Brain491. SAST (Static Application Security Testing) - 소스코드 정적 분석 도구 (보안 룰셋 기반)
핵심 인사이트 (3줄 요약)
- 본질: SAST(정적 애플리케이션 보안 테스팅)는 프로그램을 아예 실행시키지(Run) 않고, 마치 영어 선생님이 학생의 작문 노트를 돋보기로 보듯, 소스코드 텍스트 자체를 파싱하여(AST 변환) 해킹에 취약한 문법이나 위험한 함수 사용 여부를 찾아내는 화이트박스(White-box) 분석 기법이다.
- 가치: 배포 후 해킹을 막는 것보다 "개발자가 오타를 내는 그 순간"에 버그를 잡아내는 것이 비용을 100배 아낀다는 시프트 레프트(Shift-Left) 철학의 궁극적 실체다. CI/CD 파이프라인과 결합하여 '빌드를 1분 만에 폭파'시킴으로써 쓰레기 코드가 라이브 서버로 넘어가는 것을 물리적으로 봉쇄한다.
- 융합: 소스코드만 보기 때문에 런타임 환경의 설정(DB 권한 등)을 전혀 모른다는 치명적인 **높은 오탐률(False Positive)**을 지니며, 이를 보완하기 위해 밖에서 대포를 쏴보는 DAST(동적 분석) 및 런타임 내부를 들여다보는 IAST와 삼위일체로 융합되어 DevSecOps의 제1수문장 역할을 한다.
Ⅰ. 개요 및 필요성 (Context & Necessity)
-
개념: SAST는 소스코드를 읽는 '규칙 기반(Rule-based)' 스캐너 봇이다. 기계가 코드를 텍스트로 쭉 읽다가
Statement sql = "SELECT * FROM users WHERE name='" + input + "'"라는 문장을 발견하면, 내장된 족보(CWE-89)와 비교해보고 "야! 문자열 덧셈으로 쿼리 짜면 SQL 인젝션 터지잖아!"라며 빨간 줄을 쫙 긋는다. 프로그램이 켜지기도(런타임) 전인 '컴파일(Compile) 혹은 텍스트 상태'에서 모든 검사가 1분 만에 끝난다. -
필요성: 보안팀원 3명이 1,000만 줄의 은행 코드를 일일이 눈으로 읽고(Manual Code Review) 해킹 구멍을 찾는 것은 미친 짓이다. 게다가 버그 하나 고치는 비용은 코드를 방금 짠 순간에 고치면 10분이지만, 오픈 당일(런타임)에 DAST나 모의 해킹으로 터지면 1달이 걸린다. **"인간의 나태함(실수)을 가장 빠르고, 가장 싸고, 가장 기계적인 방식으로 통제하기 위한 자동화된 린터(Linter)의 확장판"**으로서 SAST가 전 세계 개발 파이프라인의 필수 문지기로 자리 잡았다.
-
💡 비유: SAST는 건물 짓기 전의 **'설계도면 엑스레이 검수'**와 같습니다. 건물을 다 짓고 나서 흔들어보며(DAST) 무너지는지 확인하는 건 하수입니다. SAST는 아직 콘크리트를 붓기도 전에(프로그램 실행 전), 종이 도면(소스코드)만 쓱 훑어보고 "어? 이 기둥 두께가 10cm면 지진(해킹) 났을 때 100% 무너지겠는데?"라고 족집게처럼 찾아내어 도면 자체를 고치게 만드는 가장 안전한 예방 기술입니다.
-
등장 배경 및 발전 과정:
- 수동 리뷰의 붕괴: 90년대엔 보안 전문가가 며칠 밤을 새워 코드를 한 줄씩 읽었다(Auditing). 하지만 코드량이 폭발하며 불가능해졌다.
- 패턴 매칭 스캐너의 등장 (2000s): 단순하게 정규표현식으로
strcpy()나password=같은 위험한 문자열을 무식하게 찾는(Grep) 1세대 SAST 툴들이 등장했다. 오탐(가짜 경고)이 90%라 욕을 먹었다. - AST 기반 데이터 흐름 분석 (현재): 코드를 문자열이 아닌 추상 구문 트리(AST) 형태의 거대한 수학 구조도로 변환한 뒤, "입력값(Source)이 필터링 안 거치고 DB(Sink)까지 흘러가는가?(Taint Analysis)"를 완벽하게 추적해 내는 SonarQube, Checkmarx 등 초정밀 3세대 분석기로 진화했다.
