웹취약점 점검

웹취약점 점검은 결론부터 말씀드리면 품질관리(Quality Management) 활동인 동시에 보안관리(Security Management) 활동이라는 두 가지 성격을 모두 가지고 있습니다.

다만, 어떤 '관점'에서 보느냐에 따라 강조되는 지점이 다릅니다.

---

1. 품질관리(QA) 관점: "결함 없는 소프트웨어"

품질관리 측면에서 웹취약점 점검은 **비기능적 요구사항(Non-functional Requirements)**을 검증하는 단계입니다.

• 정의: 소프트웨어가 설계된 대로 안전하게 작동하는지, 즉 '보안 결함'이라는 버그가 없는지 확인하는 과정입니다.
• 목적: 사용자에게 전달되기 전 제품의 완성도를 높이는 것입니다.
• 특징: 개발 생명주기(SDLC) 내에서 테스트의 일환으로 수행되며, 최근에는 DevSecOps의 흐름에 따라 개발 단계에서 수시로 점검하는 추세입니다.

2. 보안관리 관점: "자산 보호와 리스크 대응"

보안관리 측면에서 취약점 점검은 **위험 식별 및 완화(Risk Mitigation)**를 위한 필수 프로세스입니다.

• 정의: 외부 공격자가 이용할 수 있는 침투 경로를 사전에 파악하여 차단하는 방어 활동입니다.
• 목적: 데이터 유출, 서비스 중단 등 실질적인 보안 사고와 비즈니스 손실을 막는 것입니다.
• 특징: 운영 중인 시스템에 대해 정기적으로 수행하거나(상시 보안 점검), 컴플라이언스(ISMS, PCI-DSS 등) 준수를 위해 수행됩니다.

---

비교 요약

구분	품질관리(Quality Assurance)	보안관리(Security Management)
핵심 키워드	소프트웨어 결함(Bug) 제거	보안 위협(Threat) 차단
인식 방식	"완성도 높은 제품을 만들자"	"우리 회사의 자산을 지키자"
수행 시점	주로 개발/배포 전 테스트 단계	배포 전은 물론, 운영 중에도 정기적 수행
PMBOK 연관	품질 통제(Control Quality)	리스크 대응(Risk Response)

---

결론

실무적으로는 보안관리 부서가 주관하여 점검을 수행하고, 발견된 취약점은 품질관리(QA) 프로세스에 태워 개발팀이 수정하는 방식으로 협업이 이루어집니다. 따라서 "보안 기술을 활용한 품질 검증 활동"이라고 이해하시는 것이 가장 정확합니다.