IaC 스캐너 간 70% 탐지 격차 확인 및 PQC 보안 공백 분석

Context

TerraGoat라는 취약점 벤치마크 저장소를 통해 IaC 스캐너의 실질적 탐지 능력을 검증함. 특정 벤더의 공식 도구에 의존하는 전략이 실제 보안 노출면의 상당 부분을 간과하게 만드는 구조적 한계를 분석함.

Technical Solution

• Checkov, Trivy, pq-audit 등 서로 다른 탐지 모델을 가진 도구를 교차 배치한 다층 분석 아키텍처 설계
• 단순 CVE 매칭을 넘어 암호화 알고리즘의 생애 주기와 Quantum-era 위협 모델을 반영한 PQC 전용 감사 로직 도입
• package-lock.json 등 불필요한 의존성 파일의 노이즈를 제거하여 Signal-to-Noise Ratio를 최적화한 필터링 프로세스 구축
• 공식 문서에 정의되지 않은 미확인 취약점(Undocumented Findings)을 식별하기 위한 Gap Matrix 분석 체계 적용
• SNDL(Store Now, Decrypt Later) 공격 모델을 기반으로 한 암호화 설정의 미래 지향적 취약점 진단 로직 구현