중요:

이 실습은 데스크톱/노트북에서만 완료해야 합니다.

실습당 5회만 시도할 수 있습니다.

첫 시도에 모든 문제를 맞히지 못하거나 학습을 다시 해야 하는 것은 흔한 일이며 학습 과정의 일부입니다.

실습이 시작되면 타이머를 일시중지할 수 없습니다. 1시간 30분이 지나면 실습이 종료되므로 다시 시작해야 합니다.

자세한 내용은 실습에 관한 기술적 도움말을 참고하세요.

활동 개요

취약점을 식별하고 해결 기법을 구현하는 것은 다양한 시스템과 애플리케이션의 보안과 안정성을 보장하는 데 매우 중요합니다. 많은 애플리케이션과 시스템이 개인 식별 정보, 재무 기록, 지식 재산과 같은 민감한 정보를 처리합니다. 취약점을 식별하면 무단 액세스 및 잠재적인 보안 침해로부터 민감한 정보를 보호하는 데 도움이 됩니다. 개발 프로세스 초기에 취약점을 해결하는 것이 나중에 보안 침해에 대응하는 것보다 일반적으로 비용 효율적입니다. 취약점을 해결하는 데 드는 비용은 처음에 취약점을 방지하는 데 드는 비용보다 훨씬 높은 경우가 많습니다.

보안 분석가로서 정기적으로 취약점을 스캔하면 악의적인 공격이 발생하기 전에 약점을 식별하고 해결하여 잠재적인 위협을 선제적으로 완화할 수 있습니다. 애플리케이션의 공격 표면에 대한 인사이트를 제공하여 잠재적인 악용 경로를 파악하고 개선이 필요한 중요한 영역의 우선순위를 정할 수 있도록 지원합니다.

이 실습에서는 취약한 애플리케이션을 설정하고 실행하는 방법뿐만 아니라 취약점을 스캔하는 방법도 알아봅니다.

시나리오

Cymbal Bank는 기업 고객을 위해 새로운 뱅킹 애플리케이션을 개발했으며, 이 애플리케이션은 새로운 클라우드 인프라에서 호스팅 및 배포될 예정입니다. 정보보안 최고책임자(CISO)인 하비에르는 이 애플리케이션이 출시되어 고객에게 제공되기 전에 보안을 우선시하고 싶어 합니다. 팀장인 클로이는 이 새로운 애플리케이션의 애플리케이션 취약점을 식별하고 완화하는 업무를 여러분에게 맡겼습니다. Google Cloud의 Web Security Scanner를 사용하여 교차 사이트 스크립팅(XSS)이라고 하는 상위 OWASP® 웹 애플리케이션 취약점과 관련된 취약점을 애플리케이션에서 스캔합니다.

이 작업을 수행하는 방법은 다음과 같습니다. 먼저, 고정 IP 주소를 만들고 가상 머신을 실행합니다. 그런 다음 취약한 애플리케이션을 배포합니다. 다음으로 애플리케이션을 설정하고 실행합니다. 그런 다음 애플리케이션에 액세스하여 스캔합니다. 마지막으로 취약점을 수정하고 애플리케이션을 다시 스캔합니다.

설정

'실습 시작'을 클릭하기 전에

다음 안내를 확인하세요. 실습에는 시간 제한이 있으며 일시중지할 수 없습니다. 실습 시작을 클릭하면 타이머가 시작됩니다. 이 타이머는 Google Cloud 리소스를 사용할 수 있는 시간이 얼마나 남았는지를 표시합니다.

이 실무형 실습을 통해 시뮬레이션이나 데모 환경이 아닌 실제 클라우드 환경에서 직접 실습 활동을 진행할 수 있으며, 이를 위해 실습 시간 동안 Google Cloud에 로그인하고 액세스하는 데 사용할 수 있는 새로운 임시 사용자 인증 정보가 제공됩니다.

이 실습을 완료하려면 다음을 준비해야 합니다.

• 표준 인터넷 브라우저 액세스 권한(Chrome 브라우저 권장)

참고: 이 실습을 실행하려면 시크릿 모드 또는 시크릿 브라우저 창을 사용하세요. 개인 계정과 학습자 계정 간의 충돌로 개인 계정에 추가 요금이 발생하는 일을 방지해 줍니다.

• 실습을 완료하기에 충분한 시간. 실습을 시작하고 나면 일시중지할 수 없습니다.

