# 보안팀 운영 런북 (Runbook)

> 826/828 분석 결과물을 실제 작업 프로세스로 변환한 실행 가이드

## 1. 정기 보안 스캔 프로세스

### 1.1 의존성 취약점 스캔 (주 1회)
```bash
# InsuWiki
cd /home/jay/projects/insuwiki && npm audit --audit-level=moderate
cd /home/jay/projects/insuwiki/nextapp && npm audit --audit-level=moderate
cd /home/jay/projects/insuwiki/functions && npm audit --audit-level=moderate

# InsuRo (런칭 시)
cd /home/jay/projects/insuro && npm audit --audit-level=moderate
```

### 1.2 Firebase Security Rules 감사 (배포 시)
- [ ] `allow read, write: if true` 패턴 없는지 확인
- [ ] `request.auth != null` 인증 검증 확인
- [ ] `request.auth.uid == resource.data.userId` 소유권 검증 확인
- [ ] Custom Claims 기반 관리자 권한 검증 확인
- [ ] 와일드카드 `{document=**}` 최소화 확인

### 1.3 환경변수 보안 점검 (배포 시)
- [ ] `NEXT_PUBLIC_` 접두사 변수에 민감정보 없는지 확인
- [ ] API 키/시크릿이 소스코드에 하드코딩 안 되어있는지 확인
- [ ] `.env` 파일이 `.gitignore`에 포함되어 있는지 확인
- [ ] Vercel 환경변수에서 불필요한 노출 없는지 확인

## 2. 런칭 전 보안 감사 체크리스트

> 상세: `memory/research/security-checklist-full.md`

### Phase 0: 기초 보안 (즉시)
- [ ] OWASP A01: 접근 제어 — Firestore Rules 전수 검토
- [ ] OWASP A02: 암호화 — HTTPS 강제, API 키 관리
- [ ] OWASP A03: 주입 공격 — 입력 검증, SQL/NoSQL Injection 방어
- [ ] OWASP A05: 보안 설정 — CSP, CORS, 보안 헤더
- [ ] OWASP A07: 인증 실패 — Firebase Auth 설정, 비밀번호 정책

### Phase 1: 심화 보안 (런칭 1주 전)
- [ ] OWASP A04: 안전하지 않은 설계 — 위협 모델링 완료
- [ ] OWASP A06: 취약 컴포넌트 — npm audit 0 critical/high
- [ ] OWASP A08: 소프트웨어 무결성 — 의존성 검증
- [ ] OWASP A09: 로깅/모니터링 — 보안 이벤트 로깅
- [ ] OWASP A10: SSRF — 서버사이드 요청 제한

### Phase 2: API 보안 (런칭 전)
- [ ] API-1: 인가 수준 — 객체/기능 레벨 인가 확인
- [ ] API-2: 인증 — 토큰 검증, Rate Limiting
- [ ] API-3: 데이터 노출 — 필요 최소 필드만 반환
- [ ] API-4: 리소스 소비 — 요청 크기/빈도 제한

## 3. 인시던트 대응 플레이북

### 3.1 취약점 발견 시
1. 심각도 분류 (CVSS): Critical(9.0+) / High(7.0-8.9) / Medium(4.0-6.9) / Low(0.1-3.9)
2. Critical/High: 즉시 아누에게 보고 → 긴급 패치
3. Medium: 다음 스프린트에 패치 예약
4. Low: 백로그 등록

### 3.2 침해 의심 시
1. 영향 범위 파악 (어떤 데이터? 어떤 사용자?)
2. 즉시 아누 + 제이회장님에게 보고
3. 침해 경로 차단 (API 키 로테이션, 세션 무효화 등)
4. 포렌식 로그 보존
5. 사후 분석 보고서 작성

## 4. 자동화 파이프라인 (향후)

> 상세: `memory/research/security-automation-pipeline.md`

### 구현 예정
- [ ] CI/CD에 npm audit 통합 (빌드 시 자동 체크)
- [ ] Firestore Rules 변경 시 자동 감사 트리거
- [ ] 의존성 업데이트 시 보안 영향 자동 분석
- [ ] 보안 스캔 결과 자동 보고서 생성

## 5. 참조 문서 맵

| 파일 | 역할 | 활용 시점 |
|------|------|-----------|
| `security-checklist-full.md` | OWASP 전체 매핑 + 우리 시스템 위협 | 감사 수행 시 |
| `pentagi-deep-analysis.md` | PentAGI 아키텍처 + 도구 목록 | 도구/기법 참고 시 |
| `security-automation-pipeline.md` | 자동화 설계 | 파이프라인 구축 시 |
| `security-team-proposal.md` | 팀 구성 근거 + 옵션 비교 | 팀 운영 방향 참고 시 |