데브옵스
QueryPie gRPC 통신을 위한 DAST 보안 전략 : ZAP 커스텀 스크립트 적용 사례
두줄요약
gRPC의 바이너리 특성 때문에 기존 DAST 도구로는 취약점 진단이 어려웠습니다. ZAP 커스텀 스크립트로 인코딩·디코딩을 자동화해 진단 정확도와 효율을 높였습니다.
문제 상황
- gRPC의 HTTP/2 바이너리 포맷과 Protobuf 직렬화로 인해 프록시 및 DAST 도구에서 요청·응답 분석과 변조가 어려운 상황
- Base64 디코딩만으로는 원문 복원이 되지 않아 수동 인코딩/디코딩 반복과 취약점 진단 비용 증가
- CI/CD에 DAST를 적용하더라도 형식적 스캔에 그치면 실제 취약점 탐지 한계 발생
해결 방법
- ZAP 커스텀 스크립트로 gRPC 요청을 디코딩한 뒤 페이로드를 삽입하고 다시 인코딩해 전송하는 자동화 구성
- gRPC 서버 응답도 디코딩해 분석하며, 탐지 조건에 따라 ZAP 경고 탭에 알림 발생
- grpc-pentest-suite 명령어와 ECMAScript(Graal.js) 스크립트를 결합해 로컬 작업 실행과 진단 흐름 자동화