참고: 계정에 추가 요금이 발생하지 않도록 하려면 개인용 Google Cloud 계정이나 프로젝트가 이미 있어도 이 실습에서는 사용하지 마세요.

실습을 시작하고 Google Cloud 콘솔에 로그인하는 방법

1. 실습 시작 버튼을 클릭합니다. 왼쪽에는 다음과 같은 항목이 포함된 실습 세부정보 패널이 있습니다.

   • 남은 시간
   • Google Cloud 콘솔 열기 버튼
   • 이 실습에 사용해야 하는 임시 사용자 인증 정보
   • 필요한 경우 실습 진행을 위한 기타 정보
   참고: 실습 비용을 결제해야 하는 경우 결제 수단을 선택할 수 있는 팝업이 열립니다.

2. Google Cloud 콘솔 열기를 클릭합니다(Chrome 브라우저를 실행 중인 경우 마우스 오른쪽 버튼으로 클릭하고 시크릿 창에서 링크 열기를 선택합니다). 새 브라우저 탭에서 로그인 페이지가 열립니다.

   도움말: 두 개의 탭을 각각 별도의 창으로 나란히 정렬하면 탭 간에 쉽게 전환할 수 있습니다.

   참고: 계정 선택 대화상자가 표시되면 다른 계정 사용을 클릭합니다.

3. 필요한 경우 아래의 Google Cloud 사용자 이름을 복사하여 로그인 대화상자에 붙여넣습니다. 다음을 클릭합니다.

{{{user_0.username | "Google Cloud username"}}}

실습 세부정보 패널에서도 Google Cloud 사용자 이름을 확인할 수 있습니다.

4. 아래의 Google Cloud 비밀번호를 복사하여 시작하기 대화상자에 붙여넣고, 다음을 클릭합니다.

{{{user_0.password | "Google Cloud password"}}}

실습 세부정보 패널에서도 Google Cloud 비밀번호를 확인할 수 있습니다.

중요: 실습에서 제공하는 사용자 인증 정보를 사용해야 합니다. Google Cloud 계정 사용자 인증 정보를 사용하지 마세요. 참고: 이 실습에 자신의 Google Cloud 계정을 사용하면 추가 요금이 발생할 수 있습니다.

5. 이후에 표시되는 페이지를 클릭하여 넘깁니다.
   • 이용약관에 동의하세요.
   • 임시 계정이므로 복구 옵션이나 2단계 인증을 추가하지 마세요.
   • 무료 체험판을 신청하지 마세요.

잠시 후 Cloud 콘솔이 이 탭에서 열립니다.

참고: 왼쪽 상단에 있는 탐색 메뉴를 클릭하면 Google Cloud 제품 및 서비스 목록이 있는 메뉴를 볼 수 있습니다.

작업 1. 가상 머신 실행하기

이 작업에서는 고정 IP 주소를 만들고 가상 머신을 실행하여 취약한 애플리케이션을 실행합니다.

1. Google Cloud 콘솔 제목 표시줄에서 Cloud Shell 활성화() 아이콘을 클릭합니다. 메시지가 표시되면 계속을 클릭합니다.
2. 다음 명령어를 Cloud Shell 터미널에 복사합니다.

gcloud compute addresses create xss-test-ip-address --region={{{project_0.default_region | "REGION"}}}

이 명령어는 리전에 xss-test-ip-address라는 고정 IP 주소를 만듭니다. 이 고정 IP는 취약한 웹 애플리케이션을 스캔하는 데 사용됩니다.

3. Enter 키를 누릅니다.

메시지가 표시되면 승인을 클릭합니다.

4. 다음 명령어를 Cloud Shell 터미널에 복사합니다.

gcloud compute addresses describe xss-test-ip-address \ --region={{{project_0.default_region | "REGION"}}} --format="value(address)"

이 명령어는 생성한 고정 IP 주소를 반환합니다.

5. Enter 키를 누릅니다.
6. 출력에서 IP 주소를 복사하여 메모장에 저장합니다. 이 값은 이후 작업에서 필요합니다.
7. 다음 명령어를 Cloud Shell 터미널에 복사합니다.

gcloud compute instances create xss-test-vm-instance --address=xss-test-ip-address --no-service-account \ --no-scopes --machine-type=e2-micro --zone={{{project_0.default_zone | "ZONE"}}} \ --metadata=startup-script='apt-get update; apt-get install -y python3-flask'

이 명령어는 취약한 애플리케이션을 실행할 VM 인스턴스를 만듭니다.