-
📢 섹션 요약 비유: SAST는 맞춤법 검사기(Linter)의 **'형사반장 버전'**입니다. 맞춤법 검사기가 "띄어쓰기가 틀렸네"라고 잔소리하는 거라면, SAST 형사반장은 "너 방금 비밀번호(Evidence)를 암호화도 안 하고 텍스트 파일에 쓰는 범죄(CWE-259)를 저질렀네? 당장 감방(빌드 Fail) 가!"라고 엄벌을 내리는 무서운 코드 경찰입니다.
Ⅱ. 아키텍처 및 핵심 원리 (Deep Dive)
1. SAST의 궁극기: 오염 분석 (Taint Analysis) 아키텍처
SAST가 단순히 글자만 찾는 바보가 아님을 증명하는 핵심 원리다.
[ 1. 오염원 (Source) ]
String input = request.getParameter("id"); // 해커가 입력한 더러운 오염수(독)가 들어옴
│
[ 2. 흐름 추적 (Data Flow) ]
String query = "SELECT * FROM users WHERE id = " + input; // 오염수가 쿼리 문자열에 섞임
│
[ 💥 3. 목적지 (Sink) 도달 💥 ]
db.execute(query); // 필터링(소독) 없이 독극물이 DB 엔진(Sink)으로 그대로 직행함!
➡ SAST가 여기서 "삐용! SQL 인젝션 확정!" 알람을 터뜨림.
- 원리: 오염(Taint) 분석은 해커의 손길이 닿는 입구(Source)부터, 시스템이 뻗어버릴 수 있는 약점(Sink: DB 호출, 파일 쓰기, 화면 출력)까지 데이터가 흘러가는 강줄기를 쭉 따라간다. 만약 중간에
input = sanitize(input)라는 **소독장치(Sanitizer/Filter)**를 안 거쳤다면, SAST는 이를 완벽한 해킹 취약점(Vulnerability)으로 잡아내어 개발자에게 통보한다.
2. 치명적인 약점: 왜 SAST는 욕을 먹는가? (False Positive의 저주)
SAST는 "코드를 실행시키지 않고" 글자만 본다는 태생적 한계 때문에 엄청난 가짜 알람을 뿜어낸다.
-
오탐 (False Positive, 양성 오류):
- SAST: "삐용! DB 쿼리가 파라미터 조작에 취약해!!"
- 현실: 저 DB 쿼리는 외부 인터넷에서 해커가 들어올 수 있는 게 아니라, 새벽에 매크로 배치가 혼자서만 실행하는 완전히 격리된 닫힌 로직이다. 코드는 취약하지만 **실제 해킹될 확률(Exploitability)은 0%**인 헛발질이다.
-
📢 섹션 요약 비유: 이 오염 분석과 오탐은 **'식당 위생 감시원의 무리수'**와 같습니다. 감시원(SAST)이 주방에 생고기(오염원)가 있는 걸 봤습니다. 그리고 그 생고기가 불(소독)을 거치지 않고 그대로 접시(목적지)에 올라가는 걸 보고 "삐용! 식중독(해킹) 경고!"라고 식당 문을 닫아버립니다. 하지만 주방장(개발자)이 억울해합니다. "이거 육회(의도된 로직)인데요?" 실행 환경(Context)을 모르는 기계의 슬픈 한계입니다.
