핵심 인사이트 (3줄 요약)
- 본질: PASTA는 비즈니스 목표에서 시작해 공격 시뮬레이션과 위협 분석까지 이어지는 7단계 위협 모델링 프레임워크다.
- 가치: STRIDE처럼 위협을 분류하는 것에서 끝나지 않고, 위험 영향과 공격 경로를 단계적으로 분석한다.
- 판단: PASTA는 보안팀만의 도구가 아니라, 아키텍처와 비즈니스 리스크를 함께 보는 협업 프레임이다.
Ⅰ. 개요 및 필요성
보안은 공격을 나열하는 것만으로 끝나지 않는다. 어떤 자산이 비즈니스에 중요한지부터 봐야 한다.
PASTA는 비즈니스 중심으로 시작해 위협과 공격 시나리오를 단계적으로 연결한다.
- 📢 섹션 요약 비유: 먼저 집에서 가장 소중한 물건을 정하고, 그다음 누가 어떻게 훔칠지 상상하는 일이다.
Ⅱ. 아키텍처 및 핵심 원리
Business Objectives
↓
Technical Scope
↓
Threat Analysis
↓
Attack Simulation
↓
Risk Management
| 단계 | 역할 |
|---|---|
| 1 | 비즈니스 목표 정의 |
| 2 | 기술 범위 정의 |
| 3 | 애플리케이션 분해 |
| 4 | 위협 분석 |
| 5 | 취약점 분석 |
| 6 | 공격 시뮬레이션 |
| 7 | 위험 및 대응 결정 |
PASTA는 단순 체크리스트가 아니라 공격자 관점과 비즈니스 관점을 연결하는 분석 흐름이다.
- 📢 섹션 요약 비유: 퍼즐의 큰 그림부터 맞춘 뒤, 조각을 하나씩 놓는 방식이다.
Ⅲ. 비교 및 연결
| 프레임 | 초점 | 특징 |
|---|---|---|
| STRIDE | 위협 분류 | 빠른 분류 |
| DREAD | 위험 점수화 | 우선순위 |
| PASTA | 공격 시뮬레이션 | 비즈니스 연계 |
PASTA는 보안 평가를 더 구조적으로 만들며, 설계와 운영 리스크를 함께 바라보게 한다.
- 📢 섹션 요약 비유: 위험 이름표를 붙이는 것보다, 실제로 어떻게 다칠 수 있는지 연극처럼 재현하는 것이다.
Ⅳ. 실무 적용 및 기술사 판단
체크리스트
- 비즈니스 목표부터 정의했는가?
- 공격 경로와 자산을 함께 봤는가?
- 취약점과 위험을 연결했는가?
- 대응책이 아키텍처에 반영되었는가?
- 결과를 팀 간 합의로 남겼는가?
안티패턴
- 기술만 보고 시작하는 설계
- 위협만 나열하고 시뮬레이션하지 않는 설계
- 비즈니스 영향도를 고려하지 않는 설계
- 보안팀 단독 문서로 끝내는 설계
기술사 관점에서는 PASTA를 "보안 프로세스"가 아니라 "리스크 중심 설계 대화"로 봐야 한다.
- 📢 섹션 요약 비유: 그냥 무서운 이야기를 모으는 게 아니라, 실제로 어디가 위험한지 현장 답사를 하는 셈이다.
Ⅴ. 기대효과 및 결론
PASTA는 보안과 비즈니스를 연결해 더 현실적인 대응을 돕는다. 그래서 대규모 시스템의 보안 설계에 유용하다.
결론적으로 PASTA는 공격 시뮬레이션 기반의 체계적 위협 분석 프레임이다.
- 📢 섹션 요약 비유: 위험한 부분을 직접 걸어 보며 점검하는 길 찾기다.
관련 개념 맵
Business Goal
↓
PASTA
↓
Attack Simulation
↓
Risk Response
관련 키워드 및 발전 흐름도
STRIDE
↓
DREAD
↓
PASTA
↓
Risk-based Security
어린이를 위한 3줄 비유 설명
어디가 중요한지 먼저 정해요.
그다음 누가 어떻게 해칠 수 있는지 상상해요.
PASTA는 그런 보안 생각 순서예요.