OPEN HYPER STEP
← 목록으로 (화이트햇 보안)
SECURITY · 4 / 84
security
CHAPTER 4 / 84
읽기 약 2
SYNTAX

AI 프롬프트로 보안 200% 활용하기

핵심 개념

보안을 배우면서 AI를 보안 분석 파트너로 쓰는 11개 실전 프롬프트.

본문

이 챕터는 보안을 배우면서 AI를 코딩 파트너로 활용하는 11개 프롬프트를 제공합니다. ❌나쁜 예 vs ✅좋은 예.

💡 4단계 공식

📋 코드 (1줄)
1. 역할 / 2. 맥락 / 3. 지시 / 4. 형식

🟢 기초 (1~4)

1. HTTPS / SSL

HTTPS 알려줘

📋 코드 (3줄)
HTTPS / TLS / SSL의 차이를 표 + 다이어그램.
TLS 핸드셰이크 5단계 + 인증서 검증 + 리다이렉트 패턴 +
Let's Encrypt 무료 인증서 발급.

2. XSS 공격 + 방어

XSS 알려줘

📋 코드 (3줄)
XSS의 3종류(Stored / Reflected / DOM-based)를
취약 코드 + 공격 페이로드 + 방어 코드 비교.
CSP 헤더 + 인코딩 + 검증 + Cookie HttpOnly.

3. SQL Injection

SQL Injection

📋 코드 (2줄)
SQL Injection의 동작 원리 + 취약 코드 + 공격 페이로드 +
방어 5가지(매개변수화 / ORM / 입력 검증 / Least Privilege / WAF).

4. 비밀번호 해싱 (bcrypt)

비밀번호 해싱

📋 코드 (3줄)
bcrypt vs argon2 vs scrypt 비교.
salt rounds 권장값 + 마이그레이션 전략 +
Node.js / Python / Go 코드 예시 + timing attack 방지.

🟡 중급 (5~8)

5. CSRF 토큰

CSRF 방어

📋 코드 (2줄)
CSRF 공격 동작 + 방어 4가지(SameSite / Origin / Token / Double Submit).
Express + JWT 환경에서 권장 패턴 + 코드.

6. 보안 헤더 (CSP / HSTS)

보안 헤더

📋 코드 (2줄)
보안 헤더 7가지(CSP / HSTS / X-Frame / X-Content / Referrer / Permissions / COOP)를
표 + Express helmet 코드 + Mozilla Observatory 점수 100점 받기.

7. JWT 보안

JWT 보안

📋 코드 (2줄)
JWT 공격 5가지(none algo / weak secret / 토큰 도난 / refresh / replay)를
방어 코드 + 권장 구조(RS256 + 짧은 만료 + httpOnly).

8. 입력 검증 + Rate Limiting

입력 검증

📋 코드 (2줄)
Zod로 입력 검증 + Express rate-limit 패턴.
경로별 한도 + IP 기반 vs 사용자 기반 + Redis 분산 한도.

🔵 심화 (9~11)

9. OWASP Top 10 감사

OWASP 감사

📋 코드 (2줄)
내 Express + Next.js 앱의 OWASP Top 10 자동 감사 체크리스트.
각 항목 + 점검 도구(ZAP/Snyk) + 통과 기준 + CI 통합.

10. 침투 테스트 리포트

pentest 리포트

📋 코드 (3줄)
웹 앱 침투 테스트 보고서를 작성.
Executive Summary / 범위 / 발견 5개 / CVSS / 재현 /
영향 / 권장 / 증거 / 방어 우선순위.

11. 제로 트러스트 아키텍처

제로 트러스트

📋 코드 (3줄)
제로 트러스트 아키텍처를 설계.
원칙 5개 + ID 검증 + 디바이스 검증 + 마이크로 분할 +
Least Privilege + 감사. 기존 VPN과 비교.

⚠️ 주의사항

  1. 미허가 시스템 공격 절대 금지
  2. AI에게 공격 코드 요청 시 합법성 명시
  3. 학습 환경(DVWA·TryHackMe)에서만 실습
  4. 윤리 + 법 = 보안 전문성의 기본
AI 프롬프트
🤖 AI에게 잘 물어보는 법 — 모델·전략별 프롬프트
Claude

무료: Sonnet 4.6 / Pro $20/mo: Opus 4.6

내가 만든 웹 앱에 AI를 활용해서
OWASP Top 10·인증 허점·시크릿 노출을 자동 점검받는
프롬프트 템플릿 3종을 설계해줘.
ChatGPT

무료: GPT-5.5 / Plus $20/mo: GPT-5.5 Pro

보안 학습에 ChatGPT를 활용하는
실전 시나리오 5가지(취약점 분석, 페이로드 작성, 방어 코드, 로그 분석, 사고 대응)를
바로 쓸 수 있는 프롬프트와 함께 보여줘.
Gemini

무료: 2.5 Flash / Pro $19.99/mo: 3.1 Pro

보안 점검 코드 전체를 AI로 분석할 때
Claude/ChatGPT/Gemini/Grok 각각의 강점과
적합한 프롬프트 패턴을 비교 정리해줘.
Grok

무료: Grok 4.1 / SuperGrok $30/mo

2026년에 AI 코드 어시스턴트가
실제 보안 점검을 얼마나 자동화할 수 있는지,
인간 펜테스터의 가치는 어떻게 변하는지 솔직히 알려줘.
⭐ 이것만 기억하세요
AI 프롬프트로 보안 200% 활용하기 이 3가지만 확실히 잡으세요
1.프롬프트 4단계 공식: 나쁜 예/좋은 예 비교로 보안 분석 품질 극적 향상
2.11개 프롬프트: 기초(HTTPS·XSS·SQLi·해싱) → 중급(CSRF·헤더·JWT·검증) → 심화(OWASP·pentest·Zero Trust)
3.AI에게 공격 코드 요청 시 합법성 명시 — 학습 환경에서만 실습
공유하기
📚 관련 챕터3
CH.02화이트햇 보안 전체 챕터 안내
CH.03보안 기술로 보호하는 대표기업 서비스
CH.05화이트햇 보안 마인드셋
진행도 4 / 84