bluemsi/2nd
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
main
2nd/01_Archive/2026-04-20/DAST (동적 애플리케이션 보안 테스트).md
T

34 lines
4.1 KiB
Markdown
Raw Permalink Blame History

---
id: P-REINFORCE-AUTO-09DD84
category: "10_Wiki/💡 Topics/Programming & Language"
confidence_score: 0.90
tags: [auto-reinforced]
last_reinforced: 2026-04-20
github_commit: "[P-Reinforce] Continuous Worker - DAST (동적 애플리케이션 보안 테스트)"
---
# [[DAST (동적 애플리케이션 보안 테스트)|DAST (동적 애플리케이션 보안 테스트)]]
## 📌 한 줄 통찰 (The Karpathy Summary)
> DAST(동적 애플리케이션 보안 테스트)는 애플리케이션이 실행되는 런타임 환경에서 외부로부터 취약점을 테스트하는 블랙박스(Black-box) 테스트 기법입니다 [1, 2]. 소스 코드를 직접 분석하는 SAST와 달리 특정 프로그래밍 언어에 종속되지 않으며, 주로 소프트웨어 개발 수명 주기(SDLC)의 후반부인 스테이징이나 프로덕션 단계에 적용됩니다 [2, 3]. 이를 통해 실행 중인 애플리케이션의 실제 동작, 구성(Configuration) 문제 및 노출된 공격 표면을 관찰하여 런타임 취약점을 찾아내는 데 효과적입니다 [1, 3].
## 📖 구조화된 지식 (Synthesized Content)
* **테스트 방식 및 시기:** DAST는 소스 코드를 실행하지 않고 검사하는 SAST(화이트박스 테스트)와 반대로, 실행 중인 애플리케이션을 외부에서 테스트하는 블랙박스 테스트입니다 [1, 3]. CI 파이프라인의 후반부인 스테이징, 사전 프로덕션(pre-prod) 또는 프로덕션 환경에 주로 적용되어 외부 환경과 상호작용하는 애플리케이션을 테스트합니다 [2-4].
* **탐지 범위 및 특징:** 코드의 내부 로직이나 데이터 흐름을 보는 대신, 애플리케이션의 런타임 동작, 구성 문제, 외부에 노출된 인터페이스를 중점적으로 관찰하여 런타임 환경에서 안전한지를 검증합니다 [3, 4]. 분석 시 특정 프로그래밍 언어에 얽매이지 않는다는 것도 주요 특징입니다 [2].
* **퍼징(Fuzzing) 기법 활용:** DAST 방법론 중 하나인 퍼징(Fuzzing)은 애플리케이션에 의도적으로 스트레스 및 예상치 못한 입력을 가해 예기치 않은 동작, 시스템 충돌, 리소스 누수 등을 유발함으로써 런타임 애플리케이션의 취약점을 심층적으로 파악하는 데 사용됩니다 [2].
* **SAST와의 상호 보완적(Layered Coverage) 활용:** 효율적인 애플리케이션 보안을 위해 DAST는 단독으로 쓰이기보다 SAST와 결합하여 사용됩니다 [1, 4]. 개발 초기 단계에서는 SAST가 코드 결함을 찾고, 후반 배포 단계에서는 DAST가 런타임/구성 취약점 및 회귀(Regression) 버그를 방지함으로써 계층화된 완벽한 보안 커버리지를 제공할 수 있습니다 [1, 2, 4, 5].
## ⚠️ 모순 및 업데이트 (Contradictions & RL Update)
- **과거 데이터와의 충돌:** 자동화 엔진에 의해 매핑된 지식으로, 추후 정밀 검증 필요.
- **정책 변화:** Programming & Language 분야의 자동 자산화 수행.
## 🔗 지식 연결 (Graph)
- **Related Topics:** [[SAST (정적 애플리케이션 보안 테스트)|SAST (정적 애플리케이션 보안 테스트)]], [[Black-box Testing|Black-box Testing]], [[Fuzzing|Fuzzing]]
- **Projects/Contexts:** [[AppSec (애플리케이션 보안)|AppSec (애플리케이션 보안)]], [[CI_CD 파이프라인|CI/CD 파이프라인]], [[SDLC (소프트웨어 개발 수명 주기)|SDLC (소프트웨어 개발 수명 주기)]]
- **Contradictions/Notes:** 소스 내용 간의 모순은 존재하지 않으며, DAST는 코드를 직접 분석하는 SAST와 접근 방식(블랙박스 vs 화이트박스)에서 명확히 대비되지만 상호 배타적인 것이 아니라 강력한 보안 태세를 위해 함께 구축해야 하는 보완재로 설명됩니다 [4, 5].
---
*Last updated: 2026-04-18*
- Raw Source: 00_Raw/2026-04-20/DAST (동적 애플리케이션 보안 테스트).md
---
Reference in New Issue View Git Blame Copy Permalink