Ⅲ. 융합 비교 및 다각도 분석
1. 보안 스캐너 삼국지 (SAST vs DAST vs IAST)
면접과 실무에서 가장 많이 물어보는 DevSecOps 3대장 비교표다.
| 척도 | SAST (정적 분석) 📝 | DAST (동적 분석) 💣 | IAST (상호작용 분석) 🔬 |
|---|---|---|---|
| 검사 대상 | 소스 코드 (Text/AST) | 실행 중인 서버 (HTTP) | 실행 중인 서버 내부 (Memory) |
| 방식 | 영어 문법 검사하듯 글씨 읽음 | 밖에서 해커처럼 냅다 공격 날려봄 | 밖에서 때리고, 안에 에이전트를 심어 진찰 |
| 속도 | 엄청 빠름 (1~5분 컷) | 엄청 느림 (수십 시간) | 중간 (테스트 코드 돌아가는 시간) |
| 주요 위치 | 개발자 IDE, CI 빌드 파이프라인 | QA 서버, Staging (CD 파이프라인) | QA 서버 (테스트 스크립트 융합) |
| 장단점 | 개발 초기에 잡아서 비용 극소화. 대신 가짜 알람(오탐)이 엄청남. | 진짜 뚫리는 것만 잡아서 오탐 제로. 근데 코드를 어떻게 고칠지 안 알려줌. | 둘의 장점을 섞어 오탐도 적고 코드 위치도 줌. 근데 비싸고 세팅이 어려움. (다음 장 493번) |
과목 융합 관점
-
소프트웨어 공학 (시프트 레프트, Shift-Left): SAST의 영혼이자 본질이다. 에러를 오른쪽 끝(배포 전 QA)에서 발견하면 수천만 원이 깨진다. 아예 맨 왼쪽으로 확 땡겨버리자. 요새는 젠킨스(Jenkins) 파이프라인까지 갈 필요도 없다. 개발자가 쓰는 **VS Code나 IntelliJ 플러그인(SonarLint)**으로 SAST를 꽂아준다. 개발자가 위험한 코드를 키보드로 치고 엔터를 누르는 그 0.1초의 찰나에 시뻘건 밑줄이 그어진다. 세상에서 가장 빠르고 저렴한 버그 퇴치법이다.
-
보안/컴플라이언스 (CWE 매핑): 보안 감사(Compliance) 시즌에 감사관이 묻는다. "이 앱 KISA 47개 시큐어 코딩 기준(CWE) 지키셨나요?" 옛날엔 사람이 소스코드를 까서 하나씩 증명했다. 지금은 SonarQube(SAST) 버튼 하나 누르면, "CWE-89(SQL 인젝션) 위반 0건, CWE-79(XSS) 2건 위반" 이라는 100% 엑셀 증거 보고서가 1분 만에 뽑혀 나온다. 법적 책임을 툴(기계)의 점수로 갈음하는 거버넌스의 혁명이다.
-
📢 섹션 요약 비유: SAST가 공항에서 여행객의 **'가방을 엑스레이로 검사'**해서 칼(나쁜 코드) 모양을 찾아내는 것이라면, DAST는 공항 밖에서 '실제 폭파범의 폭탄을 던져보며 방탄유리가 깨지는지' 보는 것이고, IAST는 가방 속에 'GPS 추적기를 심어놓고' 엑스레이를 통과한 칼이 진짜 비행기 안에서 어떻게 조립되는지 실시간 감시하는 최첨단 하이브리드 수사입니다.
Ⅳ. 실무 적용 및 기술사적 판단
실무 시나리오
-
시나리오 — 오탐(False Positive)의 늪에 빠진 "늑대소년 스캐너": 대기업 10년 차 레거시 코드에 비싼 상용 SAST 툴(
Checkmarx)을 도입했다. 스캔 버튼을 누르니 무려 5만 개의 "Critical" 보안 경고가 쏟아졌다. 개발팀 전원이 1주일간 하던 일을 멈추고 에러를 까봤다. 5만 개 중 49,900개가 사내 폐쇄망에서만 도는 배치 프로그램이라 털릴 위험이 0%인 '가짜 경고(오탐)'였다. 빡친 개발자들은 "이 쓰레기 툴 알람 다 꺼버려!"라며 젠킨스 플러그인을 삭제해 버렸고, 1년 뒤 진짜 구멍으로 회사가 해킹당했다.- 아키텍트의 해결책: 도메인 컨텍스트(Context) 튜닝 실패가 낳은 알람 피로도(Alert Fatigue) 재앙이다. SAST를 처음 사서 디폴트 룰셋(Default Rule-set)으로 돌리는 건 자살 행위다. 아키텍트는 도입 초기 1달 동안 피를 깎는 '룰 튜닝(Rule Tuning)'을 해야 한다. "내부망 패키지 코드는 SQL 인젝션 룰 제외(Exclude)", "단순 출력 함수 XSS 경고 무시" 등 우리 회사 현실에 맞게 수만 개의 룰을 깎아내서, 오직 외부와 통신하는 엣지(API Controller) 위주로만 검사 범위를 좁혀야 기계가 진짜 '늑대'가 나타났을 때만 울부짖게 만들 수 있다.
