넷라 보안

🔱 Netra 보안 구축: 파이썬 기반 정적 애플리케이션 보안 테스트(SAST) 도구 만들기

저는 사이버보안 학생으로서 SonarQube, Semgrep 및 기타 정적 애플리케이션 보안 테스트(SAST) 플랫폼이 소프트웨어가 프로덕션에 도달하기 전에 취약점을 어떻게 식별하는지에 대해 항상 호기심을 가져왔습니다.
이 도구들을 단순히 사용하는 것에 그치지 않고 내부적으로 어떻게 작동하는지 이해하고자 했습니다. 이 호기심이 Netra Security라는 경량 SAST 플랫폼을 파이썬으로 구현하게 만들었습니다.

이 글에서는 프로젝트의 동기, 작동 방식, 그리고 이를 구축하면서 배운 점을 공유하겠습니다.

What is Netra Security?

Netra 보안은 무엇인가요?
Netra Security는 소스 코드에서 직접 일반적인 보안 취약점을 식별하도록 설계된 파이썬 기반 정적 코드 분석 도구입니다.

네라(Netra)라는 이름은 ‘제3의 눈’이라는 개념에서 영감을 받았으며, 이는 취약점이 악용되기 전에 숨겨진 보안 문제를 탐지할 수 있는 능력을 의미합니다.

이 프로젝트의 목표는 엔터프라이즈 보안 스캐너를 대체하는 것이 아니라 다음과 같은 fondamentals을 학습하는 것이었습니다:

• 정적 코드 분석
• 보안 코딩 실천
• 취약점 탐지
• 추상 구문 트리(AST) 분석
• 보안 도구 개발

문제점

많은 보안 취약점이 개발 과정에서 도입됩니다.

os.system(user_input)
eval(user_input)
exec(user_input)
pickle.loads(user_data)
subprocess.run(user_input, shell=True)

These patterns can lead to:

• 명령어 주입
• 코드 주입
• 임의 코드 실행
• 위험한 직렬화

Netra Security의 아이디어는 간단합니다: 취약점 발생 이전에 불안전한 코딩 패턴을 탐지하는 것입니다.

버전 1: 규칙 기반 감지

Netra Security의 첫 번째 버전은 문자열 매칭과 정규식을 사용했습니다.

{
     "id": "NETRA-001",
     "pattern":  "os.system(",
     "issue":  "Command Injection",
     "severity": "CRITICAL"
}

스캐너는 소스 코드를 줄 단위로 읽으며 위험한 패턴이 나타나는지 확인합니다.
이 접근 방식은 구현하기 쉬웠고 기본적인 탐지에 상당히 잘 작동했습니다.

False Positives

예를 들어:

message  =  "Never use eval() in production"

간단한 문자열 스캐너는 이 텍스트가 실제 취약점이 아니라는 점을 잘못 인식하여 오탐지를 일으킬 수 있습니다.

Introducing AST Analysis

파이썬은 내장 모듈인 ast(추상 구문 트리)를 제공합니다.
AST는 소스 코드를 실제 프로그램의 로직을 나타내는 트리 구조로 변환합니다.

for node in ast.walk(tree):
    if isinstance(node, ast.Call):
        if isinstance(node.func, ast.Attribute):
            if node.func.attr == "system":
                print("명령어 주입 위험")

이 방식은 오탐지를 크게 줄이고 보다 신뢰할 만한 결과를 제공합니다.

현재 감지되는 취약점

Netra Security는 다음과 같은 취약점을 탐지합니다:

샘플 출력

=== NETRA 보안 보고서 ===
총 결과: 5
ID        : NETRA-001
심각도  : CRITICAL
문제   : 명령어 주입
줄      : 13
Code    : os.system(user)
해결 방법  : Use subprocess.run(..., shell=False)

배운 점

정적 분석은 생각보다 훨씬 복잡합니다

처음에는 보안 스캐닝이 주로 패턴 매칭에 기반한다고 생각했습니다.
실제로,false 양을 줄이는 것은 가장 어려운 과제 중 하나입니다.

AST는 매우 강력합니다

AST는 원시 텍스트가 아닌 코드 동작에 기반한 분석을 가능하게 합니다.
이것은 전문 보안 도구가 정확도를 높이는 방식입니다.

보안과 개발은 밀접하게 연관되어 있습니다

보안을 이해하는 개발자는 취약점이 프로덕션에 도달하기 전에 많은 문제를 예방할 수 있습니다.

Future Improvements

The project is still evolving.
Planned features include:

• 추가 OWASP Top 10 검사
• 다중 파일 프로젝트 스캔
• 폴더 수준 분석
• Flask를 이용한 웹 대시보드
• JSON 및 CSV 보고서 내보내기
• 위험 점수 엔진
• CI/CD 통합
• GitHub 저장소 스캔

최종 생각

Netra Security를 구축하면서 정적 분석 도구가 어떻게 작동하고 소프트웨어가 배포되기 전에 취약점이 어떻게 탐지될 수 있는지 더 깊이 이해할 수 있었습니다.
이 프로젝트는 단순한 패턴 매칭 스캐너로 시작해 점차 AST 기반 보안 분석 엔진으로 진화했습니다.

아직도 긴 여정이 남아 있지만, 이것이 사이버보안과 소프트웨어 엔지니어링이 흥미로운 이유입니다—항상 새로운 것을 배우고 개선할 수 있다는 것입니다.

파이썬, 사이버보안, 또는 애플리케이션 보안을 공부 중이라면 자체 보안 도구를 구축하는 것을 강력히 추천합니다. 기존 도구만 사용하는 것보다 훨씬 더 많이 배울 수 있습니다.

읽어주셔서 감사합니다!

Netra 보안

python #cybersecurity #appsec #security #sast #flask #beginners #opensource