취약점 진단 직접 경험 없음 인정하고 학습 프로젝트 웹앱 진단 실습 사례 공유결
5년 이상의 취약점 진단 경험은 아직 없습니다. 다만 학습 과정에서 직접 진행해본 웹 애플리케이션 취약점 점검 사례를 바탕으로 답하겠습니다.
학습 프로젝트에서 OWASP Top 10 기준으로 직접 만든 웹 앱을 점검했습니다. SQL 인젝션, XSS, 인증 우회 같은 취약점을 시나리오별로 테스트하면서, 어떤 코드 패턴이 어떤 취약점으로 이어지는지를 직접 확인했습니다. 취약점 재현 환경을 따로 구성해서 안전하게 실험하는 방식이 인상적이었습니다.
이 경험에서 가장 기억에 남는 것은 동일한 취약점이라도 서비스 맥락에 따라 위험도가 달라진다는 점입니다. 공개 정보를 다루는 페이지와 금융 데이터를 다루는 페이지에서 같은 XSS 취약점이 미치는 영향은 다릅니다. 취약점을 발견하는 것과 그 위험도를 판단하는 것이 진단에서 함께 훈련되어야 한다고 배웠습니다.