보안 스캔 설정 시나리오
서비스에 대한 보안 스캔(SAST, SCA, DAST)을 설정하고 취약점을 확인하는 방법을 안내합니다.
보안 스캔 유형
| 유형 | 설명 | 검사 대상 | 실행 시점 |
|---|---|---|---|
| SAST | 정적 애플리케이션 보안 테스트 | 소스 코드 | 빌드 전 |
| SCA | 소프트웨어 구성 분석 | 의존성 (라이브러리) | 빌드 전 |
| DAST | 동적 애플리케이션 보안 테스트 | 실행 중인 애플리케이션 | 배포 후 |
시나리오 1: SAST 스캔 설정하기
Q. 소스 코드의 보안 취약점을 검사하고 싶습니다
단계별 안내:
Step 1: 서비스 상세 페이지 이동
- 이동 경로: [서비스 관리]
- 동작: 스캔할 서비스 클릭하여 상세 페이지 이동
Step 2: 보안 탭 선택
- UI 요소:
보안탭- 상단 탭에서 "보안" 클릭
Step 3: SAST 스캔 실행
- UI 요소:
SAST결과섹션의 "스캔 실행" 버튼 클릭 - 분석 도구:
도구 지원 언어 CodeQL Java, JavaScript, Python, Go, C/C++ Semgrep 대부분의 언어 지원
Step 4: 스캔 결과 확인
- UI 요소:
SAST결과- 스캔 완료 후 결과 표시 - 심각도 분류:
등급 설명 조치 Critical 즉시 악용 가능한 취약점 즉시 수정 필요 High 높은 위험도 취약점 빠른 수정 권장 Medium 중간 위험도 계획적 수정 Low 낮은 위험도 검토 후 수정
Step 5: 취약점 상세 확인
- 동작: 취약점 항목 클릭하여 상세 정보 확인
- 정보 포함:
- 취약점 위치 (파일, 라인)
- 취약점 설명
- 수정 가이드
- CWE 참조
시나리오 2: SCA 스캔 설정하기
Q. 사용 중인 오픈소스 라이브러리의 취약점을 검사하고 싶습니다
단계별 안내:
Step 1: 보안 탭 이동
- 이동 경로: [서비스 관리] → 서비스 선택 → 보안 탭
Step 2: SCA 스캔 실행
- UI 요소:
SCA결과섹션의 "스캔 실행" 버튼 클릭 - 분석 대상:
파일 언어/프레임워크 package.json Node.js requirements.txt Python pom.xml Java (Maven) go.mod Go
Step 3: 취약점 결과 확인
- UI 요소:
SCA결과- 의존성별 취약점 목록 - 정보 포함:
항목 설명 패키지명 취약한 라이브러리 이름 현재 버전 설치된 버전 수정 버전 취약점 해결된 버전 CVE ID 취약점 식별자 CVSS 점수 위험도 점수
Step 4: VEX 필터 적용 (선택사항)
- 설명: 실제로 영향받지 않는 취약점 필터링
- 동작: VEX 필터 활성화 시 적용 불가능한 취약점 제외
시나리오 3: SBOM 생성 및 다운로드
Q. 우리 서비스의 소프트웨어 부품 목록(SBOM)을 확인하고 싶습니다
단계별 안내:
Step 1: 보안 탭 이동
- 이동 경로: [서비스 관리] → 서비스 선택 → 보안 탭
Step 2: SBOM 생성
- UI 요소: "SBOM 생성" 버튼 클릭
- 유형 선택:
유형 설명 소스 SBOM 소스 코드 기반 부품 목록 이미지 SBOM 컨테이너 이미지 기반 부품 목록
Step 3: SBOM 다운로드
- UI 요소:
SBOM다운로드- "다운로드" 버튼 클릭 - 포맷 선택:
포맷 용도 CycloneDX 보안 분석, 컴플라이언스 SPDX 라이선스 컴플라이언스
시나리오 4: DAST 스캔 설정하기
Q. 배포된 웹 애플리케이션의 보안 취약점을 검사하고 싶습니다
사전 조건: 서비스가 배포되어 접근 가능한 URL이 있어야 합니다.
단계별 안내:
Step 1: 보안 탭 이동
- 이동 경로: [서비스 관리] → 서비스 선택 → 보안 탭
Step 2: DAST 설정
- UI 요소: DAST 섹션의 "설정" 버튼 클릭
- 입력 항목:
항목 설명 예시 대상 URL 스캔할 웹 애플리케이션 URL https://app.company.com인증 설정 로그인 필요 시 인증 정보 (선택사항) 스캔 범위 스캔할 경로 제한 /api/*
Step 3: DAST 스캔 실행
- UI 요소: "스캔 실행" 버튼 클릭
- 검사 항목:
- SQL Injection
- Cross-Site Scripting (XSS)
- CSRF
- 보안 헤더 검증
- 인증/인가 취약점
Step 4: 결과 확인
- UI 요소: DAST 결과 섹션
- 정보 포함:
- 발견된 취약점 목록
- 취약한 URL/엔드포인트
- 재현 방법
- 수정 권장사항
관련 질문
자주 묻는 질문
| 질문 | 답변 | 관련 페이지 |
|---|---|---|
| SAST 스캔이 너무 오래 걸립니다 | 저장소 크기에 따라 시간 소요, 특정 경로 제외 가능 | [서비스 관리] |
| 거짓 양성(False Positive)이 많습니다 | VEX 필터 또는 예외 정책 설정 | [서비스 관리] |
| 특정 취약점을 무시하고 싶습니다 | 예외 처리 기능 사용 | [서비스 관리] |
| 스캔 결과를 보고서로 내보내고 싶습니다 | 보고서 내보내기 기능 사용 | [서비스 관리] |
다음 단계
보안 스캔 설정이 완료되면 다음 작업을 진행하세요:
- 발견된 취약점을 분석하고 수정 계획 수립
- 자동 스캔 정책을 구성하여 빌드 시마다 자동 검사
- CI/CD 파이프라인에 보안 스캔 통합