# task-826.1: PentAGI 심층 분석 + 보안팀 체계 구축 (한정승인) ## 제이회장님 지시 원문 "인슈로 인슈위키 등 런칭할 때 시도해봐야 할 내용이네. 심도있게, 체계적으로 분석해서 우리 시스템 보안팀에 인식할 방법 a to z 마련해줘. 보안팀 조직도에 없으면 만들어도 되고 필요한 내용 전체 확인. (Top5 아니라 전체 리스트임) 깃헙 파일 내부까지도 분석할 것" ## 대상 깃헙 레포 - **URL**: https://github.com/vxcontrol/PentAGI - **설명**: AI 기반 자율 침투 테스트 시스템. 20+개 보안 도구, 멀티에이전트, 지식 그래프 통합. ## ★ 분석 깊이 규칙 (필수 준수) - **표면적 요약 금지**. 파일 내부까지 분석, 체계적·심도있는 A to Z 정리 - Top 5가 아니라 **전체 리스트**로 분석 - 우리 시스템에 어떻게 적용할지까지 구체적 방안 도출 ## 작업 범위 (한정승인 — 팀장 자율 Phase 진행) ### Phase 1: PentAGI 깃헙 심층 분석 1. **레포 구조 분석**: 전체 디렉토리 구조, 주요 파일 역할 파악 2. **보안 도구 전체 리스트**: PentAGI가 사용하는 20+개 도구 전체 목록 + 각 도구의 용도/기능 - nmap, metasploit, sqlmap 등 언급된 모든 도구 - 도구별: 이름, 용도, 대상, 우리 시스템 적용 가능성 3. **아키텍처 분석**: - 멀티에이전트 시스템 구조 (Researcher/Developer/Executor) - 지식 그래프 (Graphiti + Neo4j) 활용 방식 - 모니터링 스택 (Grafana/Prometheus/Jaeger/Loki) - 샌드박스 격리 방식 (Docker 기반) 4. **코드 내부 분석** (핵심): - backend/ 디렉토리 주요 파일 분석 - 에이전트 로직, 도구 호출 패턴 - API 인증 방식 (Bearer token, GraphQL) - 보안 스캔 워크플로우 전체 흐름 5. **Supervision 기능 분석**: - Execution Monitoring (멘토 자동 개입) - Intelligent Task Planning (3-7단계 분해) - Tool Call Limits (에이전트당 호출 제한) ### Phase 2: 우리 시스템 보안 적용 A to Z 1. **우리 시스템 보안 위협 매핑**: - InsuRo (Next.js + Firebase + Vercel): 공격 표면 전체 나열 - InsuWiki (Next.js + Firebase): 공격 표면 전체 나열 - 아누 서버 (Ubuntu + Python): 공격 표면 전체 나열 - API 통신 (HMAC-SHA256): 취약점 가능성 - Firestore Rules: 인가 우회 가능성 2. **런칭 전 보안 체크리스트 (전체)**: - PentAGI의 도구/방법론을 참고하여 우리 시스템에 적용 가능한 **전체 보안 테스트 항목** 작성 - OWASP Top 10 + OWASP API Security Top 10 전체 매핑 - 인증/인가, 입력 검증, 세션 관리, 암호화, 로깅/모니터링, CORS, CSP, 에러 처리 등 - Firebase 특화: Firestore Rules, Auth 설정, Storage Rules, Cloud Functions 보안 - Vercel 특화: Edge Functions, 환경변수, 빌드 보안 3. **자동화 가능한 보안 테스트 방안**: - PentAGI에서 배울 수 있는 자동화 패턴 - 우리 시스템에 도입 가능한 자동 보안 스캔 파이프라인 설계 - CI/CD 통합 보안 체크 방안 ### Phase 3: 보안팀 체계 구축 1. **현재 조직 내 보안 역할 분석**: - 레드팀 로키(Loki): 현재 역할 및 한계 - 헤임달(보안 테스트): dev2-team 소속 - 분산된 보안 역할 통합 필요성 분석 2. **보안팀 구조 제안**: - 기존 레드팀(로키) 확장 or 별도 보안팀 신설 - 역할 정의: 공격(레드)/방어(블루)/감사(퍼플) - 필요 스킬셋, 도구, 프로세스 3. **보안 운영 프로세스 A to Z**: - 런칭 전 보안 감사 프로세스 - 정기 보안 스캔 주기 및 방법 - 취약점 발견 시 대응 프로세스 - 보안 인시던트 대응 플레이북 ## 산출물 (전체 파일 경로) 1. `/home/jay/workspace/memory/research/pentagi-deep-analysis.md` — PentAGI 심층 분석 보고서 2. `/home/jay/workspace/memory/research/security-checklist-full.md` — 런칭 전 보안 체크리스트 (전체) 3. `/home/jay/workspace/memory/research/security-team-proposal.md` — 보안팀 체계 구축 제안서 4. `/home/jay/workspace/memory/research/security-automation-pipeline.md` — 보안 자동화 파이프라인 설계 5. `/home/jay/workspace/memory/reports/task-826.1.md` — 완료 보고서 ## 참고 경로 - 조직도: `/home/jay/workspace/memory/organization-structure.json` - 레드팀(로키) 정보: organization-structure.json 내 "레드팀" 섹션 - InsuWiki 프로젝트: `/home/jay/projects/insuwiki/` - 아누 서버: `/home/jay/workspace/` ## 보고 - 완료 시 `/home/jay/workspace/memory/reports/task-826.1.md` 작성 - `.done` 파일 생성: `/home/jay/workspace/memory/events/task-826.1.done` ## task-timer - 완료 시: `python3 /home/jay/workspace/memory/task-timer.py end task-826.1`