-
시나리오 — CI/CD 파이프라인의 폭군 (빌드 병목 지옥): "시프트 레프트가 최고야!" 라며 데브옵스 팀이 Git 커밋(Push)을 할 때마다 무조건 SAST 스캔이 100% 다 돌게 젠킨스 룰을 강제했다. 프로젝트 코드가 200만 줄이 넘어가자, SAST가 정규식 룰을 돌리는 데만 30분이 걸리기 시작했다. 코딩 한 줄 고치고 빌드 끝날 때까지 30분을 멍때리는 상황이 벌어져 애자일(Agile) 속도가 박살 났다.
- 아키텍트의 해결책: 무지성 전수 검사(Full Scan)에 의한 파이프라인 동맥경화다. SAST는 무겁다. 아키텍트는 2-Track 전략을 써야 한다. 1) 개발자가 매일 올리는 PR(Pull Request) 빌드 때는, 전체 코드가 아니라 **'방금 수정한 10줄의 코드(Incremental Scan)'**만 10초 만에 훑고 끝내게 가벼운 모드로 설정한다. 2) 200만 줄짜리 전수 검사(Full Scan)는 절대 낮에 돌리지 말고, 매주 금요일 자정(Nightly Batch)에 비동기로 돌려서 주말 동안 엑셀 리포트만 예쁘게 뽑아놓고 월요일 아침에 팀장이 까보게 하는 시계열 분리 아키텍처가 정답이다.
도입 체크리스트
- 조직적: '품질 게이트(Quality Gate)'의 타협점(Threshold)을 정했는가? SAST 경고가 1건이라도 뜨면 빌드(배포)를 무조건 차단(Fail)시킬 것인가? 초반부터 이러면 혁명이 일어난다. 처음 3달은 "단순 경고(Warning)만 메일로 발송"하다가, 개발자들이 익숙해지면 "새로 짠 코드에서
Critical1건 이상 발생 시 빌드 Fail", 그 후엔 "High3건 이상 시 Fail" 등 점진적으로 목을 조여가는 가랑비(Soft-landing) 정책이 필수다. - 기술적: 다국어(Multi-language) 지원과 프레임워크 호환성. 우리 회사는 Go, Node.js, Java를 다 쓰는데, 구매한 SAST 툴이 Java(Spring) 문법 파싱만 지원한다면 나머지 절반의 코드는 맹인이 된다. 각 언어별 최고의 오픈소스 SAST(파이프라인 용 Bandit, Gosec 등)를 여러 개 이어 붙이거나, 최신 프레임워크(React, Next.js)의 템플릿 문법까지 AST 트리로 이해할 수 있는 비싼 상용 툴을 살지(TCO 비교) 결정하는 것이 아키텍트의 임무다.
안티패턴
-
"SAST 100점 맞았으니 모의 해킹 안 해도 됨!" (맹목적 신앙): SAST는 그저 글씨(Text)를 볼 뿐이다. 권한 체크 로직을 빼먹었거나(A01 Broken Access Control), 비즈니스 요구사항 자체가 멍청해서 발생하는 설계 오류(A04 Insecure Design)는 소스 코드가 완벽한 자바 문법으로 짜여 있기 때문에 SAST는 100점을 주며 박수를 친다. "기계(SAST)는 구멍을 막아주지만, 로직의 바보짓은 오직 인간 해커(모의 해킹)만이 뚫어낼 수 있다." 완벽한 보완재다.
