SAST vs DAST vs (IAST/RASP): 빠른 AppSec 체크리스트

Source: Dev.to

개요

애플리케이션 보안 업무를 하거나 코드 리뷰를 수행한다면 SAST, DAST, IAST, RASP와 같은 약어를 들어봤을 것입니다. 이들은 서로 다른 문제를 해결하며 소프트웨어 개발 라이프사이클(SDLC)의 다양한 단계에 맞춰 사용됩니다. 아래는 올바른 도구를 선택하는 데 도움이 되는 실용적인 정리입니다.

SAST (Static Application Security Testing)

• 무엇을 하는가: 애플리케이션을 실행하지 않고 소스 코드나 바이너리를 분석합니다.
• 언제 사용하는가: 개발 초기 단계(IDE, CI 파이프라인)에서 활용합니다.
• 강점: 인젝션 결함, 보안 로직 오류, API 오용 등 일반적인 문제를 잡는 데 뛰어납니다.
• 단점: 오탐이 발생할 수 있으며 런타임 컨텍스트가 제한적입니다.

DAST (Dynamic Application Security Testing)

• 무엇을 하는가: 실행 중인 애플리케이션을 외부에서 테스트합니다.
• 언제 사용하는가: 프로덕션과 유사한 환경에서 효과적입니다.
• 강점: 인증 결함, 설정 오류, 런타임 인젝션 버그 등 실제로 악용 가능한 문제를 찾아냅니다.
• 단점: 소스 코드에 대한 가시성이 제한됩니다.

IAST / RASP (Interactive/Application Security Testing & Runtime Application Self‑Protection)

• 무엇을 하는가: 런타임에 애플리케이션 내부에서 실행되어 코드 수준의 인사이트와 실제 실행 데이터를 결합합니다.
• 언제 사용하는가: 높은 신뢰도의 결과가 필요하거나 프로덕션 모니터링에 유용합니다.
• 강점: 런타임 가시성을 제공하고 공격에 대한 방어 기능을 제공할 수 있습니다.
• 단점: 계측이 필요하고 런타임 오버헤드가 추가됩니다.

올바른 도구 선택하기

단일 “최고” 옵션은 없습니다. 대부분의 성숙한 보안 프로그램은 다음을 조합합니다:

• SAST – 초기 피드백 제공
• DAST – 실제 공격 시뮬레이션
• IAST/RASP – 런타임 가시성 및 보호

보안 코딩 실천 체크리스트

이 체크리스트는 각 접근 방식을 비교하고, 가장 적합한 적용 시점을 설명하며, 하나의 도구에만 의존할 때 흔히 발생하는 실수를 강조합니다.

Secure Coding Practices Checklist

코드 리뷰, 위협 모델링, 혹은 AppSec 파이프라인을 구축하고 있다면, 이 체크리스트가 시간을 절약하고 각 단계에 맞는 도구를 선택하는 데 도움이 될 것입니다.