보안 점검 카탈로그
총 52종(무료 35 · Pro 17). 서비스 유형과 요금제에 맞는 항목만 실행됩니다.
* 전체 80+ 항목은 설계 문서 docs/CHECKS.md 참고. 아래는 초기 구현 카탈로그입니다.
LAW-NET
| ID | 점검 | 심각도 | 유형 | 요금제 |
|---|---|---|---|---|
| LAW-NET-01 | 정보통신망법 기술적·관리적 보호조치(전송 암호화·접근통제·접속기록) | 중간 | 웹·앱·자동화·AI | 무료 |
LAW-PIPA
| ID | 점검 | 심각도 | 유형 | 요금제 |
|---|---|---|---|---|
| LAW-PIPA-02 | 개인정보처리방침 게시(이메일 1건 수집도 의무) | 높음 | 웹·앱·AI | 무료 |
| LAW-PIPA-03 | 주민번호·비밀번호·카드 암호화 저장 | 높음 | 웹·앱·자동화·AI | Pro |
SEC-AI
| ID | 점검 | 심각도 | 유형 | 요금제 |
|---|---|---|---|---|
| SEC-AI-02 | 불안전한 출력 처리(LLM 출력을 SQL·쉘·HTML로 그대로 실행) | 치명 | AI | Pro |
| SEC-AI-03 | 과도한 에이전시(툴/함수호출 인가·범위·휴먼승인 부재) | 높음 | AI | Pro |
| SEC-AI-06 | AI 비용/DoS 방어(토큰·호출 한도·타임아웃·예산) | 중간 | AI | Pro |
SEC-AUTH
| ID | 점검 | 심각도 | 유형 | 요금제 |
|---|---|---|---|---|
| SEC-AUTH-01 | 모든 API 엔드포인트에 인증 검증(인증 없는 /api/* 금지) | 치명 | 웹·자동화·AI | 무료 |
| SEC-AUTH-02 | JWT는 verify()로 검증(decode 금지), 알고리즘 명시 | 치명 | 웹·자동화·AI | 무료 |
| SEC-AUTH-04 | 쿠키 HttpOnly·Secure·SameSite 속성 | 높음 | 웹·AI | 무료 |
| SEC-AUTH-05 | 로그인 무차별 대입 방지(레이트리밋·계정 잠금)·MFA·강한 비밀번호 정책 | 높음 | 웹·자동화·AI | 무료 |
SEC-BIZ
| ID | 점검 | 심각도 | 유형 | 요금제 |
|---|---|---|---|---|
| SEC-BIZ-01 | 클라 입력(가격·수량·권한) 서버 재검증(우회 결제 방지) | 치명 | 웹·AI | Pro |
SEC-CLOUD
| ID | 점검 | 심각도 | 유형 | 요금제 |
|---|---|---|---|---|
| SEC-CLOUD-01 | 클라우드 자격증명 최소권한 — Full Access/AdministratorAccess 금지 | 치명 | 웹·앱·자동화·AI | 무료 |
| SEC-CLOUD-02 | 서버에 장기 액세스 키 저장 지양 — 임시 자격증명(IAM Role/OIDC)·키 로테이션 | 높음 | 웹·자동화·AI | 무료 |
| SEC-CLOUD-03 | 비용 이상탐지·예산 알림(Billing/Budget Alert)·리소스 상한 — 요금 폭탄 방어 | 중간 | 웹·자동화·AI | Pro |
SEC-CRYPT
| ID | 점검 | 심각도 | 유형 | 요금제 |
|---|---|---|---|---|
| SEC-CRYPT-01 | 민감정보 암호화(전송·저장)·약한 해시/알고리즘 금지(MD5·SHA1) | 높음 | 웹·앱·자동화·AI | Pro |
SEC-DB
| ID | 점검 | 심각도 | 유형 | 요금제 |
|---|---|---|---|---|
| SEC-DB-01 | Supabase 모든 테이블 RLS 활성화 + 정책 존재 | 치명 | 웹·자동화·AI | 무료 |
| SEC-DB-02 | Firebase Firestore/RTDB 보안 규칙(allow read,write: if true 금지) | 치명 | 웹·앱·AI | 무료 |
| SEC-DB-03 | DB 관리패널(phpMyAdmin·adminer 등) 인터넷 노출 | 치명 | 웹·자동화 | 무료 |
| SEC-DB-04 | SQL 쿼리에 사용자 입력 직접 연결 금지(파라미터 바인딩) | 높음 | 웹·자동화·AI | 무료 |
SEC-DEP
| ID | 점검 | 심각도 | 유형 | 요금제 |
|---|---|---|---|---|
| SEC-DEP-01 | 알려진 취약 패키지·미패치 프레임워크(Next.js 등, OSV·CVE) | 높음 | 웹·앱·자동화·AI | 무료 |
| SEC-DEP-02 | 잠금파일(lockfile) 존재·버전 고정(재현성) | 중간 | 웹·자동화·AI | 무료 |
SEC-FILE
| ID | 점검 | 심각도 | 유형 | 요금제 |
|---|---|---|---|---|
| SEC-FILE-01 | 파일 업로드 검증(확장자·MIME·매직바이트·크기) | 높음 | 웹·앱·AI | Pro |
| SEC-FILE-02 | 실행 파일(.php·.jsp 등) 업로드/실행 차단 | 치명 | 웹 | Pro |
SEC-HDR
| ID | 점검 | 심각도 | 유형 | 요금제 |
|---|---|---|---|---|