-
📢 섹션 요약 비유: SAST 100점을 맹신하는 것은, 조립 컴퓨터를 살 때 **'부품 설명서(코드)'**만 꼼꼼히 읽어보고 "오, 인텔 최고급 칩 썼으니 절대 안 고장 나겠네!"라고 착각하는 것입니다. 막상 컴퓨터 전원을 켰더니 쿨러가 반대로 돌아가서 5분 만에 불타버립니다(논리 결함). 설명서(SAST)는 부품의 퀄리티만 보장할 뿐, 컴퓨터가 켜진 뒤에 부품들이 엉켜서 내는 폭발(DAST, 모의해킹)은 절대 보장해 주지 않습니다.
Ⅴ. 기대효과 및 결론
정량/정성 기대효과
| 구분 | 오픈 직전 모의 해킹(DAST)에 의존한 폭포수 방어 (AS-IS) | IDE 및 CI/CD 파이프라인 내 SAST 자동화 (TO-BE) | 개선 효과 |
|---|---|---|---|
| 정량 | 배포 후 발견된 인젝션 버그 1건당 수정 비용 1천만 원 | 코딩 찰나에 IDE에서 빨간줄 띄워 수정 비용 0원 | 결함 수정(Patch)에 들어가는 매몰 비용(Cost) 99% 극적 절감 |
| 정량 | 보안팀 인력 5명이 소스코드 눈으로 읽느라 1달 지연 | 젠킨스(Jenkins) 기계가 200만 줄 스캔 10분 컷 | 시큐어 코딩 코드 리뷰(Code Review) 리드타임 100배 가속 |
| 정성 | "해커가 뚫으면 그제야 고치자"는 수동적 사후 대처 | "오타 내면 빌드가 터진다"는 능동적 예방 체질 | 개발자들의 코딩 습관 자체를 개조시키는 조직적 보안 교육 효과 |
미래 전망
- AI 융합 시맨틱 분석 (Semantic SAST with LLM): 낡은 SAST는 정규식이나 AST 기반의 딱딱한 규칙에 얽매여 멍청한 오탐을 뿜어냈다. 미래의 SAST는 ChatGPT 같은 거대 언어 모델(LLM)이 코드를 맥락(Context)적으로 이해하고 씹어먹는다. "어? 문법은 맞는데, 이 변수 이름 보니까 비밀번호 초기화하는 건데 인증 로직이 통째로 빠졌네?"라며 기존 SAST는 절대 못 잡던 '비즈니스 로직(설계) 결함'까지 인간 아키텍트처럼 직관적으로 지적해 내는 초지능형 정적 분석기가 시장을 뒤엎을 것이다.
- SCA, DAST와의 완벽한 삼위일체 플랫폼 (ASPM): SAST 툴 하나만 따로 노는 시대는 끝났다. 소스코드를 분석(SAST)하다가 오픈소스 폭탄(SCA)도 같이 잡아내고, 서버가 뜨면 밖에서 폭탄을 던지며(DAST) "아까 코드 스캔할 땐 몰랐는데 밖에서 때려보니 여기 뚫리더라!"라며 3개의 툴이 서로의 단점과 오탐을 교차 검증하여 1개의 완벽한 보안 리포트로 합쳐 내는 애플리케이션 보안 형상 관리(ASPM) 대통합 시대가 완성 중이다.
참고 표준
- SonarQube (소나큐브): 전 세계 젠킨스(CI/CD) 파이프라인의 절반을 장악한, SAST(보안)와 코드 스멜(품질)을 동시에 때려잡아 주는 거룩한 오픈소스 정적 분석의 왕.
- OWASP Top 10: SAST 로봇들의 머릿속에 들어있는 '절대 채점표'. 스캐너들은 무조건 이 10가지 족보(SQLi, XSS 등)를 기준으로 수만 줄의 코드를 채점하고 빌드를 폭파할 권한을 부여받는다.
