---
task_id: task-2262
type: context
scope: task
created: 2026-04-28
updated: 2026-04-28
status: in-progress
---

# 맥락 노트: task-2262

**task**: task-2262

---

## 결정 근거

### 감사 범위: 코드 + 설정 + 의존성 + Edge Functions
- 태스크에서 server/main.py + src/ + 설정 파일을 명시했으나, Supabase Edge Functions도 서버사이드 로직으로서 보안 감사 대상에 포함
- Edge Functions에서 CRITICAL 취약점(인증 없는 테스트 계정 생성) 발견하여 범위 확장이 정당화됨

### 감사 방법: 정적 분석 중심
- 침투 테스트(실제 공격 시뮬레이션)는 이번 범위에서 제외
- 코드 리뷰 기반 정적 분석 + 도구(npm audit, grep) 기반 탐지
- 이유: 감사 보고서 생성이 목적이며, 실제 취약점 수정은 후속 작업으로 분리

## 3 Step Why

### 1st Why: "왜 이 보안 전수조사가 필요한가?"
A: InsuRo는 보험/금융 서비스로서 고객 PII(개인정보)를 처리한다. 보안 취약점이 방치되면 개인정보보호법 위반, 고객 정보 유출, 서비스 신뢰 상실로 이어진다. 실제로 CRITICAL 수준의 SSRF 취약점, 인증 없는 Edge Function 등이 발견되어 즉시 대응이 필요한 상태였다.

### 2nd Why: "왜 OWASP Top 10 기반 전수조사가 최선의 접근인가?"
B: OWASP Top 10은 웹 보안의 국제 표준 체크리스트로, 가장 빈번하고 위험한 취약점 유형을 체계적으로 커버한다. 단순 코드 리뷰만으로는 놓치기 쉬운 구조적 취약점(SSRF, IDOR, 인증 누락 등)을 분류별로 점검할 수 있다. 보험/금융 도메인 특화 PII 점검까지 결합하여 감사 완성도를 높였다.

### 3rd Why: "왜 OWASP 접근이 다른 대안(침투 테스트, 자동화 도구만 사용)보다 나은가?"
C: (1) 침투 테스트는 실행 환경과 권한이 필요하며 프로덕션 영향 위험이 있다. (2) 자동화 도구(Snyk, SAST)만으로는 비즈니스 로직 취약점(IDOR, 인증 누락)을 탐지하지 못한다. (3) OWASP 기반 수동 코드 리뷰는 비즈니스 컨텍스트를 이해하고 실제 위험도를 판단할 수 있어, 보험 서비스 특유의 PII 처리 취약점까지 포착 가능하다. 실제로 자동화 도구로는 발견하기 어려운 "고객 요약 조회 IDOR", "플랜 캐시 권한 회수 지연" 등을 발견하였다.

→ A-B-C 논리적 일관성: 고객 정보 보호 필요 → 체계적 OWASP 분류별 전수조사 → 수동 리뷰 + 도구 병행이 최선. 일관성 확인됨.

## 참조 자료

- 감사 대상: `/home/jay/projects/InsuRo/server/main.py` (5068줄)
- 감사 대상: `/home/jay/projects/InsuRo/src/` (프론트엔드 전체)
- 감사 대상: `/home/jay/projects/InsuRo/supabase/functions/` (Edge Functions)
- 보고서: `memory/reports/insuro-security-audit-2026-04.md`

## 주의사항

- 이번 감사는 보고서 생성이 목적이며, 발견된 취약점의 실제 수정은 별도 태스크로 진행 필요
- CRITICAL/HIGH 항목은 즉시 수정 권고 (별도 태스크 dispatch 권고)
- Edge Functions의 인증 누락은 프로덕션에서 즉시 비활성화 권고