8. Enter 키를 누릅니다.

참고: 시작 스크립트는 간단한 Python 애플리케이션을 실행하는 데 사용되는 웹 애플리케이션 프레임워크인 python-flask를 설치합니다. 이 애플리케이션은 일반적인 웹 애플리케이션 보안 취약점인 교차 사이트 스크립팅(XSS) 취약점을 보여줍니다.

내 진행 상황 확인하기를 클릭하여 이 작업을 올바르게 완료했음을 확인합니다.

가상 머신 실행하기

작업 2. 취약한 애플리케이션 설정 및 실행

이 작업에서는 취약한 애플리케이션의 웹 애플리케이션 파일을 다운로드하고 추출한 다음 브라우저에서 SSH를 통해 연결하여 애플리케이션을 배포합니다.

먼저 Web Security Scanner가 취약한 애플리케이션에 액세스할 수 있도록 방화벽 규칙을 만듭니다.

1. 다음 명령어를 Cloud Shell 터미널에 복사합니다.

gcloud compute firewall-rules create enable-wss-scan \ --direction=INGRESS --priority=1000 \ --network=default --action=ALLOW \ --rules=tcp:8080 --source-ranges=0.0.0.0/0

이 명령어는 모든 소스 IP 주소에서 웹 애플리케이션에 액세스할 수 있도록 허용하는 방화벽 규칙을 만듭니다. 이를 통해 Web Security Scanner가 취약한 애플리케이션에 액세스하여 스캔을 수행할 수 있습니다.

2. Enter 키를 누릅니다.

다음으로 SSH 연결을 사용하여 VM 인스턴스에 연결합니다.

3. Google Cloud 콘솔에서 탐색 메뉴()를 클릭합니다.
4. Compute Engine > VM 인스턴스를 선택합니다.
5. VM 인스턴스 페이지의 연결 열에서 테스트 인스턴스 옆에 있는 SSH 버튼을 클릭합니다.

그러면 새 브라우저 창에서 VM 인스턴스에 대한 SSH 연결이 열립니다.

6. 브라우저에서 SSH를 통해 VM에 연결하도록 허용할지 묻는 팝업이 표시될 수 있습니다. 승인을 클릭합니다.

이제 웹 애플리케이션 파일의 압축을 풉니다.

7. 다음 명령어를 Cloud Shell이 아닌 브라우저에서 SSH를 통해 연결 페이지에 복사합니다.

gsutil cp gs://cloud-training/GCPSEC-ScannerAppEngine/flask_code.tar . && tar xvf flask_code.tar

이 명령어는 취약한 웹 애플리케이션 파일을 다운로드하고 추출합니다.

8. Enter 키를 누릅니다.

9. 마지막으로 다음 명령어를 브라우저에서 SSH를 통해 연결 페이지에 복사합니다.

python3 app.py

이 명령어는 애플리케이션을 시작합니다.

10. Enter 키를 누릅니다.

애플리케이션이 실행 중임을 나타내는 메시지가 표시됩니다.

참고: 이것은 개발에 사용하기 위해 설치된 웹 애플리케이션이므로 구성 파일과 관련된 취약점이 있을 수 있습니다. 공개 네트워크에서 애플리케이션을 사용하기 전에 테스트하는 것이 중요합니다. 참고: 애플리케이션이 계속 실행되어야 하므로 다음 작업을 수행할 때 브라우저에서 SSH를 통해 연결 페이지를 닫지 마세요.

내 진행 상황 확인하기를 클릭하여 이 작업을 올바르게 완료했음을 확인합니다.

취약한 애플리케이션 설정 및 실행

작업 3. 취약한 애플리케이션에 액세스

이 작업에서는 교차 사이트 스크립팅(XSS)이라는 취약점에 대해 애플리케이션을 테스트합니다. XSS 취약점은 웹브라우저에 제공되는 콘텐츠의 HTML 코드와 같은 악성 스크립트에 의해 악용될 수 있습니다.

1. 애플리케이션이 실행되는 동안 새 브라우저 창을 엽니다.
2. 아래 URL을 브라우저 탭에 복사하고 <YOUR_EXTERNAL_IP>를 작업 1에서 메모장에 저장한 VM의 고정 IP 주소로 바꿉니다.

http://<YOUR_EXTERNAL_IP>:8080

웹 양식이 있는 Cymbal Bank 기업 뱅킹 포털이 표시됩니다.