정적 애플리케이션 보안 테스팅(SAST)은 데브옵스(DevOps) 파이프라인 위에 세워진 **'가장 차갑고 잔인한 로봇 기요틴(단두대)'**이다. 개발자가 3일 밤을 새워 화려한 1만 줄의 코드를 짰더라도, 띄어쓰기 하나 잘못해서 SQL 바인딩 룰(CWE-89)을 어겼다면 젠킨스에 물린 SAST는 자비 없이 Build Failed를 띄우며 코드 전체를 휴지통에 처박아버린다. 기술사는 개발자의 피곤함과 읍소에 타협하여 이 기계의 전원을 끄는 멍청한 실수를 저지르면 안 된다. 기계의 까다로운 잔소리(오탐)를 매일 아침 정교하게 튜닝(Rule-tuning)해 주면서, 수십 명의 개발자가 무의식적으로 치는 단 1바이트의 오타조차 운영 서버의 강을 넘지 못하게 완벽한 그물망을 던져두는 독재자, 그것이 자동화된 시프트 레프트(Shift-Left)의 정수를 이끄는 진정한 보안 아키텍트다.
- 📢 섹션 요약 비유: SAST는 글씨 교정을 넘어선 **'마약 탐지견'**입니다. 컨베이어 벨트(파이프라인) 위로 개발자가 만든 10만 개의 예쁜 가방(코드)이 지나갑니다. 경찰(보안팀)이 가방을 다 열어보는 건 불가능합니다. 훈련된 탐지견(SAST) 한 마리를 벨트 옆에 묶어둡니다. 탐지견은 가방을 열지(실행) 않고도 밖에서 냄새(텍스트 패턴)만 킁킁 맡고 "멍멍! 저기 SQL 인젝션 폭탄 냄새난다!"라고 정확히 주저앉습니다. 탐지견이 가끔 햄버거 냄새를 마약으로 착각(오탐)해서 짖더라도, 공항 검색대를 자동화하려면 절대적으로 믿고 가야 하는 최고의 후각 파트너입니다.
📌 관련 개념 맵 (Knowledge Graph)
| 개념 명칭 | 관계 및 시너지 설명 |
|---|---|
| DAST (동적 분석 도구) | SAST의 영혼의 쌍둥이 라이벌. SAST가 코드를 열어보고 점쟁이처럼 예언한다면, DAST는 밖에서 대포를 쏴보며 진짜 무너지는 놈만 잡아내는 실전 타격가다. (다음 장 492번) |
| SCA (소프트웨어 구성 분석) | SAST가 "내가 친 코드"의 문법을 잡는다면, SCA는 내 코드 뱃속에 들어있는 "남이 친 코드(오픈소스)"의 유통기한과 곰팡이를 잡아내는 특수 탐지견이다. (이전 장 483번) |
| 시프트 레프트 (Shift-Left) | SAST가 존재할 수 있는 철학적 배경. 빌드가 끝난 맨 오른쪽 끝에서 버그를 잡지 않고, 아예 키보드로 코드를 치는 컴파일(왼쪽) 단계에서 싹을 잘라버리는 100배 가성비 절약술. (이전 장 466번) |
| CWE (보안 약점 사전) | SAST 로봇의 머릿속에 들어있는 빅데이터 족보. "이 텍스트 패턴이 들어오면 CWE-89(SQLi) 에러를 띄워라!"라는 채점표가 없으면 기계는 코드를 검사할 수 없다. (이전 장 488번) |
| DevSecOps (데브섹옵스) | SAST 봇을 개발자의 노트북에서 빼내어 젠킨스(Jenkins)라는 거대한 컨베이어 벨트 정중앙에 융합시켜, 누구도 기계의 검열을 회피하지 못하게 만든 자동화 종착역. |
👶 어린이를 위한 3줄 비유 설명
- 내가 일기장을 예쁘게 다 썼는데, 혹시 선생님(해커)한테 혼날 만한 나쁜 말(취약점)이 있는지 불안했어요.
- 그래서 일기장을 내기 전에 **'맞춤법 검사 로봇'**을 켰죠. 이 로봇은 일기장을 한 번 쓱 읽기만 하더니 "삐빅! 여기에 나쁜 말이 들어있어. 당장 고쳐!"라고 1초 만에 빨간 줄을 그어주었어요.
- 이렇게 프로그램을 켜보지도 않고 코드에 적힌 글씨(텍스트)만 쓱 읽어보고, 숨어있는 해킹 구멍을 족집게처럼 찾아주는 똑똑한 맞춤법 검사기를 **'SAST(정적 분석)'**라고 부른답니다!