# task-1999: InsuRo 보안 침투 테스트 (G4-1) + 잔여 SEC 게이트

## 목적
체크리스트 G4-1 침투 테스트 5가지 시나리오 + SEC-1~4 잔여 점검.

## ★ 프로젝트 경로: `/home/jay/projects/InsuRo/`
## ★ task-1987 보고서 먼저 읽을 것: `memory/reports/task-1987.md`

## 침투 시나리오 (G4-1)
1. 무료 사용자 → 프로 API 직접 호출 → 403 확인
2. AI 모델 파라미터 변조 → 서버 거부 확인
3. 사용량 초과 → 429 확인
4. 관리자 페이지 비인가 접근 → 차단 확인
5. OAuth 토큰 평문 조회 시도 → 암호화 확인

## SEC 게이트 잔여
- SEC-1: require_plan 전 API 적용 확인 (task-1987에서 일부 완료)
- SEC-4: 비용 차단기 임계치 확인

## ★★★ 코드 수정 최소화. 점검/테스트 위주. 미비 시에만 수정. ★★★

## 완료 시그니처
- [grep] `require_plan\|rate_limit` @ `server/main.py`
- [pytest] `server/tests/test_main.py`

## 레벨
- critical (보안)

## 프로젝트
- insuro