# API 보안 개선 — eval() 제거, SafeMathEvaluator 도입 **날짜:** 2026-03-15 **작업자:** R&D 개발실장 + Claude Code **배포 대상:** API develop 브랜치 --- ## 변경 개요 API 프로젝트의 보안 감사에서 CRITICAL 등급으로 식별된 `eval()` 코드 인젝션 취약점 3건을 제거했다. PHP `eval()` 대신 Shunting-yard 알고리즘 기반의 `SafeMathEvaluator` 유틸리티를 신규 구현하여 교체했다. 외부 라이브러리 의존 없이 동일한 계산 결과를 보장한다. --- ## 1. 왜 이 작업을 했는가 (근거) ### 1.1 보안 감사 결과 API 코드베이스 전체 보안 감사에서 `eval()` 사용 3건이 발견되었다. | 심각도 | 파일 | 위치 | 용도 | |:------:|------|:----:|------| | **CRITICAL** | `Services/Calculation/FormulaParser.php` | 234행 | BOM 산술 수식 계산 | | **CRITICAL** | `Services/Calculation/FormulaParser.php` | 279행 | 조건식 비교 평가 | | **CRITICAL** | `Services/Quote/FormulaEvaluatorService.php` | 316행 | 견적 수식 계산 | ### 1.2 위험성 - `eval()`은 문자열을 PHP 코드로 실행하므로 **원격 코드 실행(RCE)** 위험 존재 - 기존 코드에 정규식 기반 화이트리스트 필터(`isSafeMathExpression`)가 있었으나, 정규식 우회 가능성 상존 - `FormulaParser::testFormula()` 엔드포인트를 통해 인증된 사용자가 임의 수식을 전달할 수 있는 구조 - OWASP A03:2021 Injection, CWE-95 Eval Injection 해당 ### 1.3 교체 전략 | 방안 | 장점 | 단점 | 채택 | |------|------|------|:----:| | `symfony/expression-language` | 검증된 라이브러리 | 외부 의존성 추가, 오버킬 | ❌ | | Shunting-yard 직접 구현 | 의존성 없음, 필요한 기능만 포함 | 직접 구현 필요 | ✅ | | `eval()` 유지 + 필터 강화 | 변경 최소 | 근본적 해결 아님 | ❌ | 실제 `eval()`이 처리하는 연산이 **숫자 + 사칙연산 + 비교 연산**뿐이므로, 외부 라이브러리 없이 직접 구현이 가장 적합했다. --- ## 2. 영향 분석 ### 2.1 eval() 사용 위치 (3곳 모두 private 메서드) ``` FormulaParser (eval 2곳) ← CalculationEngine.calculateBOM() ← BomCalculationService ← BomCalculationController (설계 BOM 계산) ← BomCalculationController.testFormula() (수식 테스트) FormulaEvaluatorService (eval 1곳) ← QuoteCalculationService ← QuoteController (견적 자동산출) ← Verify5130Calculation (artisan 커맨드) ``` ### 2.2 영향도 - 3곳 모두 **private 메서드** 내부에서만 `eval()` 사용 - public 인터페이스(`execute()`, `calculateExpression()`)의 입출력 시그니처 **변경 없음** - 호출하는 Controller, Service에 **수정 불필요** - 계산 결과 **동일** (검증 완료) --- ## 3. 수정 내용 ### 3.1 신규 파일 | 파일 | 설명 | |------|------| | `app/Helpers/SafeMathEvaluator.php` | Shunting-yard 알고리즘 기반 안전한 수식 평가기 | **SafeMathEvaluator 지원 기능:** | 기능 | 메서드 | 예시 | |------|--------|------| | 산술 계산 | `calculate()` | `(3160 * 4350) / 1000000` → `13.746` | | 비교 평가 | `compare()` | `3000 <= 6000` → `true` | | 단항 마이너스 | `calculate()` | `-5 + 10` → `5` | | 나머지 연산 | `calculate()` | `10 % 3` → `1` | | 논리 연산 | `compare()` | `5 > 3 && 2 < 4` → `true` | | 중첩 괄호 | `calculate()` | `((2 + 3) * 4) / 2` → `10` | | 0 나누기 방어 | `calculate()` | `10 / 0` → 예외 발생 | ### 3.2 수정된 파일 | 파일 | 변경 내용 | |------|----------| | `app/Services/Calculation/FormulaParser.php` | `eval("return {$expression};")` 2곳 → `SafeMathEvaluator::calculate()`, `::compare()` | | `app/Services/Quote/FormulaEvaluatorService.php` | `eval("return {$expression};")` 1곳 → `SafeMathEvaluator::calculate()` | ### 3.3 변경 전후 비교 **FormulaParser::executeSimpleMath() (234행)** ```php // Before return eval("return {$expression};"); // After return SafeMathEvaluator::calculate($expression); ``` **FormulaParser::evaluateCondition() (279행)** ```php // Before return eval("return {$expression};"); // After return SafeMathEvaluator::compare($expression); ``` **FormulaEvaluatorService::calculateExpression() (316행)** ```php // Before // TODO: 프로덕션에서는 symfony/expression-language 등 안전한 라이브러리 사용 권장 return (float) eval("return {$expression};"); // After return \App\Helpers\SafeMathEvaluator::calculate($expression); ``` --- ## 4. Shunting-yard 알고리즘 개요 ``` 입력: "3160 * 4350 / 1000000" 1. 토큰화 [3160] [*] [4350] [/] [1000000] 2. 중위 → 후위(RPN) 변환 [3160] [4350] [*] [1000000] [/] 3. RPN 스택 계산 3160 * 4350 = 13,746,000 13,746,000 / 1,000,000 = 13.746 결과: 13.746 ``` **연산자 우선순위:** | 우선순위 | 연산자 | |:--------:|--------| | 4 | 단항 마이너스 | | 3 | `*`, `/`, `%` | | 2 | `+`, `-` | --- ## 5. 검증 결과 ### 5.1 SafeMathEvaluator 단위 테스트 ``` 1) 2+3 = 5 ✅ 2) 10*5-3 = 47 ✅ 3) (2+3)*4 = 20 ✅ 4) 3160*4350/1000000 = 13.746 ✅ (BOM 면적 계산) 5) -5+10 = 5 ✅ (단항 마이너스) 6) 14.17*3.0 = 42.51 ✅ (소수점) 7) ((2+3)*4)/2 = 10 ✅ (중첩 괄호) 8) 10%3 = 1 ✅ (나머지) 9) 3000<=6000 = true ✅ (비교) 10) 7000<=6000 = false ✅ 11) 100==100 = true ✅ 12) 5>3&&2<4 = true ✅ (논리 AND) ``` ### 5.2 FormulaParser 통합 테스트 ``` 1) screen_size: W1=3160 H1=4350 ✅ (미리 정의된 함수) 2) area: 13.746 ✅ (산술 수식 → SafeMathEvaluator) 3) bracket_qty (W1=5000): 3 ✅ (조건식 → SafeMathEvaluator) 4) bracket_qty (W1=2000): 2 ✅ 5) bracket (predefined, W1=5500): 3 ✅ 6) weight: 70.002 ✅ (중량 계산) ``` ### 5.3 FormulaEvaluatorService 통합 테스트 ``` 1) validateFormula('W * H + 100'): valid ✅ 2) validateFormula(''): invalid ✅ 3) validateFormula('(W + H'): invalid ✅ (괄호 불일치) ``` ### 5.4 eval() 잔존 확인 ```bash grep -r "eval(" app/ # 결과: 0건 (주석 제외) ``` --- ## 테스트 체크리스트 - [x] SafeMathEvaluator 기본 사칙연산 - [x] SafeMathEvaluator 비교 연산 + 논리 연산 - [x] SafeMathEvaluator 단항 마이너스, 소수점, 중첩 괄호 - [x] FormulaParser 미리 정의된 함수 (eval 미사용 경로) - [x] FormulaParser 산술 수식 (eval → SafeMathEvaluator 경로) - [x] FormulaParser 조건식 (eval → SafeMathEvaluator 경로) - [x] FormulaEvaluatorService 수식 검증 - [x] app/ 전체 eval() 잔존 검사: 0건 - [x] Pint 코드 포맷팅 통과 --- ## 관련 문서 - OWASP A03:2021 Injection — [https://owasp.org/Top10/A03_2021-Injection/](https://owasp.org/Top10/A03_2021-Injection/) - CWE-95: Improper Neutralization of Directives in Dynamically Evaluated Code (Eval Injection) --- **최종 업데이트**: 2026-03-15