bluemsi/2nd
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Fix: Restore unified Topics folder and reorganize specialized category folders

Browse Source
This commit is contained in:
Antigravity Agent
2026-05-02 23:25:02 +09:00
parent b71a0b82d3
commit fdfbc83535
6241 changed files with 147626 additions and 194 deletions
Download Patch File Download Diff File Expand all files Collapse all files
10_Wiki/Topics/Dynamic_Application_Security_Testing.md
+46
View File
@@ -0,0 +1,46 @@
---
id: P-REINFORCE-WIKI-DEV-DAST
title: "동적 애플리케이션 보안 테스트와 런타임 검증 (DAST)"
category: Dev
status: verified
canonical_id: ""
aliases: ["DAST", "동적 분석", "Dynamic Analysis", "런타임 보안 테스트", "블랙박스 테스트"]
duplicate_of: ""
source_trust_level: A
confidence_score: 1.0
tags: ["Security", "Testing", "Runtime_Verification", "Penetration_Testing", "Vulnerability_Scanning"]
raw_sources: ["Datacollector_Export_2026-05-02"]
last_reinforced: 2026-05-02
github_commit: ""
---
# [[동적 애플리케이션 보안 테스트와 런타임 검증 (DAST)]]
## 1. 개요
동적 애플리케이션 보안 테스트(DAST, Dynamic Application Security Testing)는 애플리케이션이 실제로 실행 중인 환경(Runtime)에서 외부 요청을 시뮬레이션하여 취약점을 찾아내는 보안 검사 기술이다. 소스 코드를 직접 보지 않고 외부 인터페이스(HTTP, API 등)를 통해 공격을 시도하는 '블랙박스 테스트' 방식을 취하며, 주로 인증 결함, 세션 관리 이슈, 입력 유효성 검사 미비 등 런타임에만 발생하는 보안 문제를 포착하는 데 특화되어 있다.
## 2. 주요 기능 및 특징
- **블랙박스 테스팅**: 시스템의 내부 구조를 모르는 상태에서 공격자 관점으로 접근하여 실제 해킹 가능성을 진단.
- **런타임 결함 탐지**: SAST가 발견하기 어려운 런타임 구성 오류(Configuration errors), 인증/인가 로직의 허점, 메모리 누수 등을 식별.
- **입력 유효성 검증**: SQL 인젝션, XSS, OS 커맨드 인젝션 등을 실제 페이로드를 전송하여 성공 여부 확인.
- **애플리케이션 및 인프라 검사**: 코드뿐만 아니라 웹 서버 구성, 라이브러리 연동 이슈 등 전체 실행 환경의 보안성 검토.
## 3. 엔지니어링 가치
- **실제 위협 검증**: 단순한 코드상의 잠재적 위험을 넘어, 실제 공격이 성공할 수 있는 경로를 입증하여 보안 조치의 우선순위를 정하는 데 도움을 줌.
- **하이브리드 보안 태세 구축**: SAST(정적 분석)와 병행하여 개발 단계(SAST)와 운영 단계(DAST)를 모두 아우르는 통합 보안 파이프라인 완성.
- **언어 중립성**: 소스 코드 스캔이 아니므로, 애플리케이션이 어떤 언어나 프레임워크로 작성되었는지와 무관하게 모든 웹 서비스에 적용 가능.
## 4. 트레이드오프 및 주의사항
- **테스트 시점의 지연**: 애플리케이션이 빌드되고 구동된 이후에만 실행 가능하므로, 개발 초기 단계(Shift-Left)에서 이슈를 발견하는 데는 SAST보다 느림.
- **테스트 환경 구축 부담**: DAST를 수행하기 위해서는 실제와 유사한 스테이징(Staging) 환경이 필요하며, 대량의 공격 트래픽으로 인해 시스템 성능에 영향을 줄 수 있음.
- **취약점 위치 파악의 어려움**: 외부 인터페이스를 통해 문제를 발견하므로, 소스 코드 내에서 정확히 어느 파일의 몇 번째 줄이 문제인지 파악하기 위해 추가적인 분석(로그 추적 등) 필요.
## 5. 지식 연결 (Related)
- [[Static_Application_Security_Testing]]: DAST와 상호 보완적인 보안 검사 기술.
- [[Penetration_Testing]]: DAST 도구를 활용하여 수행되는 수동/자동 보안 진단 활동.
- [[DevSecOps]]: 개발 파이프라인에 DAST를 통합하여 지속적인 런타임 보안을 확보하는 문화.
## 🧪 검증 상태 (Validation)
- **정보 상태**: 검증 완료 (Verified)
- **출처 신뢰도**: A
- **검토 이유**: 실행 중인 시스템의 실제 공격 표면을 분석하고 런타임 보안 결함을 방어하기 위한 동적 분석 전략 및 기술 표준 정립.