Burp Suite는 웹 애플리케이션 보안 테스트를 위한 통합 플랫폼으로, 웹 취약점 분석, 진단 및 익스플로잇 테스트를 수행할 수 있는 다양한 도구들을 포함하고 있습니다. 보안 전문가와 침투 테스터들이 많이 사용하는 대표적인 도구 중 하나입니다. 이번 글에서는 Burp Suite의 개요부터 주요 기능, 사용법, 장단점까지 상세히 설명드리겠습니다.
1. Burp Suite란?
Burp Suite는 PortSwigger사에서 개발한 웹 보안 진단 도구입니다. 웹 트래픽을 중간에서 가로채고 분석하거나, 의도적으로 변형하여 서버에 다시 보내는 등 다양한 테스트를 할 수 있도록 해줍니다.
주요 특징은 다음과 같습니다:
- 프록시 기반의 웹 트래픽 캡처 및 조작
- 자동화된 취약점 스캐닝
- 세션 토큰 분석, 파라미터 변조, CSRF 및 XSS 테스트
- 확장 플러그인 지원 (BApp Store)
2. Burp Suite의 주요 구성 요소
Burp Suite는 여러 개의 탭(Tab) 형태의 툴로 구성되어 있으며, 각각의 기능은 다음과 같습니다:
| 구성 요소 | 설명 |
|---|---|
| Proxy | 브라우저와 웹 서버 사이의 트래픽을 가로채고 수정할 수 있음 |
| Target | 타겟 구조 및 취약점 맵핑을 시각적으로 제공 |
| Spider | 사이트 자동 크롤링으로 링크 및 파라미터 수집 |
| Scanner (Pro) | 자동화된 취약점 스캔 (예: SQLi, XSS 등) |
| Intruder | 반복적인 공격 시나리오 실행 (예: Brute Force, Fuzzing) |
| Repeater | 특정 요청을 반복적으로 전송하며 수동 분석 가능 |
| Sequencer | 세션 토큰의 무작위성 평가 |
| Decoder | 인코딩/디코딩 변환 (Base64, URL, Hex 등) |
| Comparer | 요청/응답의 차이를 비교 |
| Extender | 사용자 정의 플러그인 추가 및 BApp 설치 가능 |
3. 동작 방식 (구성도 포함)
Burp Suite의 핵심은 Proxy 서버 역할을 하여 브라우저와 서버 사이의 트래픽을 가로채는 것입니다.
✅ Burp Suite 구성도
plaintext복사편집[브라우저] ←→ [Burp Suite Proxy] ←→ [웹 서버]
- 사용자는 브라우저에 프록시 설정을 추가하여 Burp Suite를 통해 모든 HTTP 요청이 통과되도록 설정합니다.
- Burp는 이 요청을 캡처하고 분석하거나 변조할 수 있습니다.
- 이후 요청은 서버로 전달되고, 응답도 동일한 흐름으로 돌아옵니다.
4. 사용 절차
4.1 Burp Suite 설치
- PortSwigger 공식 웹사이트에서 다운로드
- Java 기반으로 동작하며, JRE 필요
4.2 브라우저 프록시 설정
- 브라우저의 프록시를
127.0.0.1:8080으로 설정 (기본값) - 또는 FoxyProxy 같은 확장 기능 사용
4.3 Burp Certificate 설치 (HTTPS 테스트용)
- Burp에서 제공하는 인증서를 브라우저에 설치하면 HTTPS 요청도 복호화 가능
5. 장점과 단점
장점
- 강력한 수동 테스트 기능 (Repeater, Intruder)
- 웹 보안 분석을 위한 통합 환경
- 자동화 도구 (Scanner)는 상용 제품에 포함
- 다양한 플러그인을 통한 확장성
단점
- 무료 버전에는 자동 스캐너 기능이 없음
- 초보자에게는 UI가 다소 복잡할 수 있음
- 한글 지원 미흡
- 상용 버전(Professional)은 유료 라이선스 필요
6. Burp Suite 사용 예시
예시: 로그인 페이지 Brute Force 테스트
- 로그인 요청을 Intercept 함
- Intruder 탭으로 전송
- 아이디/패스워드 파라미터에 사전 목록(Wordlist) 삽입
- Attack 실행 → 응답 결과 분석
7. 최종 정리
| 항목 | 내용 |
|---|---|
| 개발사 | PortSwigger |
| 대표 기능 | 프록시 인터셉트, 요청 조작, 스캐너, 자동/수동 테스트 |
| 유료/무료 | Community Edition(무료), Professional Edition(유료) |
| 활용 대상 | 모의 해킹, 웹 보안 진단, 개발 보안 점검 등 |
Burp Suite는 웹 보안 테스트에 있어 거의 표준 도구로 사용될 정도로 강력한 기능을 제공합니다. 무료 버전도 많은 기능을 지원하므로, 웹 애플리케이션 보안을 점검하고자 하시는 분이라면 반드시 익혀야 할 도구입니다.