CCSP 시험 대비: 소프트웨어 보안 테스트 4가지 방식 차이 정리
소프트웨어의 보안 취약점을 찾는 방법에는 크게 네 가지가 있습니다. 이 글은 CCSP(클라우드 보안 전문가 자격증) 시험 준비생을 위해 각 방식의 차이를 쉽게 설명합니다. 개발자가 아니어도 각 방식이 언제, 왜 쓰이는지 이해할 수 있게 정리되어 있습니다.
SAST(정적 분석)는 프로그램을 실행하지 않고 소스 코드 자체를 들여다보며 문제를 찾습니다. 마치 책을 읽으며 오탈자를 찾는 것과 같습니다. 반면 DAST(동적 분석)는 실제로 프로그램을 실행한 상태에서 외부에서 공격을 시도해 취약점을 발견합니다.
IAST(인터랙티브 분석)는 SAST와 DAST를 결합한 방식으로, 프로그램이 돌아가는 동안 내부에서도 동시에 감시합니다. SCA(소프트웨어 구성 분석)는 외부에서 가져다 쓴 오픈소스 라이브러리에 알려진 보안 결함이 있는지 확인합니다. 이 내용은 CCSP 자격증 시험에 자주 출제되는 개념입니다.
핵심 포인트
용어 한 줄 설명
- 소프트웨어
- 컴퓨터나 스마트 장치에서 작업을 수행하는 프로그램입니다.
- 보안 취약점
- 해커나 공격자가 악용할 수 있는 시스템의 약점이나 허점입니다.
- 취약점
- 공격자가 시스템을 잘못 쓰게 만들 수 있는 보안 약점입니다.
- 클라우드
- 내 컴퓨터가 아니라 인터넷으로 연결된 외부 컴퓨터를 쓰는 방식입니다.
- SAST
- 소스 코드를 실행하지 않고 분석해 보안 결함을 찾는 정적 테스트 방식
- DAST
- 실제로 프로그램을 실행하면서 외부에서 공격을 시도해 취약점을 찾는 방식
- IAST
- 프로그램 실행 중 내부에 감시 도구를 심어 실시간으로 취약점을 탐지하는 방식
- 오픈소스
- 소스 코드를 공개해 누구나 보고 사용할 수 있게 한 방식입니다.