---
id: P-REINFORCE-AUTO-WIKI-SEC-003
category: Dev
confidence_score: 0.95
tags: [security, iast, interactive-testing, runtime-monitoring, data-flow, p-reinforce]
last_reinforced: 2026-05-01
---

# [[IAST (Interactive Application Security Testing)|IAST (Interactive Application Security Testing]]

## 📌 한 줄 통찰 (The Karpathy Summary)
> "애플리케이션의 내부 동작과 데이터 흐름을 실시간으로 감시하여, 정적 분석(SAST)의 라인 정밀도와 동적 분석(DAST)의 실행 컨텍스트를 동시에 확보하는 하이브리드 보안 테스트 엔진."

## 📖 구조화된 지식 (Synthesized Content)
IAST는 애플리케이션 실행 중에 내부에서 발생하는 보안 위협을 실시간으로 포착합니다.

1.  **대화형 실시간 모니터링**:
    *   사용자가 앱과 상호작용하는 동안 에이전트가 내부에서 데이터 흐름을 추적하여 보안 취약점을 탐지합니다.
    *   단순히 외부에서 공격하는 DAST와 달리, 앱 내부의 실행 경로와 논리적 흐름을 인지합니다.
2.  **배포 후(Post-deployment) 보안 강화**:
    *   주로 배포 후 환경에 집중하며, 라이브 환경에서만 나타나는 예외 상황이나 설정 기반의 위협을 탐지하는 데 탁월합니다.
3.  **지속적인 피드백 루프**:
    *   SAST 및 DAST와 결합되어 소프트웨어 수명 주기(SDLC) 전반의 보안 가시성을 극대화합니다.
    *   탐지된 정보는 다시 개발 및 리뷰 프로세스로 피드백되어 코드 품질의 지속적 강화를 이끕니다.

## ⚠️ 모순 및 업데이트 (Contradictions & RL Update)
- **성능 오버헤드**: 런타임에 에이전트를 삽입하여 감시하므로 애플리케이션 성능에 영향을 줄 수 있습니다. 성능 민감도가 높은 환경에서는 테스트 수준과 커버리지 사이의 정교한 밸런싱 정책이 필요합니다.
- **수동 검토와의 결합**: 자동화 도구가 발견한 문제는 언제나 '잠재적 위협'이며, 최종적인 비즈니스 로직상의 결함 여부는 인간 리뷰어의 심층 검사(Manual Review)를 통해 확정되어야 합니다.

## 🔗 지식 연결 (Graph)
- [[SAST (Static Application Security Testing)|SAST (Static Application Security Testing]]: 정적 분석과의 대비 및 보완.
- [[DAST (Dynamic Application Security Testing)|DAST (Dynamic Application Security Testing]]: 외부 공격 방식과의 차별화.
- ASPM (Application Security Posture Management: 전반적인 보안 태세 관리와의 연동.
- Shift-Left Security: 보안 조기 대응 전략과의 통합.
---