Antigravity Agent
3.0 KiB
3.0 KiB
id, title, category, status, canonical_id, aliases, duplicate_of, source_trust_level, confidence_score, tags, raw_sources, last_reinforced, github_commit
| id | title | category | status | canonical_id | aliases | duplicate_of | source_trust_level | confidence_score | tags | raw_sources | last_reinforced | github_commit | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| P-REINFORCE-WIKI-DEV-DAST | 동적 애플리케이션 보안 테스트 (DAST Fundamentals) | 10_Wiki/💻 Topics_Dev | verified |
|
B | 0.8 |
|
|
2026-05-02 |
동적 애플리케이션 보안 테스트 (DAST Fundamentals)
1. 개요
동적 애플리케이션 보안 테스트(DAST)는 실행 중인 애플리케이션을 대상으로 외부 입력을 주입하거나 요청을 보내 보안 취약점을 탐지하는 방법론이다. 코드를 실행하지 않고 스캔하는 정적 분석(SAST)과 달리, 실제 운영 환경이나 테스트 환경에서 발생하는 런타임 결함(Runtime Flaws)과 입력 유효성 검사 오류를 식별하는 데 특화되어 있다.
2. 핵심 메커니즘
- 블랙박스 테스트: 내부 구현이나 소스 코드를 모르는 상태에서 애플리케이션의 엔드포인트(API, UI)를 통해 공격 시나리오를 시뮬레이션.
- 런타임 결함 탐지: 메모리 누수, 인증/인가 우회, 실제 데이터 유출 경로 등 실행 상태에서만 드러나는 보안 약점 포착.
- 입력 유효성 검사: SQL Injection, XSS 등 외부 입력값이 시스템에 미치는 영향을 동적으로 검증.
3. 실전 적용 가치
- 하이브리드 분석 (IAST/DAST+SAST): 정적 분석과 동적 분석을 결합하여 오탐(False Positive)을 줄이고, 실제 악용 가능성이 높은 취약점을 우선적으로 식별.
- DevSecOps 통합: CI/CD 파이프라인 후반부에 배치하여, 배포 직전의 최종 안정성을 검증하는 게이트웨이 역할 수행.
- 포괄적 가시성: Checkmarx와 같은 엔터프라이즈 도구를 통해 SAST, SCA와 병행하여 시스템의 다각적 보안 상태 모니터링.
4. 트레이드오프 및 주의사항
- 장점: 실제 작동 환경에서의 위험 증명 가능, 언어/프레임워크에 구속되지 않는 범용성.
- 단점: 테스트 환경 구축 비용 발생, 정적 분석에 비해 상대적으로 느린 스캔 속도, 코드의 근본 원인(Root Cause) 지점이 아닌 증상 위주의 결과 도출.
5. 지식 연결 (Related)
- Static_and_Dynamic_Analysis: 정적 분석과 동적 분석의 상호보완적 관계.
- SAST_Fundamentals: 소스 코드 수준에서 취약점을 찾는 정적 보안 테스트.
- DevSecOps_Pipeline: DAST가 통합되는 지속적 보안 운영 체계.
🧪 검증 상태 (Validation)
- 정보 상태: 기본 검증 (Verified - Basic)
- 출처 신뢰도: B (원본 데이터의 정보 밀도 보완 필요)
- 검토 이유: 실행 중인 시스템의 보안 안정성을 최종 확인하기 위한 동적 분석 방법론의 기초 정립.