 효과를 믿을 수 없었기 때문이었습니다.
그러다가 꽤 쓸만한 오픈소스 소프트웨어 기반 웹방화벽 솔루션을 찾았습니다.

WebKnight이라는 넘인데요. 당근 오픈소스니까 공짜 되겠습니다.
다소 웹 응답 성능이 떨어지고 설정도 단순하진 않지만, 그럭저럭 쓸만합니다.
상용 판매되는 웹 방화벽들을 실제 테스트까지 해보지 않아서 비교는 힘들지만, 상당히 많은 사용자가 방문하는 저희 회사 사이트에서 그다지 체감할 정도로는 성능이 떨어지지 않더군요.

http://www.aqtronix.com/?PageID=99
2.0으로 업그레이드 한다한다 하면서 몇년동안 업그레이드를 안하고 있더니, 최근에 2.0 버전이 나왔군요.
출근하면 바로 2.0으로 다시 설치해야겠습니다.


정영훈 님이 쓰신 글 :
: 예전 저희가 작업한 사이트가 SQL Injection 관련해서 보안문제가 상당히 나오더군요-.-
:
: 혹시나 싶어 볼포 인증은 잘 되어 있나 몇가지 대입해 봤는데~역시 잘 처리해 두셨네요^^
:
: 그나저나 잘못은 했으니...수정은 해야 되겠고-.- 일정에 없는 일이 하나 생기겠군요 에효...