보안 분석 도구

SAST (Static Application Security Testing) 정적 코드 분석

• 설명 : 코드 실행 없이, 소스/바이너리 정적 분석, 코딩 초기 단계에서 문제 탐지

• 주요 도구 : SonarQube, FindSecBugs, Semgrep, Fortify SCA

• 장점 : 빠르고 개발 초기 문제 발견

• 단점 : 런타임 이슈, 설정 문제는 한계

DAST (Dynamic Application Security Testing) 동적 애플리케이션 보안 테스트

• 설명 : 실행 중인 앱을 외부에서 공격 시뮬레이션, 웹 취약점 스캐너 같은 방식

• 주요 도구 : OWASP ZAP, Burp Suite, Nikto, Acunetix

• 장점 : 런타임 문제 탐지 가능, 소스코드 없어도 가능

• 단점 : 코드 내 깊은 문제 파악 어려움

IAST (Interactive Application Security Testing) 인터랙티브 보안 테스트

• 설명 : 앱 실행 + 내부에 에이전트 삽입해 실시간으로 분석

• 주요 도구 : Contrast Security 등

• 장점 : SAST + DAST 장점 합침, 실시간 탐지 가능

• 단점 : 성능 오버헤드 발생

RASP (Runtime Application Self Protection)

• 설명 : 앱이 실행 중일 때 스스로 공격 탐지 및 방어

• 주요도구 : Prevoty, Signal Sciences

• 장점 : 실시간 방어 가능

• 단점 : 운영 성능 영향 줄 수 있음