둘 다 필요하지만, 순서가 있다
"보안 점검을 해야 하는데, 자동 스캐너를 돌릴까 전문가한테 맡길까?" 이 질문에 대한 답은 명확하다. 자동 먼저, 수동은 그다음이다.
자동 스캔으로 잡을 수 있는 기본 취약점을 먼저 제거하고, 그 위에 수동 점검으로 비즈니스 로직 취약점을 찾는 것이 가장 효율적이다.
자동 스캔: 빠르고, 저렴하고, 반복 가능
| 항목 | 자동 스캔 |
|---|---|
| 시간 | 30초~5분 |
| 비용 | 무료~월 수만원 |
| 범위 | 보안 헤더, SSL, 포트, API 키 노출, 디렉토리 노출 등 표준 항목 |
| 장점 | 즉시 실행, 배포마다 반복, 기준선(baseline) 확보 |
| 한계 | 비즈니스 로직 취약점 탐지 불가 (결제 조작, 권한 우회 등) |
수동 점검(모의해킹): 깊고, 정확하고, 비싸다
| 항목 | 수동 점검 |
|---|---|
| 시간 | 3일~2주 |
| 비용 | 200만~2000만원 |
| 범위 | 비즈니스 로직, 인증/인가 우회, 결제 조작, 데이터 유출 시나리오 |
| 장점 | 맥락을 이해한 심층 분석, 실제 공격 시나리오 검증 |
| 한계 | 비용 높음, 시간 소요, 반복 실행 어려움 |
언제 무엇을 써야 하나
자동 스캔이 적합한 경우
- 배포 직후 기본 보안 상태 확인
- 주기적 모니터링 (매주/매월)
- 초기 스타트업, 예산이 제한된 경우
- CI/CD 파이프라인에 통합할 때
- SSL 만료, 보안 헤더 변경 감지
수동 점검이 필요한 경우
- 결제, 금융 서비스를 운영할 때
- 개인정보를 대량으로 처리할 때
- ISMS, ISO 27001 인증이 필요할 때
- 자동 스캔에서 발견된 취약점을 심층 분석할 때
- 비즈니스 로직(할인, 포인트, 권한) 검증이 필요할 때
실전 권장 순서
- 자동 스캔으로 기준선 확보 — 기본 취약점 제거
- 발견된 취약점 수정 — 보안 헤더, SSL, 포트 등
- 재스캔으로 수정 확인 — 점수 변화 확인
- 필요시 수동 점검 의뢰 — 비즈니스 로직 심층 분석
대부분의 웹사이트는 1~3단계만으로도 공격 표면의 80%를 줄일 수 있다. 수동 점검 비용이 부담되면, 자동 스캔을 주기적으로 돌리는 것만으로도 큰 차이를 만든다.
첫 번째 단계: 자동 스캔
URL만 입력하면 17개 보안 항목을 30초 안에 점검한다. 보안 헤더, SSL, 포트, API 키 노출, 디렉토리 접근까지 한 번에 확인.