3. 스크립트 태그를 포함한 다음 HTML 코드를 웹 양식에 복사합니다.

<script>alert('This is an XSS Injection to demonstrate one of OWASP vulnerabilities')</script>

이 코드는 OWASP® 취약점을 삽입합니다.

4. 게시를 클릭합니다.

삽입된 코드는 브라우저에 메시지를 다시 표시했습니다. 이러한 행위 자체는 악의적인 것이 아니지만 공격자는 악용 가능한 애플리케이션에 악성 코드를 도입하여 애플리케이션에서 데이터를 도용하거나 사용자 기기에 멀웨어를 심을 수 있습니다.

알림 창이 열리면서 'OWASP 취약점 중 하나를 보여주는 XSS 삽입입니다.'라는 메시지가 표시됩니다.

작업 4. 애플리케이션 스캔

이 작업에서는 Web Security Scanner를 사용하여 애플리케이션의 취약점을 검사합니다.

먼저, Web Security Scanner API를 사용 설정합니다.

1. Google Cloud 콘솔에서 탐색 메뉴()를 클릭합니다.
2. API 및 서비스 > 사용 설정된 API 및 서비스를 선택합니다. API 및 서비스 페이지가 표시됩니다.
3. + API 및 서비스 사용 설정을 클릭합니다.
4. 검색창에 Web Security Scanner를 입력하고 Enter 키를 누릅니다.
5. Web Security Scanner API를 선택합니다.
6. 사용 설정을 클릭합니다.

이제 애플리케이션에서 취약점을 스캔합니다.

7. Google Cloud 콘솔에서 탐색 메뉴 > 모든 제품 보기()를 클릭합니다.
8. 보안 > Web Security Scanner를 선택합니다.

Web Security Scanner API가 사용 설정된 경우 Cloud Web Security Scanner 페이지에 스캔 구성 세부정보가 표시됩니다.

9. Cloud Web Security Scanner 툴바에서 + 새 스캔을 클릭합니다.

10. 이름 섹션에서 스캔 이름을 교차 사이트 스크립팅 스캔으로 지정합니다.

시작 URL 섹션의 시작 URL 1 필드에는 고정 IP 주소가 미리 입력되어 있어야 합니다.

11. IP 주소 끝에 콜론과 포트 번호 8080을 추가합니다. 시작 URL 1은 다음과 같습니다.

http://<YOUR_EXTERNAL_IP>:8080

12. 시작 URL 2가 있는 경우 삭제합니다.
13. 제외된 URL 섹션에서 인증이 없음으로 설정되어 있고 일정이 사용 안함으로 설정되어 있는지 확인합니다. 다른 모든 필드는 변경하지 않고 그대로 둡니다.
14. 저장을 클릭하여 스캔을 만듭니다.
15. 스캔 실행을 클릭하여 스캔을 시작합니다.
16. 브라우저에서 SSH를 통해 연결 창으로 돌아갑니다.

브라우저에서 SSH를 통해 연결 창에서 Web Security Scanner가 잠재적인 취약점에 대해 가능한 모든 URL을 테스트할 때 생성되는 로그를 확인해야 합니다.

17. 스캔이 완료되면 Google Cloud 콘솔로 돌아갑니다.

참고: 스캔을 완료하는 데 5~10분 정도 걸릴 수 있습니다.

결과 탭에는 교차 사이트 취약점이 표시되어야 하며, 이는 Web Security Scanner가 XSS 취약점을 감지할 수 있음을 보여줍니다.

취약점은 Security Command Center의 취약점 탭에서도 찾을 수 있습니다.

내 진행 상황 확인하기를 클릭하여 이 작업을 올바르게 완료했음을 확인합니다.

애플리케이션 스캔

작업 5. 취약점 해결

이 작업에서는 애플리케이션의 XSS 취약점을 해결하고 새로운 수정사항을 적용하여 애플리케이션을 다시 실행합니다.

현재 취약점을 해결하기 위한 권장사항은 신뢰할 수 없는 사용자 제공 데이터를 검증하고 이스케이프 처리하는 것이며, 이는 해당 OWASP^® 규칙을 가리키기도 합니다.

