SBS미디어그룹의 수십 개 서브도메인을 매번 수동으로 점검하는 데 한계를 느껴, AI의 도움을 받아 Python 기반 웹 취약점 자동화 스캐너 (천영철 님)

https://www.linkedin.com/posts/072072072yc_cloudymous-share-7445454086466027520-pNzj

SBS미디어그룹의 수십 개 서브도메인을 매번 수동으로 점검하는 데 한계를 느껴, AI의 도움을 받아 Python 기반 웹 취약점 자동화 스캐너를 직접 개발했습니다.

주요 기능
• OWASP 기반 XSS / SQLi / Open Redirect / Path Traversal / IDOR / TLS 취약점 등 점검
• Dalfox · SQLMap · Nuclei · Katana 등 오픈소스 도구를 통합 파이프라인으로 연결
• 로컬 LLM(Ollama) 연동 — 파라미터 자동 추론 및 취약점 2차 검증, 외부 API 비용 없이 사내 인프라에서 동작
• 도메인 크롤링부터 API 엔드포인트 직접 입력(CSV/XLSX 업로드 포함)까지 지원
• 취약점 심각도(HIGH/MEDIUM/LOW) 자동 분류 및 이력 DB 저장
• 발견 즉시 개발자 조치 요청 메일 템플릿 자동 생성 (PoC URL 포함)
• 실시간 스캔 터미널 + 토큰 사용량 모니터링

서비스 영향을 최소화하는 Safe 모드를 기본값으로, 꼭 필요한 기능만 담는 것을 원칙으로 했습니다.
현재 베타 테스트 중으로, 기존에 수동으로 놓쳤던 취약점을 꽤 잘 잡아주고 있습니다.
보안 자동화에 관심 있으신 분들과 이야기 나눠보고 싶습니다