무료 웹 취약점 점검 툴 7개(OWASP ZAP·Nikto·sqlmap·Wapiti·Arachni·Wfuzz·Burp Community)는 목적이 제각각이라 잘못 고르면 시간만 날린다. 각 도구의 GitHub stars·라이선스·릴리스 주기·한국어 지원을 직접 비교하면, 입문자는 ZAP, SQLi 확인은 sqlmap, API 퍼징은 Wfuzz, 수동 분석은 Burp Community가 적합하다. 한국어 리포트가 필요하면 7개 모두 한계가 있어서 클라우드형 도구를 검토해야 한다.
수동 점검의 한계, 유료 솔루션의 부담
코드 리뷰나 수동 테스트만으로 웹 취약점을 다 잡는 건 현실적으로 불가능하다. OWASP Top 10 2021에 명시된 취약점 항목만 놓고 봐도 자동화 도구 없이는 커버리지 확보 자체가 어렵다. 보안 실무 10년, 레드팀 운영 경험을 바탕으로 이 툴들을 직접 돌려본 결과를 정리했다.
비교 대상 7개 — 각각 뭘 하는 툴인가
OWASP ZAP (Zed Attack Proxy)
OWASP에서 관리하는 오픈소스 DAST 도구다. GitHub zaproxy/zaproxy 리포지터리는 현재 1만 개 이상의 stars를 보유하고 있다. GUI가 있어서 처음 접근하기가 그나마 낫다. 라이선스는 Apache 2.0.
Nikto
Perl로 만들어진 웹 서버 스캐너다. sullo/nikto 리포지터리는 수천 개 stars를 유지하고 있으며 2024년에도 소규모 업데이트가 지속됐다. 라이선스는 GPL v2. 속도는 빠르지만 False positive가 많고, SQLi나 XSS 탐지는 약하다.
sqlmap
SQL Injection 탐지와 익스플로잇에 특화된 도구다. sqlmapproject/sqlmap은 수만 개 stars 수준으로 오픈소스 보안 도구 중 최상위권이다. 라이선스는 GPL v2.
Wapiti
Python 기반 DAST 스캐너다. XSS, SQL Injection, SSRF, XXE 등 다양한 취약점 유형을 다룬다. CLI 전용 도구로 자동화 스크립트에 붙이기 쉽다. 라이선스는 GPL v2.
Arachni
Ruby 기반이며 현재 archived 상태다. 마지막 릴리스는 2016년이고 그 이후로 개발이 사실상 중단됐다. 신규 프로젝트 도입을 권하기 어렵다.
Wfuzz
Web fuzzer다. URL 파라미터, 헤더, 쿠키, POST 바디 어느 위치든 원하는 값을 넣어서 반응을 확인할 수 있다. 라이선스는 GPL v2.
Burp Suite Community Edition
웹 보안 테스트 도구의 사실상 표준이다. Community에서는 자동 스캔이 없고 수동 분석 도구 중심이다.
"Penetration testing tools like Burp Suite are designed to be used by professionals — misuse against systems you don't own is illegal." — PortSwigger, Burp Suite Documentation
7개 도구 비교표
| 도구명 | GitHub stars | 릴리스 주기 | 라이선스 | 한국어 지원 | 주요 한계 |
|---|---|---|---|---|---|
| OWASP ZAP | 약 1만+ | 분기 1~2회 | Apache 2.0 | UI 일부 | 학습곡선 높음 |
| Nikto | 수천 | 비정기 | GPL v2 | 없음 | False positive 多 |
| sqlmap | 수만 (최상위권) | 월 1~2회 | GPL v2 | 없음 | SQLi 전용 |
| Wapiti | 수천 | 분기 1~2회 | GPL v2 | 없음 | 커뮤니티 작음 |
| Arachni | 수천 (archived) | 2016년 이후 없음 | Arachni Public | 없음 | 개발 중단 |
| Wfuzz | 수천 | 비정기 | GPL v2 | 없음 | 범용 스캐너 아님 |
| Burp Community | 공식 배포 | 분기 1회+ | 독점 (무료 사용) | 없음 | 자동 스캔 없음 |
시나리오별 추천
처음 시작 — 도구가 낯선 경우
OWASP ZAP부터 시작하는 게 무난하다. GUI가 있어서 "자동 스캔" 버튼 하나로 기본 점검을 돌릴 수 있다.
SQL Injection만 빠르게 확인
sqlmap -u "https://example.com/page?id=1" --level=1 --risk=1 --batch
API 중심 서비스
wfuzz -c -z file,/usr/share/wordlists/dirb/common.txt --hc 404 https://api.example.com/FUZZ
한국어 리포트가 필요한 경우
솔직히 말하면, 위 7개 도구 중 한국어 리포트를 제대로 뽑아주는 것은 없다. 리포트 자체는 전부 영어다. 이 부분이 오픈소스 도구의 가장 현실적인 한계다.
자주 묻는 질문
OWASP ZAP과 Burp Community 중 입문자에게 뭐가 더 적합한가요?
처음이라면 ZAP이 낫다. GUI가 있고 "자동 스캔" 버튼 하나로 기본 점검을 돌릴 수 있어서 취약점 개념을 익히면서 시작하기 좋다.
sqlmap을 운영 서버에 돌려도 되나요?
--level=1 --risk=1로 낮게 설정하고, 트래픽이 적은 시간대에 실행하는 게 맞다. 본인 소유 서버나 명시적 허가를 받은 서버에만 실행해야 한다.
Arachni는 2026년에도 쓸 수 있나요?
기술적으로는 가능하지만 권하지 않는다. 2016년 이후 보안 업데이트가 없어서 최신 웹 기술에 대한 대응이 안 된다.
무료 툴로 OWASP Top 10 전체를 커버할 수 있나요?
어렵다. A01, A04, A08 같은 항목은 비즈니스 로직과 맞닿아 있어서 수동 점검 없이는 자동화 도구로 잡기 힘들다.
한국어 리포트를 자동으로 받을 수 있는 무료 도구가 있나요?
현재 위 7개 오픈소스 도구 중 한국어 리포트를 제대로 지원하는 건 없다. 한국어 리포트가 필요하다면 CodeScan 같은 클라우드형 도구를 검토하거나, 영문 결과물을 번역해야 한다.
뭘 써야 하는지 한 줄로 정리하면
배우고 싶으면 ZAP이나 Burp Community. SQLi 확인하고 싶으면 sqlmap. 빠른 서버 점검 훑기는 Nikto. API 퍼징은 Wfuzz. 리포트가 필요하거나 자동화된 주기 점검이 목표라면 클라우드형을 보는 게 맞다.
URL 한 줄로 30초 안에 기본 점검을 돌려보고 싶다면 → codescan.kr에서 무료 점검 시작하기