경험 기반 구체화
CI/CD 파이프라인에서 SAST·DAST·Dependency Scan을 직접 구성한 경험은 없습니다. DevSecOps 수업에서 보안 검사를 파이프라인에 통합하는 핵심 이유는 "개발 단계에서 취약점을 발견하는 비용이 배포 후보다 훨씬 낮다"는 것임을 배웠습니다.
SAST는 소스코드를 정적으로 분석해 코드 수준의 취약점을 잡고, DAST는 실행 중인 애플리케이션에 공격을 시뮬레이션해 런타임 취약점을 찾는다는 차이를 배웠습니다. Dependency Scan은 사용 중인 라이브러리의 알려진 CVE를 자동으로 체크하는 것으로, 최근에는 공급망 공격이 늘면서 중요도가 높아졌다고 이해하고 있습니다.
직접 구성 경험은 없지만, 세 가지를 모두 적용할 때 중요한 건 오탐(False Positive)을 어떻게 관리하는가라고 봅니다. 오탐이 많으면 개발팀이 알람을 무시하는 패턴이 생기기 때문에, 기준 조율이 도입만큼 중요하다고 생각합니다.