# InsuRo 보안 전수조사 — OWASP + 코드 품질 감사 ## 작업 레벨: Lv.3 ## 프로젝트 시스템 3문서 - DevSystem: `/home/jay/workspace/memory/plans/anu-guide-system/plan.md` ## 프로젝트 - InsuRo: `/home/jay/projects/InsuRo` - 서버: `/home/jay/projects/InsuRo/server` ## ★ 5명 합동 점검 (역할 분담) 이 작업은 보안팀(로키) + QC(마아트) 5명 합동 전수조사입니다. 각 팀원의 전문 분야에 맞춰 역할을 분담하세요: 1. **로키 (Loki)** — 보안 전략 총괄: 전체 공격 표면 조망, 감사 오케스트레이션 2. **펜리르 (Fenrir)** — 침투 테스터: OWASP A01~A03 (접근제어, 암호화, 인젝션) 집중 점검 3. **시긴 (Sigyn)** — 보안 개발자: 발견된 취약점의 수정 코드 제안, subprocess 명령어 인젝션 점검 4. **스쿨드 (Skuld)** — 보안 QA: 최종 게이트키퍼, 보안 이벤트 로깅 점검, PII 데이터 흐름 추적 5. **마아트 (Ma'at)** — QC 매니저: 독립 품질 검증, 코드 품질/패턴 감사, 사실 기반 판정 각 역할별로 점검 결과를 보고서에 섹션 분리하여 작성하세요. ## ★ 필수 스킬 활용 아래 스킬을 반드시 실행하여 결과를 보고서에 포함하세요: 1. `/owasp-security` — OWASP Top 10 자동 코드 리뷰 (FastAPI/Next.js/PostgreSQL 특화, 보험 PII 검사) 2. `/sanitize` — 한국 PII 자동 탐지 (주민번호, 계좌번호, 보험 증권번호) 3. `/security-review` — 현재 브랜치 전체 보안 리뷰 ## 감사 범위 ### 1. OWASP Top 10 보안 점검 `server/main.py` (5000줄+) 전체 엔드포인트 대상: - **A01: 접근 제어 취약점** — JWT 인증 누락 엔드포인트, RLS 우회 가능성 - **A02: 암호화 실패** — API 키/토큰 하드코딩, 평문 저장 - **A03: 인젝션** — SQL 인젝션 (Supabase RPC), 명령어 인젝션 (subprocess) - **A04: 불안전한 설계** — rate limiting 미적용 엔드포인트 - **A05: 보안 설정 오류** — CORS 설정, 디버그 정보 노출 - **A06: 취약한 컴포넌트** — 의존성 버전 취약점 (pip audit) - **A07: 인증 실패** — 세션 관리, 토큰 갱신 - **A08: 데이터 무결성** — 파일 업로드 검증, 입력 크기 제한 - **A09: 로깅 실패** — 보안 이벤트 로깅 누락 - **A10: SSRF** — 외부 URL 요청 (Drive, claude CLI 등) ### 2. 프론트엔드 보안 점검 `src/` 전체: - XSS 취약점 (dangerouslySetInnerHTML, innerHTML) - 민감 정보 노출 (API 키, 서버 URL 클라이언트 노출) - CSRF 방어 - Content Security Policy ### 3. 인프라/설정 점검 - `.env` 파일 보안 (git 추적 여부) - Supabase RLS 정책 검증 - Cloudflare 보안 헤더 - subprocess 명령어 인젝션 위험 (claude CLI 호출 부분) ### 4. PII 데이터 처리 - 고객 개인정보 (이름, 생년월일, 보험 증권) 처리 흐름 - 로그에 PII 노출 여부 - 데이터 보존/삭제 정책 ## 산출물 보고서: `memory/reports/insuro-security-audit-2026-04.md` - 발견 사항별 심각도 (Critical/High/Medium/Low/Info) - 즉시 수정 필요 항목 목록 - 권장 수정 방안 ## affected_files - `server/main.py` (전수 조사) - `src/` 전체 (전수 조사) - `.env`, `vite.config.ts`, `package.json` (설정 점검) ## 검증 시나리오 1. 보안 감사 보고서 생성 2. Critical/High 발견 시 즉시 수정 권고 포함 3. pip audit 결과 포함