제돈으로 직접 한 건 아니고, 일을 도와주기로 한 업체의 홈페이지를 외주해야 하는데 업체측이 경험이 없어서 제가 이정도 가격이면 적당할것 같다~ 하면서 외주업체도 같이 찾고 의뢰도 직접 한 적이 있습니다. 지인소개를 통해 평이 괜찮은 업체를 하나 찾아서 맡겼습니다. 기간은 한달이었구요.
문제는 저도 외주를 맡겨본 경험이 없었다는 거... 단순 홈페이지는 아니고 포털같은 기능에 결제시스템까지 필요했습니다. 제가 프레임웤은 어떤거 쓰시나여? 라고 물었더니 그냥 쌩 php로 한다고 하더군요. 그러려니 하고...
한달이 지나서 홈페이지를 받았는데 딴건 제치고 세션 검증이 되어야 할 몇 몇 부분에서 검증을 안하고 심지어 인젝션 대비도 안되어있어서 식겁하고 직접 다 고쳤었습니다. 해주세요 라고 말을 하기에도 차마 엄두가 안 날 정도로 그냥 무신경한 결과물이어서...
그 당시에 느낀 게 아 한국 웹사이트중에 보안이 허술한 곳이 정말 많겠구나 싶었습니다. 해당 업체가 개발한 스타트업 사이트도 몇 개 되는데 다 비슷하겠구나 싶고...
아래의 도박사이트 해킹 학생 사례를 보니 문득 떠오르네요.그래도 몇년 지난 지금은 좀 나아졌을까 싶지만 그당시엔 제 돈도 아닌 천만원이 너무 아까웠습니다.
포털+결제 시스템을 한달 이내로 만들라고 했으니 퀄리티 있는 결과물이 나올리 없겠죠.
개발 기간이 너무 짧게 잡혀서 기능 구현을 하는데 시간을 거의 썼을 것으로 생각이 됩니다.
만들어진 코드를 다시 리뷰해서 정리하거나 보안 취약점 체크하고 QA 진행하는 시간을 아예 생각하지 않은 프로젝트로 보여서,
결과물의 퀄리티가 낮았던 것도 어쩔 수 없다고 봅니다.
그 비용으로 어떻게든 결과물이 나왔다는것 자체가 놀랍습니다..
웹디자이너도 아니고 업체에서 무슨 디자인을 제공해요...
결제 가능 개발자 단가를 한번 찾아보세요 . (과연 한달짜리 플젝을 누가 할수 있을지.. )
그리고 그렇게 보안이 중요하셨다면 보안에 대한걸 요구하셨어야죠. 그럼 다른걸 빼달라고 했을겁니다.
인젝션 방어나 보안포인트만 따로 테스트 하고 방어코드 짜는데 걸리는 공수와 비용은 그냥 나오는거라 생각하시나봐요 ?
현직으로 이 글 보고 개발자를 보는 시선을 좀 알것 같아요.
/V
개발자 1명과 외주 계약 비용으로도 아슬아슬 할것 같아요
단순 홈페이지는 아니고 포털같은 기능에 결제시스템까지 필요했습니다 => 각 개발에 대한 인원 필요
그냥 쌩 php로 한다고 하더군요. => 아마도 단가 산정이 안맞으니 예전 소스 재활용 결정
세션 검증이 되어야 할 몇 몇 부분에서 검증을 안하고 심지어 인젝션 대비도 안되어있어서 식겁하고 직접 다 고쳤었습니다. => 나는 IT 문외한이 아니다.
한국 웹사이트중에 보안이 허술한 곳이 정말 많겠구나 싶었습니다. => 일반화의 오류
그당시엔 제 돈도 아닌 천만원이 너무 아까웠습니다. => 본전 심리 ?
웹쪽하시고 결제 개발을 한번이라고 해보셨거나 아니면 결제 개발 프로세서를 한번이라도 보셨으면 이런글이 나오실런지..
인젝션도 하시고 세션검증하고 고치실 정도시면 한번 찾아보시면 어떨까요 ?
얼마을 받던 기본중에 기본이었다면 처음 계약사항에 전체 개발 부분에서 보안을 최우선순위로 해달라고 하셨으면 될것인데요 ?
일단 업체측에서는 포탈+결제 모듈이 있는 홈페이지를 만들어 달라고 했으니 그에 부합된걸 한거죠
한달 개발일정에서 이전소스를 재활용하던 새로 만들던 (새로만들면 더 걸리겠지만 )
최소 결제관련 가능자 한명이면 중고급이상인데 (한달짜리 프로젝트를 누가할지는 모르겠지만.. )
한번 시장조사 다시해보세요
결제 연동 테스트만 해도 천만원이 넘을텐데..
오히려 허술하긴하지만 완성시켜준 해당 업체에게 엄청 고마워 하셔야 할 정도라서요.
해당 업체에서 개발한 사이트들이 다 그런게 아니겠죠.
해당 업체에도 충분한 시간과 금액을 줬으면 다르겠죠.