ChatGPT·Cursor·Claude 같은 AI 도구로 코드를 작성해 빠르게 서비스를 만드는 개발 방식입니다. 2024년부터 급격히 확산되어 수십만 명이 AI로 실제 서비스를 운영하고 있습니다.
AI는 기능 구현에 최적화되어 있어 보안 검증 로직을 빠뜨리는 경우가 많습니다. Supabase RLS 미설정, API 키 노출, 인증 누락, Rate Limiting 없는 로그인 API 등이 대표적입니다.
1) AI에게 프롬프트에 보안 요구사항 명시 2) 배포 전 SecuFi 체크리스트 27항목 확인 3) URL 입력으로 자동 보안 점검 실행 4) 정기적(주 1회) 재점검이 권장됩니다.
생성된 코드를 다시 AI(Claude, ChatGPT)에 붙여넣고 "이 코드의 보안 취약점을 찾아줘"라고 요청하는 방법이 효과적입니다. SecuFi의 수정 코드 프롬프트를 활용하면 발견된 취약점을 AI가 자동으로 수정해줍니다.
Supabase 데이터베이스의 행 단위 접근 제어 기능입니다. RLS를 활성화하지 않으면 anon API 키만 있으면 누구나 테이블 전체 데이터를 읽고 쓸 수 있습니다. Supabase의 기본값은 RLS 비활성화이므로 반드시 직접 설정해야 합니다.
Supabase 대시보드 → Authentication → Policies 메뉴에서 각 테이블별로 RLS를 활성화하고 정책을 추가합니다. 예: "로그인한 사용자는 자신의 row만 조회 가능" 같은 정책을 SQL로 작성합니다.
네. Firebase는 보안 규칙(Security Rules)으로 접근 제어합니다. "allow read, write: if true" 규칙은 누구나 데이터를 읽고 쓸 수 있는 위험한 설정입니다. 반드시 인증 기반 규칙으로 변경해야 합니다.
위반 행위와 관련한 매출액의 최대 3%까지 과징금이 부과됩니다(법 제64조의2). 안전성 확보조치 미이행은 과태료 3천만원 이하입니다. 개인정보가 실제 유출된 경우 형사 처벌도 가능합니다.
이메일 주소 1건이라도 수집하면 개인정보보호법 제30조에 따라 처리방침 공개가 의무입니다. 이름·이메일·전화번호를 수집하는 모든 서비스(회원가입 포함)는 반드시 처리방침을 사이트에 게시해야 합니다.
①접근 권한 최소 범위 차등 부여, ②로그인 실패 횟수 초과 시 접근 제한(브루트포스 방어), ③외부 원격접속 시 MFA(다중인증) 적용, ④접속기록 1~2년 보관이 2026년 11월 1일부터 시행됩니다.
네. 매출·규모와 무관하게 개인정보를 처리하는 모든 사업자에게 적용됩니다. 다만 1만명 미만 소규모 사업자는 일부 의무가 간소화됩니다. 처리방침 게시, 안전성 확보조치, 유출 신고 의무는 규모와 무관합니다.
보안 등급(A~F), 보안 점수(0~100), 취약점 개수, 상위 3개 취약점 미리보기를 무료로 확인할 수 있습니다. 일 3회까지 무료입니다.
전체 취약점 목록, 취약점별 수정 코드 프롬프트(Claude·ChatGPT에 바로 붙여넣기 가능), OWASP·SW보안약점 조항 매핑, 개인정보보호법 조항 매핑, A4 8페이지 PDF 리포트가 제공됩니다.
SecuFi 점검 결과는 개인정보 안전성 확보조치 기준 제4조①-10(취약점 점검) 이행 증적으로 활용 가능합니다. ISMS-P 2.10.1(공개서버 보안) 항목의 참고 자료로도 사용할 수 있습니다.
정보통신망법 제48조에 따라 정당한 권한 없이 타인의 정보통신망에 접근하는 행위는 처벌 대상입니다. SecuFi는 본인 소유 사이트만 점검하도록 약관으로 제한하며, 소유권 확인 절차를 통해 전체 점검이 제공됩니다.