네트워크 계층 소프트웨어 테스트 자동 HTTP API 품질 평가와 보안 분석

초록

본 연구는 Playwright 기반 자동화 프레임워크를 이용해 18개 실서비스 웹사이트의 HTTP 트래픽을 108개의 HAR 파일로 수집하고, 8가지 휴리스틱 안티패턴 탐지기를 적용해 품질 점수(0‑100)를 산출한다. 결과는 사이트마다 56.8점에서 100점까지 다양했으며, 중복 요청과 캐시 헤더 누락이 가장 흔한 문제로 각각 67%의 사이트에 나타났다. 또한 서드파티 오버헤드가 20%를 초과한 경우가 72%에 달했다. 연구는 재현 가능한 아티팩트를 공개함으로써 웹 API 품질 평가의 기준선을 제공한다.

상세 분석

이 논문은 웹 애플리케이션의 네트워크 계층, 즉 클라이언트‑서버 간 HTTP API 호출을 정량적으로 평가하는 최초의 실증 연구 중 하나로 평가할 수 있다. 먼저 연구자는 Playwright를 활용해 실제 브라우저 환경에서 페이지 로드 시 발생하는 모든 요청·응답을 HAR 형식으로 기록하였다. 18개의 사이트를 2개의 대표 페이지(홈·서브 페이지)에서 각각 3회씩 실행함으로써 총 108개의 캡처 파일을 확보했으며, 이는 비동기 JavaScript 실행에 따른 비결정성을 완화하기 위한 다중 실행 설계와 일치한다.

탐지기에 적용된 8가지 안티패턴은 다음과 같다: (1) 중복 API 호출, (2) N+1 쿼리 패턴, (3) 캐시 헤더 부재, (4) 과다 페이로드, (5) 압축 미적용, (6) 서드파티 오버헤드, (7) 순차적 워터폴 호출, (8) 오류 응답 노출. 각 탐지기는 HAR 내부의 메타데이터(요청 URL, 메서드, 응답 헤더, 바디 크기, 타이밍)를 정규식·통계 기반 규칙으로 분석한다. 예를 들어, 중복 호출은 동일 엔드포인트에 대해 200 ms 이하 간격으로 3회 이상 발생하는 경우를 정의했으며, 캐시 헤더 부재는 Cache-Control, ETag, Expires 중 하나라도 누락된 경우를 탐지한다.

점수 산정은 가중 평균 방식으로, 보안 위험도가 높은 항목(예: 캐시 헤더 부재, 오류 응답)에는 높은 가중치를 부여하였다. 결과적으로 최소 56.8점, 최대 100점을 기록했으며, 100점에 도달한 사이트는 전통적인 서버‑렌더링 방식으로 정적 HTML을 주로 제공하는 구조였다. 반면, 56.8점을 기록한 상업 사이트는 SPA(싱글 페이지 애플리케이션)와 다수의 서드파티 분석·광고 스크립트를 포함하고 있었으며, 평균 2,684개의 요청을 발생시켜 가장 높은 오버헤드를 보였다.

보안 관점에서 저자들은 캐시 헤더 부재가 중간자 공격자를 통한 캐시 포이즈닝을 가능하게 하고, 과다 페이로드가 민감 데이터 노출 위험을 높이며, 서드파티 의존도가 공급망 공격 표면을 확대한다는 점을 강조한다. 특히 오류 응답에서 스택 트레이스나 서버 버전 정보가 포함된 경우, 공격자는 이를 기반으로 취약점 스캐닝을 수행할 수 있다.

재현성 측면에서 연구팀은 전체 파이프라인(Playwright 스크립트, HAR 파싱·분석 모듈, 점수 계산 로직)을 오픈소스로 공개했으며, 사이트 식별은 카테고리 기반 가명으로 처리해 개인정보 보호를 준수하였다. 이는 향후 다른 연구자가 동일한 방법론을 적용하거나, 자체 서비스에 맞게 커스터마이징할 수 있는 기반을 제공한다.

종합적으로 이 연구는 기존 웹 성능·트래픽 분석이 페이지 로드 시간이나 리소스 크기에 초점을 맞추던 한계를 넘어, API 호출 품질과 보안 리스크를 동시에 정량화한다는 점에서 의의가 크다. 또한, 자동화된 다중 실행·다중 페이지 캡처, 휴리스틱 기반 안티패턴 탐지, 가중 점수 체계라는 세 가지 핵심 요소가 실무 적용 가능성을 높이며, 웹 개발·운영 팀이 CI/CD 파이프라인에 통합해 지속적인 품질 모니터링을 수행할 수 있는 실용적인 로드맵을 제시한다.