데브옵스
QueryPie gRPC 통신을 위한 DAST 보안 전략 : ZAP 커스텀 스크립트 적용 사례
두줄요약
gRPC의 바이너리 포맷 때문에 기존 DAST 도구로는 취약점 진단이 어려웠습니다. ZAP 커스텀 스크립트로 인코딩·디코딩과 탐지를 자동화한 사례를 소개합니다.
문제 상황
- gRPC 기반 웹 애플리케이션의 HTTP/2 바이너리 포맷과 Protobuf 직렬화로 인한 DAST 분석 난이도 증가
- 일반 프록시·DAST 도구에서 요청/응답 내용을 직관적으로 읽거나 수정하기 어려운 한계
- 인코딩·디코딩을 수동 반복해야 하는 비효율로 취약점 진단 생산성 저하
해결 방법
- ZAP 커스텀 스크립트로 gRPC 요청의 디코딩, 페이로드 삽입, 재인코딩 자동화
- grpc-pentest-suite의 명령어를 스크립트 흐름에 연결해 패킷 변조 시점별 작업 구성
- 응답 디코딩과 취약점 탐지 조건을 결합해 ZAP 경고 탭 알림 자동화
적용해볼 점
- gRPC와 같이 바이너리 직렬화가 있는 대상은 DAST 도구의 기본 기능보다 커스텀 자동화 전략 검토
- CI/CD 파이프라인에 형식적 스캔이 아닌 실제 인코딩·디코딩 대응 로직 반영
- 취약점별 판단 기준을 명확히 정의해 자동 탐지 정확도 향상
