- 모바일 앱 분석:
JADX, MobSF, Frida 등을 활용하여 안드로이드 앱의 소스 코드 및 리소스를 분석하였다.
발견된 취약점은 각 앱의 앱 지원 메일로 제보하였다.
- 웹 서비스 이관 및 CI/CD 구축:
기존 Apache, PHP, MySQL로 구성된 웹 서비스를 Docker Compose 기반으로 이관하였다.
GitHub Actions를 사용하여 PR 발생 시 정적 분석이 자동 수행되도록 구성하였다.
Merge 시에는 SonarQube 분석 결과를 바탕으로 보안 정책 게이트를 통과해야만 배포가 진행되도록 설정하였다.
정상적으로 배포된 후에는 Docker 이미지 빌드 및 Trivy 스캔이 수행되도록 하였다.
스캔 결과 Policy Gate를 통과할 경우 ZAP를 활용한 동적 분석을 수행한다.
PHP 코드의 일부는 정적 분석 도구에서 완전한 커버리지를 제공하지 못함.