| SEC-HDR-01 | HTTPS/TLS: 적용·인증서 유효·HTTP→HTTPS 리다이렉트 | 높음 | 웹·AI | 무료 |
| SEC-HDR-02 | HSTS(Strict-Transport-Security) | 높음 | 웹 | 무료 |
| SEC-HDR-03 | CSP(Content-Security-Policy) | 높음 | 웹 | 무료 |
| SEC-HDR-04 | X-Frame-Options(클릭재킹 방어) | 중간 | 웹 | 무료 |
| SEC-HDR-05 | X-Content-Type-Options: nosniff | 중간 | 웹 | 무료 |
| SEC-HDR-06 | Referrer-Policy | 낮음 | 웹 | 무료 |
| SEC-HDR-07 | Permissions-Policy(카메라·마이크 등 기능 제한) | 낮음 | 웹 | 무료 |
| SEC-HDR-08 | X-Powered-By·서버 배너 노출 최소화 | 낮음 | 웹·자동화 | 무료 |
SEC-INJ
| ID | 점검 | 심각도 | 유형 | 요금제 |
|---|---|---|---|---|
| SEC-INJ-01 | SQL 인젝션(폼·URL 파라미터 특수문자 → 에러/DB 구조 노출) | 치명 | 웹·자동화·AI | 무료 |
| SEC-INJ-03 | OS 커맨드/코드 인젝션(eval·os.system·shell=True 등 위험 싱크) | 치명 | 웹·자동화·AI | 무료 |
| SEC-INJ-02 | 프롬프트 인젝션(외부 콘텐츠·툴 출력이 시스템 지시를 덮어씀) | 치명 | AI | Pro |
| SEC-INJ-04 | NoSQL·템플릿·LDAP 인젝션(사용자 입력이 쿼리 연산자/템플릿에 유입) | 높음 | 웹·AI | Pro |
SEC-INTEG
| ID | 점검 | 심각도 | 유형 | 요금제 |
|---|---|---|---|---|
| SEC-INTEG-01 | 소프트웨어·데이터 무결성 — lockfile 고정·신뢰 소스·안전하지 않은 역직렬화 금지 | 높음 | 웹·자동화·AI | Pro |
SEC-KEY
| ID | 점검 | 심각도 | 유형 | 요금제 |
|---|---|---|---|---|
| SEC-KEY-01 | .env 파일이 git에 커밋되어 있지 않은가 | 치명 | 웹·앱·자동화·AI | 무료 |
| SEC-KEY-02 | NEXT_PUBLIC_ 접두사로 서버 API 키 노출 | 치명 | 웹·AI | 무료 |
| SEC-KEY-03 | 프론트 번들·HTML에 키 하드코딩(AWS·Stripe·OpenAI·Supabase·Firebase) | 치명 | 웹·앱·AI | 무료 |
| SEC-KEY-04 | 노출된 API 키 패턴 탐지(AWS·Stripe·OpenAI·Supabase·Firebase) | 치명 | 웹·앱·자동화·AI | 무료 |
| SEC-KEY-06 | 시크릿을 코드가 아닌 secret store/환경변수로 분리 | 높음 | 자동화·웹·앱·AI | 무료 |
| SEC-KEY-07 | 로그·에러에 시크릿/토큰 평문 출력 금지 | 높음 | 웹·자동화·AI | Pro |
SEC-LOG
| ID | 점검 | 심각도 | 유형 | 요금제 |
|---|---|---|---|---|
| SEC-LOG-01 | 보안 로깅·모니터링·이상탐지 부재 | 중간 | 웹·자동화·AI | Pro |
| SEC-LOG-02 | 민감 필드 로깅 금지(비밀번호·토큰·카드·주민번호 등) | 높음 | 웹·앱·자동화·AI | Pro |
SEC-OPS
| ID | 점검 | 심각도 | 유형 | 요금제 |
|---|---|---|---|---|
| SEC-OPS-01 | 관리자 페이지(/admin·/dashboard) 인터넷 노출 | 높음 | 웹·자동화·AI | 무료 |
SEC-VAL
| ID | 점검 | 심각도 | 유형 | 요금제 |
|---|---|---|---|---|
| SEC-VAL-03 | 에러 메시지 내부정보 노출 금지(스택·경로·SQL 오류) | 중간 | 웹·자동화·AI | 무료 |
| SEC-VAL-01 | 서버측 입력 검증 스키마(Zod·pydantic 등) 사용 | 높음 | 웹·자동화·AI | Pro |
SEC-WEB
| ID | 점검 | 심각도 | 유형 | 요금제 |
|---|---|---|---|---|
| SEC-WEB-01 | CORS Access-Control-Allow-Origin: * 와일드카드 금지 | 높음 | 웹·AI | 무료 |
| SEC-WEB-03 | XSS 위험 싱크(dangerouslySetInnerHTML·innerHTML·document.write) | 높음 | 웹·AI | 무료 |
| SEC-WEB-05 | 오픈 리다이렉트(?redirect= 로 외부 악성 사이트) | 중간 | 웹 | 무료 |
| SEC-WEB-06 | 민감 파일/경로 인터넷 노출(.env·.git·백업) | 치명 | 웹·AI | 무료 |
| SEC-WEB-04 | SSRF — 외부 URL 요청 allowlist 검증, 내부/메타데이터 차단 | 치명 | 웹·자동화·AI | Pro |