취약한 애플리케이션의 코드를 편집하여 사용자 제공 데이터를 검증하고 이스케이프 처리하는 코드 줄을 포함하면 됩니다.

1. VM 인스턴스에 연결된 브라우저에서 SSH를 통해 연결 페이지로 돌아갑니다.
2. Ctrl + C를 눌러 실행 중인 애플리케이션을 중지합니다. 또는 '브라우저에서 SSH를 통해 연결' 창의 오른쪽 상단에 있는 키 조합 보내기 아이콘을 클릭하여 CTRL + C 키 조합을 입력할 수 있습니다.

이제 nano 편집기를 사용하여 app.py 파일을 편집합니다.

3. 다음 명령어를 브라우저에서 SSH를 통해 연결 페이지에 복사합니다.

nano app.py

이 명령어는 nano 코드 편집기를 엽니다.

4. Enter 키를 누릅니다.

5. XSS 취약점을 수정하려면 출력 문자열 변수를 검증합니다. 출력 문자열은 사용자가 제공한 웹 양식 입력의 처리된 출력입니다.

애플리케이션이 사용자 입력을 HTML 코드로 수락하지 않고 사용자 입력으로 제공된 특수문자를 이스케이프 처리하도록 합니다. 이렇게 하려면 출력 문자열을 설정하는 두 줄을 찾습니다.

# output_string = "".join([html_escape_table.get(c, c) for c in input_string]) output_string = input_string

6. 첫 번째 줄에서 # 기호를 삭제하고 다음 줄의 시작 부분에 추가합니다(코드를 적절하게 들여쓰기해야 함). 마지막 줄은 다음과 같아야 합니다.

@app.route('/output') def output(): output_string = "".join([html_escape_table.get(c, c) for c in input_string]) # output_string = input_string return flask.render_template("output.html", output=output_string)

7. Ctrl+X 키를 눌러 nano를 종료한 다음 Y 키를 눌러 변경사항을 저장하고 Enter 키를 눌러 변경사항을 저장합니다.
8. 다음 명령어를 브라우저에서 SSH를 통해 연결 터미널에 복사합니다.

python3 app.py

이 명령어는 애플리케이션을 다시 실행합니다.

9. Enter 키를 누릅니다.

내 진행 상황 확인하기를 클릭하여 이 작업을 올바르게 완료했음을 확인합니다.

취약점 해결

작업 6. 웹 애플리케이션 다시 스캔

이 작업에서는 애플리케이션을 다시 스캔하여 취약점이 없는지 확인합니다.

1. Google Cloud 콘솔에서 Cloud Web Security Scanner 페이지로 돌아갑니다.
2. 실행을 클릭하여 스캔을 다시 실행합니다.

참고: 스캔을 완료하는 데 5~10분 정도 걸릴 수 있습니다.

이제 결과 탭에 발견된 취약점이 없다는 메시지가 표시됩니다.

내 진행 상황 확인하기를 클릭하여 이 작업을 올바르게 완료했음을 확인합니다. 이 작업을 완료한 것으로 인정받으려면 스캔이 완료될 때까지 기다려야 합니다.

웹 애플리케이션 다시 스캔

결론

수고하셨습니다.

이 실습을 통해 애플리케이션 취약점을 스캔하는 실무 경험을 쌓았습니다. 보안 분석가의 애플리케이션 취약점 스캔 능력은 잠재적인 약점을 식별하고 해결하며, 위험을 관리하고, 규정 준수 요구사항을 충족하고, 궁극적으로 조직의 애셋과 평판을 보호하기 위한 강력한 보안 상황을 유지하는 데 필수적입니다.

보안 격차를 해소하고 취약점을 해결하면 잠재적인 악용을 방지하고, 보안 사고의 영향을 최소화하며, 업계 규정을 준수하는 데 도움이 될 수 있습니다.

이 실습에서는 선제적 사이버 보안 전략의 기본 측면 중 하나를 완료했습니다.

실습 종료하기

실습을 종료하기 전에 모든 작업을 완료했는지 확인하세요. 준비가 되면 실습 종료를 클릭한 다음 제출을 클릭합니다.

실습을 종료하면 실습 환경에 대한 액세스 권한이 삭제되며, 실습에서 완료한 작업에 다시 액세스할 수 없습니다.

Copyright 2026 Google LLC All rights reserved. Google 및 Google 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표일 수 있습니다.