데브옵스
QueryPie gRPC 통신을 위한 DAST 보안 전략 : ZAP 커스텀 스크립트 적용 사례
두줄요약
gRPC의 바이너리 전송 방식 때문에 기존 DAST 도구로는 진단이 어려웠습니다. ZAP 커스텀 스크립트로 인코딩·디코딩을 자동화해 취약점 식별 효율을 높였습니다.
문제 상황
- gRPC의 HTTP/2 바이너리 포맷과 Protobuf 직렬화로 인해 일반 프록시 및 DAST 도구에서 요청·응답 분석이 어려운 상황
- 수동 인코딩/디코딩 반복 작업으로 취약점 진단 시간이 과도하게 소요되는 문제
- CI/CD에 DAST를 적용하더라도 시리얼라이징·인코딩 환경을 반영하지 못하면 실제 취약점 탐지가 제한되는 한계
해결 방법
- ZAP 커스텀 스크립트로 gRPC 요청을 디코딩해 페이로드를 삽입한 뒤 다시 인코딩해 전송하는 자동화 구성
- gRPC 서버 응답도 디코딩해 분석하는 흐름을 자동화
- 탐지 조건을 정의해 취약점 발견 시 ZAP 경고 탭에 알림을 발생시키는 방식 적용
성능/운영 포인트
- gRPC 인코딩/디코딩과 취약점 식별을 자동화해 진단 생산성 향상
- 로컬 스크립트와 ECMAScript 엔진 활용으로 진단자에게 높은 자유도 제공
- 자사 gRPC 기반 제품의 보안 취약점을 자동 식별·분석·관리하는 운영 방식 제시
