ASVS 5.0 기반 200개 이상의 CAPEC 매핑을 통한 Gamified Threat Modeling 체계 구축

Context

단순한 AI 코드 스캐닝 위주의 Shift-left 보안 방식이 설계 단계의 근본적 보안 결함을 해결하지 못하는 한계 직면. 현대적 개발 환경의 LLM, Agentic AI, Cloud 등 기술 스택 다변화에 따른 유연한 Threat Modeling 프레임워크 필요성 증대.

Technical Solution

• OWASP ASVS 5.0 요구사항과 200개 이상의 CAPEC(Common Attack Pattern Enumeration and Classification)을 1:N으로 매핑한 지식 베이스 설계
• Website App Edition과 Companion Edition(LLM, Cloud, DevOps 등)의 모듈형 구조를 통한 도메인 특화 Threat Modeling 지원
• STRIDE, Mitre Atlas, OWASP AISVS 등 다수 보안 표준을 통합 매핑하여 분석 일관성 확보
• 분석 프로세스의 자동화를 위한 전용 API를 제공하여 Threat Modeling 및 요구사항 분석의 programmatic 처리 가능케 함
• 기술 스택에 종속되지 않는 Technology-agnostic 설계를 통해 Agile 및 다양한 개발 프로세스에 즉시 적용 가능한 메커니즘 구현