[theori] DAST란? 실전형 AI DAST가 메우는 보안 격차

[원글] 

DAST란? 실전형 AI DAST가 메우는 보안 격차

https://theori.io/ko/blog/what-is-ai-dast

 

 

[요약]

 

DAST란?

Dynamic Application Security Testing의 약자로, 애플리케이션이 실제로 실행되는 환경에서 외부의 공격자 관점으로 시스템을 시험해보는 블랙박스 테스팅 방식의 점검이다. 일반적으로 소스코드나 인프라 구성 같은 내부 정보를 보고 취약점을 찾지만 DAST 는 이와 다르다. 

 

- 소스코드가 있더라도 이를 실행해 외부 관점으로 테스트

- 로그인 창에 비정상적인 값을 넣어보기

- 검색창에 스크립트처럼 보이는 문자열을 주입하기

- API 호출의 파라미터를 임의로 바꿔 응답이 어떻게 달라지는지 확인하기

 

이런 시도는 입력값이 안전하게 검사되는지, 시스템이 이상한 입력에 대해 민감한 정보를 흘리지 않는지 확인하게 해주며 응답 변화를 보고 실제로 공격자가 이용할 수 있는지 재현해본다.

 

 

DAST가 중요한 이유

오늘날 대부분 서비스는 웹과 모바일 앱으로 제공된다. 애플리케이션에서는 작은 허점 하나가 큰 침해로 이어질 수 있기에 검증하는 일은 필수이다. DAST는 바로 이 현실 검증을 담당한다. SQL 인젝션, XSS, 인증 우회, 에러메시지 노출 등의 운영 중에만 드러나는 서비서의 취약점을 찾을 수 있다.

 

안전해 보이는 코드는 안전한 서비스가 아니다. 개발 단계에서는 보통 정상 흐름에 맞춰 기능을 설계, 테스트하기 때문에 예외 조건과 비정상적 입력이 빠지기 쉽다. DAST는 배포된 시스템 전체의 상호작용과 상태 변화를 따라가며 통합된 맥락에서 위협을 탐지한다. 정적분석(SAST)이 코드 패턴이나 이론적 취약점에 주로 초점을 맞춘다면, DAST는 운영환경에서 현실적으로 발생할 수 있는 위험을 드러낸다. 

 

DAST는 산업 및 여러 국가의 규제 및 감사 기준에서 취약점 평가 또는 보안 테스트 방식으로 자주 언급되며 감사/인증 준비 시 사용 가능한 유력한 증빙 수단이 된다. 최근 시장 조사 보고서에도 이런 추세가 뚜렷히 나타난다.

 

 

기존 DAST 툴의 한계점

1) 신뢰성, 오탐의 문제

스캐너가 쏟아내는 경우 중 상당수는 실제로 위험하지 않은 경우가 많아서 보안팀과 개발팀은 하루에도 수십건의 오탐을 걸러내야 한다.

2) 취약점 탐지의 깊이 

인증 플로우, 권한 분리, 상태 기반 비즈니스 로직처럼 여러 단계와 조건이 얽힌 취약점은 단순한 패턴 매칭으로는 재현하기 어렵다.

3) 안정성 이슈

전체 애플리케이션을 대규모로 스캔하면 테스트 자체가 서비스에 부하를 주거나 예기치 않은 오류를 유발할 수 있다. 

4) 설정과 튜닝의 난이도는 도입 비용을 키우는 요인

제대로 된 결과를 내려면 인증 방식, 세션 흐름, 특정 엔드포인트의 의미 등 애플리케이션의 특성을 세밀하게 입력해야 하는데, 코드 변경이나 배포가 있을 때 마다 반복되어야 하므로 쉽게 잊혀진다.

 

 

AI DAST의 등장

DAST 한계가 드러나자 이를 보완하기 위해 AI DAST가 등장했다. AI DAST는 실제 해커처럼 사고하고 학습한다. 애플리케이션의 패턴을 학습해 이전에 본 적 없는 새로운 취약점도 유추해낼 수 있다. 반응을 보고 창의적인 우회 기법을 스스로 만들어낸다. 가장 큰 특징은 AI가 애플리케이션을 '이해'한다는 점인데, 화면의 컨텍스트를 파악해 로그인 폼, 결제페이지, 관리자 패널 등을 자동으로 구분하고 각 기능에 맞는 최적화된 공격 벡터를 적용한다. 특히 여러 API 호출이 연쇄적으로 이어지는 복잡한 비즈니스 플로우에서 진가를 발휘한다.

 

또 해당 취약점이 그 웹사이트에 실제로 어떤 영향을 미칠지까지 고려한다. 단순히 많은 경고를 뿜어내는 대신, 우선순위에 따라 검증할 지점을 추천해주는 것도 큰 장점이다. 속도와 운영 측면에서도 이점이 크다. 필요한 데이터만 선별해 사용함으로써 대상 서비스에 가해지는 부담을 줄인다. 덕분에 CI/CD 파이프라인에서는 빠른 스모크 테스트를, 배포 전에는 심층 정밀 스캔을 자동으로 조합하는 현실적인 운영이 가능하다.

 

 

AI DAST 도구 추천

1) Invicti

- 오랜 엔진을 바탕으로 검증 가능한 탐지와 AI 보완 기능을 병행

- 전통적 엔진을 중심으로 설계되어 복잡한 비즈니스 로직을 완전히 커버하는 데는 제약이 있을 수 있음

 

2) Acunetix

- 가볍고 빠른 DAST로 널리 알려져 있으며, 중소·중견 조직에서 빠르게 도입해 쓸 수 있는 실용성이 장점

- 대규모 엔터프라이즈 워크플로우에는 일부 기능이 부족할 수 있음

 

3) Xint

- 티오리의 실전형 AI DAST로, 세계 해킹 대회 최다 우승을 기록한 화이트햇 해커들이 직접 설계한 ‘AI 해커’

- AI 기반 오탐 필터링 및 우선순위화, 비즈니스 로직 심층 탐지, PoC 자동 생성, 안전 스캔 모드 지원