오아시스스토리 블로그
Burp Suite · 2026-02-03

범위 설정과 사이트맵 관리로 스캔 효율 향상

Burp 스코프 설정과 사이트맵 관리를 통해 불필요한 트래픽을 줄이고 정확한 취약점 도출을 돕는 스캔 최적화 전략

작성일 : 2026-02-03 ㆍ 작성자 : 관리자
post
목차

서론: 왜 범위와 사이트맵이 중요한가

웹 애플리케이션 스캐닝에서 범위(scope) 설정과 사이트맵 관리는 성능과 정확도에 직접 영향을 미친다. 대상이 명확하지 않으면 스캐너는 불필요한 페이지를 탐색하고, 결과는 노이즈로 가득 찬다. 반대로 적절히 범위를 좁히면 스캔 시간이 줄고 오탐(False Positive)과 누락(False Negative)이 줄어든다. 이 글에서는 Burp를 기준으로 실무에서 바로 적용 가능한 원칙과 절차를 설명한다.

범위 설정의 기본 원칙

정확한 타깃 정의

첫 번째로 테스트 대상의 도메인, 서브도메인, 경로를 명확히 정리한다. 외부 서비스나 CDN, 서드파티 API 등은 일반적으로 스캔 범위에서 제외한다. 범위를 좁히면 스캐너가 집중해야 할 영역이 명확해진다.

허용 목록과 차단 목록

허용(Include) 목록에는 검사할 도메인과 경로를 넣고, 차단(Exclude) 목록에는 테스트에서 제외할 패턴을 등록한다. 예를 들어 내부 관리자 페이지 또는 로그인 리디렉션 흐름은 별도 정책으로 처리한다. Burp의 스코프 설정은 이 두 목록을 조합해 사용한다.

Burp 스코프 설정 실제 절차

1. 기본 도메인 등록

  • Target → Scope에서 대상 도메인 추가
  • 프로토콜(http/https), 포트, 서브도메인을 정확히 입력

2. Include 규칙 세분화

동적 페이지와 정적 리소스를 구분해 포함한다. 예를 들어 API 엔드포인트는 /api/로 묶고, 관리 인터페이스는 별도 규칙으로 분류한다.

3. Exclude 규칙으로 잡음 차단

로그인 페이지나 이미지, 외부 광고 도메인 등 스캔 대상이 아닌 항목은 정규식으로 제외한다. 이는 스캔 성능과 결과 품질에 직접적인 개선을 가져온다.

Burp 사이트맵 관리 전략

사이트맵 구성 원칙

사이트맵은 실제로 발견된 URL의 집합이다. 이를 체계적으로 정리하면 우선순위를 정하고, 중복을 제거하며, 중요 경로를 우선 스캔할 수 있다. 다음 항목을 기준으로 사이트맵을 구성한다.

  • 업무 중요도(결제, 인증 등)
  • 입력 포인트 존재 여부(파라미터, POST body 등)
  • 이전 스캔에서 취약점이 발견된 영역

실무 팁: 태그와 주석 활용

Burp의 사이트맵 항목에 태그를 붙여 분류하면 자동 스캔에서 필터로 사용하기 편리하다. 예를 들어 "auth", "api", "admin" 같은 태그를 붙이면 스캔 정책을 상황에 맞게 적용하기 쉽다.

스캔 범위 최적화 단계별 절차

아래 절차는 Burp 스캔 범위 최적화를 위한 실무 체크리스트다.

  • 스텝 1: 목표 서비스와 제외 대상을 문서화
  • 스텝 2: Burp에 Include/Exclude 규칙 등록
  • 스텝 3: 사이트맵을 정리하고 태그로 분류
  • 스텝 4: 소규모 테스트 스캔으로 규칙 검증
  • 스텝 5: 전체 스캔 실행 후 결과 리뷰 및 규칙 보완

구체적 예시

간단한 Exclude 정규식 및 스코프 규칙 예시는 다음과 같다. Burp의 스코프 Exclude에 아래 패턴을 추가하면 이미지, 정적 자원, 외부 도메인을 자동으로 배제할 수 있다.

.*\.(png|jpg|jpeg|gif|css|js)$
https?://(fonts|cdn)\.examplecdn\.com/.*
https?://external-service\.com/.*

또한 특정 경로만 포함하려면 아래와 같은 Include 규칙을 사용한다.

https?://www\.targetsite\.com/api/.*
https?://admin\.targetsite\.com/.*

성능과 정확도 균형 맞추기

범위를 너무 좁히면 일부 취약점이 누락될 수 있다. 반대로 너무 넓히면 스캔 시간이 길어지고 결과 해석이 어렵다. 따라서 우선순위를 정해 단계별로 스캔을 확장하는 것이 바람직하다. 예컨대 핵심 비즈니스 기능을 우선 스캔한 뒤, 잔여 영역으로 범위를 넓혀가는 방식이다.

자주 발생하는 실수와 대응

  • 실수: 포함 규칙에 와일드카드 과용 → 불필요한 외부 리소스 포함. 대응: 구체적 패턴 사용
  • 실수: 로그인 흐름 미처리 → 세션 없는 상태로 스캔. 대응: 인증 세션 확보 및 세션 유지 설정
  • 실수: 사이트맵 정비 미흡 → 중복 URL 다수 존재. 대응: 중복 제거 및 태그 분류

결론

Burp 스코프 설정과 Burp 사이트맵 관리는 스캔 효율을 결정짓는 핵심 작업이다. 명확한 범위 정의, 체계적 사이트맵 정리, 단계별 스캔 확장으로 스캔 시간을 줄이고 정확도를 높일 수 있다. 주기적으로 규칙을 검토해 변화하는 애플리케이션 구조에 맞춰 조정하면 Burp 스캔 범위 최적화에 큰 도움이 된다.

Burp 스코프 설정 Burp 사이트맵 관리 Burp 스캔 범위 최적화 Burp Suite 웹 취약점 스캐닝 스코프 최적화 사이트맵 정리 스캔 성능 개선