테스트 접근 방식을 또렷이 푸는 결
학부 보안 동아리에서 우리가 만든 실습용 웹 서비스를 일부러 공격해보는 활동을 한 경험이 있습니다. 처음에는 닥치는 대로 여러 시도를 해봤는데, 무엇을 했고 무엇이 됐는지 기록이 없어 정작 정리할 때 막막했습니다. 그래서 저는 방식을 바꿔, 공격할 자리를 먼저 목록으로 적고 하나씩 순서대로 시도했습니다. 로그인 화면, 파일 올리는 기능, 주소창 입력값 세 곳을 차례로 점검했습니다. 시도할 때마다 결과를 한 줄씩 적으니, 끝나고 어디가 약한지 한눈에 보였습니다. 처음에 무작정 덤빈 게 비효율이었고, 계획을 세우고 기록하며 하는 일이 테스트의 절반이라는 걸 배웠습니다. 지금도 저는 점검할 때 순서와 기록부터 정합니다.