케이스 스터디

인증 통과.
그래도 노출됨.

이 기업들은 SOC 2, ISO 27001, GDPR 인증에 투자했습니다. 감사를 통과했습니다. 하지만 공개된 공격 표면 — 클라이언트 번들, 공개 API, 열린 엔드포인트 — 을 분석했을 때, 모든 기업에서 심각한 노출을 발견했습니다.

17
테스트한 기업
6
SOC 2 또는 ISO 27001 보유
100%
심각한 취약점 발견
12+
기업당 평균 발견 건수

기업명은 익명 처리되었습니다. 모든 발견 사항은 공개적으로 접근 가능한 정보 — 클라이언트 사이드 번들, 공개 API, 열린 설정 — 에서 확인되었습니다. 시스템 침입은 없었습니다.

GraphQL + React

3D 디자인 툴 (엔터프라이즈)

보안 등급
D
보유 인증
SOC 2ISO 27001GDPRCCPA
발견된 취약점
GraphQL 인트로스펙션 무인증 — 115타입, 전체 스키마 노출
allUsers 쿼리 — 전체 사용자 DB를 누구나 열거 가능
모든 API 엔드포인트에 레이트 리밋 없음
WebGL + Custom Engine

3D 디자인 플랫폼

보안 등급
B-
보유 인증
SOC 2 Type ISOC 2 Type IIISO 27001GDPR
발견된 취약점
셰이더 소스 81개 노출 — 독점 렌더링 IP 유출
전체 DB 스키마 (16테이블) API로 발견 가능
Stripe 가격 설정이 클라이언트 번들에 전체 노출
Next.js + AI Pipeline

AI 음악 플랫폼

보안 등급
B-
보유 인증
SOC 2ISO 27001GDPRHIPAAPCIFedRAMP
발견된 취약점
내부 API 67개 매핑 — 권한 상승 경로 15건 발견
8개 AI 모델 코드명+설정이 세션 API로 유출
미출시 로드맵 포함 50+ 피처 플래그 노출
Next.js + AI

개발자 플랫폼 (메이저 프로바이더)

보안 등급
B+
보유 인증
SOC 2 Type IIISO 27001
발견된 취약점
42K자 AI 시스템 프롬프트 프롬프트 인젝션으로 전체 추출
내부 도구 17개 + Skills 30+ — AI 아키텍처 전체 노출
내부 모델 설정 및 파트너 인프라 URL 노출
Vue 3 + AWS Cognito

고객 메시징 플랫폼

보안 등급
B+
보유 인증
ISO 27001:2022GDPR
발견된 취약점
JWT가 localStorage에 저장 — XSS 취약점으로 탈취 가능
PII (개인정보)가 Mixpanel 쿠키에 평문 저장
MFA 기본 비활성화 — 관리자 계정에도 강제 없음
WASM + Custom Runtime

애니메이션 엔진 (성장 중)

보안 등급
B-
보유 인증
SOC 2ISO 27001GDPRHIPAAFedRAMP
발견된 취약점
프로덕션 소스맵에서 3,616개 소스파일 복원 가능
내부 AI 통합 코드 (7개 파일) Claude API 패턴 노출
문서화되지 않은 51개 API 엔드포인트 무인증 접근

감사는 통과했습니다. 보안도 통과했나요?

컴플라이언스 인증은 프로세스의 존재를 검증합니다. 우리는 공격자가 침입할 수 없는지를 검증합니다. 차이가 있습니다.

실제 보안 점수 받기