이용 방법
1
위험 표면 파악
스택 조합이나 인증, 결제, 업로드 등의 고위험 영역을 인터뷰로 특정합니다.
2
점검 범위 고정
상황에 맞는 점검 프롬프트를 제공합니다. 근거 요청과 확실/불확실 구분 지시가 포함됩니다.
3
에이전트 실행
프롬프트를 AI 에이전트에서 실행하고, 응답을 붙여넣습니다.
4
우선순위 판단
결과를 우선순위로 재정리하고, 혼자 고칠 수 있는 것과 전문가 검토가 필요한 것을 구분합니다.
1단계에서 묻는 것
추상적인 보안 지식을 묻지 않습니다. 당신의 앱이 무엇으로 만들어졌고, 무엇을 하는지만 골라주면 됩니다. 보통 1~2분.
EXAMPLE · 예시 시나리오 — SaaS 출시 직전A · B · C
A. 스택
Next.jsSupabaseVercelOpenAI API
B. 기능
인증사용자별 데이터 격리파일 업로드결제·구독외부 API 사용
C. 단계
출시 직전
[?]내 선택이 맞는지 모르겠을 때
버튼 하나로 검증 프롬프트가 생성됩니다. Cursor·Claude Code·Codex에 붙여넣으면 에이전트가 프로젝트를 실제로 읽고 — 놓친 기능을 더하거나, 잘못 체크한 항목을 빼라고 알려줍니다.
※ 실제 입력 화면은 스택 칩 픽커 + 체크박스 + 라디오 — 위는 요약 표시용 예시.
찾는 건 쉽다. 결정은 어렵다.
“보안 점검해줘”라고 하면 에이전트도 이슈를 꽤 찾아냅니다. 문제는 그 다음 — 발견된 12건 중 당신은 뭘 먼저 해야 할까요?
A. RAW OUTPUT
에이전트가 돌려준 것
- 의존성 패키지 중 일부 버전이 낡았습니다 (eslint, postcss 등)
- 결제 처리 시 클라이언트에서 받은 금액을 그대로 사용하는 코드가 보입니다
- CORS 설정이 와일드카드(*)로 되어 있습니다
- HTTPS 적용 권장드립니다
- 파일 업로드 핸들러에서 MIME 타입 검증이 없습니다
- console.log로 민감 정보가 출력될 수 있습니다
- Supabase RLS 정책이 일부 테이블에서 비활성화되어 있습니다
- .env 파일이 .gitignore에 포함되지 않아 레포에 커밋될 위험이 있습니다
- OpenAI API 키가 클라이언트 번들에 포함될 가능성이 있습니다
- favicon이 설정되어 있지 않습니다
- Rate limiting 도입을 검토하세요
- 에러 메시지에 스택트레이스가 노출될 수 있습니다
다 맞는 말입니다. 그런데 여기서 뭘 먼저 해야 할까요?
B. PREFLIGHT REPORT
Preflight이 돌려주는 것
BLOCK지금 당장 수정· 3건
- 결제 금액이 클라이언트 요청 본문에서 바로 사용됨
- 업로드 파일 MIME 검증 없음
- .env 파일이 .gitignore에 빠져 있음
SOON출시 전 수정· 1건
- Supabase RLS 일부 테이블 비활성
UNCERTAIN불확실· 1건
- OpenAI API 키가 클라이언트 번들에 실제 포함되는지 추가 확인 필요
LATER나중에 개선· 7건
의존성 업데이트·CORS 설정·HTTPS 적용·console.log 정리·favicon·Rate limiting·에러 스택트레이스
같은 응답, 다른 순서. “안전해 보입니다”가 아니라 “지금 이걸 먼저 하세요”.
Preflight이 하는 일
- 범위 정의 — 뭘 봐야 하는지 고정
- 근거 기준 — 확인된 문제와 추정을 구분
- 우선순위 — 지금 막아야 할 것부터 정리
- 에스컬레이션 — 혼자 고칠 수 있는지, 전문가가 필요한지 분리
Preflight이 하지 않는 일
- 전문 보안 감사를 대체
- 코드를 자동으로 수정
- 실제 인프라를 스캔
- GitHub이나 저장소 접근을 요구