## 애플리케이션 보안 분석 도구: SAST, DAST, SCA, IAST, RASP
현대적인 DevSecOps 파이프라인에서는 포괄적인 취약점 분석이 필수입니다. SAST는 소스 코드를 정적으로 스캔하고, DAST는 실행 중인 애플리케이션을 동적으로 테스트하며, SCA는 종속성을 확인하고, IAST는 런타임에 정적 및 동적 분석을 결합하며, RASP는 실행 중 보호를 제공합니다. 이러한 도구들은 CI/CD에 통합되어 조기 위협 탐지를 가능하게 합니다.
SAST: 정적 코드 분석
SAST 도구는 실행 없이 소스 코드를 파싱하여 SQL 인젝션, XSS, 보안되지 않은 API 등을 탐지합니다. 수정할 정확한 코드 라인을 지적해 개발 속도를 높입니다.
장점: 조기 탐지, IDE 및 CI/CD 통합.
단점: 오탐, 런타임 오류 및 구성 무시.
클라우드 옵션:
- SonarCloud: 공개 저장소 무료, 비공개 최대 50k LoC. 다양한 언어 지원, 상세 규칙.
- Semgrep Cloud: 최대 10명 팀용, GitHub에서 무제한.
- CodeQL: GitHub 도구, 코드에서 데이터베이스 구축해 쿼리 가능.
로컬 오픈 소스:
- SonarQube Community: 셀프 호스팅, Docker 설치, 15+ 언어.
- Semgrep OSS: AST 기반 규칙의 CLI 스캐너.
DAST: 동적 테스트
DAST는 코드 접근 없이 실행 중인 애플리케이션에 외부에서 공격을 시뮬레이션합니다. 인증, 세션, 구성 문제를 탐지합니다.
장점: 실제 런타임 취약점, 기술 스택 독립적.
단점: SDLC 후기 단계, 테스트 환경 필요, 라인 지시 없음.
클라우드:
- HostedScan: 월 3-10회 스캔, OWASP Top 10, Nmap, OpenVAS.
로컬:
- OWASP ZAP: CI/CD용 API, Docker 지원.
- Nuclei: CVE용 YAML 템플릿, 고속.
SCA: 종속성 분석
SCA는 오픈 소스 라이브러리를 CVE, 라이선스, 오래된 버전으로 스캔합니다. 소프트웨어 공급망에 핵심적입니다.
장점: 알려진 취약점 빠른 감사, PR 자동화.
단점: 알려진 CVE만, transitive 종속성 노이즈.
클라우드:
- Snyk: 수정 조언, 무제한 오픈 소스.
- GitHub Dependabot: 업데이트 자동 PR.
로컬:
- Trivy: 컨테이너, K8s, IaC.
- OSV-Scanner: Google OSV.dev 데이터베이스.
| 도구 | 장점 | 단점 |
|----------|--------------------------|-------------------------------|
| SAST | 조기 수정, 정확한 라인 | 오탐, 런타임 없음 |
| DAST | 실제 공격, 구성 | 후기 단계, 테스트 환경 필요 |
| SCA | CVE 목록, 라이선스 | 알려진 것만 |
| IAST/RASP| 정확도, 차단 | 성능 오버헤드, 배포 |
IAST 및 RASP: 런타임 분석과 보호
IAST는 에이전트를 내장해 실시간 데이터 추적으로 오탐을 최소화합니다. RASP는 익스플로잇 차단을 추가합니다.
장점: 실행 컨텍스트, 능동적 보호.
단점: 성능 오버헤드, 오픈 소스 옵션 적음, 복잡한 통합.
완전 무료 솔루션은 거의 없음—상용 카테고리입니다. SAST/DAST와 결합 추천.
주요 포인트
- SAST + DAST + SCA로 OWASP Top 10 위험의 90% 커버.
- CI/CD 통합으로 shift-left 보안 실현.
- 셀프 호스팅 데이터 제어를 위해 오픈 소스 선택.
- 오탐 대응: 규칙 튜닝.
- RASP는 고부하 프로덕션에 적합.
— Editorial Team
아직 댓글이 없습니다.