본문 바로가기
기초 개념

Eval 함수와 보안 문제

by 시니성 2023. 8. 29.
728x90

컴퓨터과학에서 코드는 일련의 명령어로 구성되어 컴퓨터에게 특정 작업을 지시합니다. 일반적으로 코드는 개발자에 의해 미리 작성되며, 프로그램 실행 시에는 해당 코드만 수행됩니다. 그런데 프로그래밍 언어 중 일부에는 "실행 시점"에 동적으로 코드를 평가하고 실행하는 기능을 제공하는데, 이를 eval 함수라고 합니다.

1. Eval 함수란?

  • PythonJavaScript에서 eval은 문자열 형태의 코드를 받아 해당 코드를 실행하는 함수입니다.
# Python 예시
x = 10
y = 20
result = eval("x + y")
print(result)  # 30
// JavaScript 예시
let x = 10;
let y = 20;
let result = eval("x + y");
console.log(result);  // 30

2. Eval의 위험성

이처럼 eval은 유용하게 보일 수 있지만, 실제로는 많은 위험성을 내포하고 있습니다. 가장 큰 문제는 악의적인 코드를 실행할 가능성이 있기 때문입니다.

예를 들어, 웹 애플리케이션에서 사용자로부터 입력 받은 문자열을 eval로 처리한다면 어떤 일이 발생할까요?

// 가상의 웹 애플리케이션 코드 예시
let userInput = prompt("코드를 입력하세요:");  // 사용자로부터 문자열 입력받음
eval(userInput);

만약 사용자가 아래와 같은 코드를 입력한다면?

alert("해킹 성공!");  // 악의적인 코드

이런 식으로 악의적인 사용자는 시스템의 취약점을 공격하거나, 민감한 데이터에 접근하고 변경할 수도 있습니다.

3. 보안 문제의 원인

  1. 코드 주입 공격: eval을 사용하면 외부에서 주입된 악의적인 코드가 프로그램 내에서 실행될 수 있습니다. 이렇게 되면 공격자는 시스템을 마음대로 조작할 수 있게 됩니다.

  2. 데이터 노출: eval을 통해 실행된 코드는 현재 프로그램의 모든 변수와 함수에 접근 가능합니다. 이로 인해 민감한 정보가 노출될 수 있습니다.

  3. 불필요한 리소스 사용: 악의적인 사용자는 eval을 통해 시스템 리소스를 과도하게 사용하는 코드를 주입할 수 있습니다. 이로 인해 서비스 거부(DoS) 공격과 같은 결과를 초래할 수 있습니다.

4. 결론

컴퓨터과학에서 안전한 코드 작성은 매우 중요한 주제입니다. eval과 같은 함수는 코드를 동적으로 실행할 수 있다는 강력한 능력을 가지고 있지만, 그로 인해 여러 위험성도 내포하고 있습니다. 따라서 가능하면 eval의 사용을 피하고, 필요한 경우에도 매우 주의 깊게 사용해야 합니다.

728x90

'기초 개념' 카테고리의 다른 글

RESTful API란?  (1) 2024.12.12
제네릭<Generic>  (0) 2023.11.22
`withCredentials`에 대한 설명  (0) 2023.09.12
개발 시 사이드 이펙트(Side Effect)란?  (0) 2023.08.24