STRIDE 기반 위협 모델링 절차 설명
서비스 위협 모델링은 STRIDE 프레임워크를 기준으로 시작합니다. Spoofing, Tampering, Repudiation, Information Disclosure, DoS, Elevation of Privilege 각 항목을 서비스의 데이터 흐름도(DFD)에 대입해서 잠재적 위협 지점을 식별합니다. 보안 수업에서 웹 앱 모의해킹 과제를 진행할 때, 먼저 입력 파라미터와 인증 흐름을 DFD로 그린 뒤 각 경계선에서 위협 시나리오를 도출했습니다.
OWASP Threat Dragon 도구를 써서 다이어그램과 위협 목록을 연결했고, 우선순위는 DREAD 점수로 정렬했습니다. 실제 침투 테스트에서는 위협 모델에서 높은 점수를 받은 항목부터 공격 경로를 탐색했고, 모델이 없을 때보다 탐색 효율이 크게 올랐습니다. 위협 모델링은 공격 전에 방어 지도를 그리는 과정이라고 생각합니다.