▲ Greenova 관리자 포털 보안 심층 분석 v1.3  ·  총 42 Finding (Critical 3 · High 7 · Medium 12 · Low 14 · Info 6)  ·  OWASP Top 10 (2021) · 10/10 카테고리 점검  ·  Avg CVSS 5.8 · Max 9.8  ·  Critical 3건 Retest 예정: 2026-04-18  ·  Prepared by QALabs × sunny34  · 
Greenova × QALabs · Security Deep Analysis

보안 테스트 심층 분석
Admin Portal v1.3

문서: Greenova Security Analysis v1.3  |  수행일: 2026-04-11  |  작성: 박순옥 PM (QALabs · sunny34)
대상: Greenova_Security_Findings_v1_3.xlsx · 42 Finding · OWASP Top 10 (2021)
범위: 심각도 분포 · OWASP 매핑 · CVSS 분석 · 공격면 맵 · 리스크 매트릭스 · 이전 감사 대비 트렌드 · 보완 ROI
42
Total Findings
3
Critical (9.0+)
7
High (7.0~8.9)
5.8
Avg CVSS
10/10
OWASP Coverage
3
Categories PASS

01 · 심각도 · 분포 Overview

42 Findings

심각도별 분포

Doughnut

CVSS 점수 분포

Histogram

탐지 유형 분포

Polar Area

02 · OWASP Top 10 매핑

10/10 · FAIL 2 · WARN 5 · PASS 3

OWASP 카테고리별 Finding 수

Horizontal Stacked

보안 도메인 성숙도 (Radar)

Radar · Score 0-100

OWASP × 심각도 히트맵

Heatmap
OWASP 카테고리
Critical
High
Medium
Low
판정
A01 · Access Control
1
3
2
1
FAIL
A02 · Cryptographic
0
0
1
2
PASS
A03 · Injection
2
2
3
2
FAIL
A04 · Insecure Design
0
0
0
1
PASS
A05 · Misconfiguration
0
1
2
3
WARN
A06 · Vulnerable Deps
0
0
2
1
WARN
A07 · Auth & Session
0
1
1
2
HIGH
A08 · Integrity
0
0
1
1
WARN
A09 · Logging
0
0
0
1
WARN
A10 · SSRF
0
0
0
0
PASS
▲ OWASP 분석 요약
A01(Access Control) · A03(Injection) 두 영역에 Critical/High 비중이 몰려 있음. 단순히 코드 수정만이 아니라 권한 설계 · 입력 검증 정책의 근본 재점검이 필요. 반면 A02 · A04 · A10은 PASS로 암호화·설계·SSRF 관련 기본 보안은 양호.

03 · 리스크 매트릭스 · 공격면

Likelihood × Impact · 5×5

5×5 리스크 매트릭스 (Findings 분포)

Risk Heatmap
Insignificant
Minor
Moderate
Major
Severe
Very
Likely
1Low
2Med
3High
2Critical
1Extreme
Likely
2Low
3Low
4Med
2High
2Critical
Possible
3Info
4Low
3Low
2Med
1High
Unlikely
2Info
1Info
2Low
1Low
0-
Rare
1Info
0-
0-
0-
0-
Info Low Low-Med Medium High / Critical Extreme
Attack Surface Map · 대상 구성요소별 Finding 수
로그인/인증
11
Critical 2 · High 2
관리자 메뉴
9
Critical 1 · High 2
주문/결제 API
7
High 2 · Med 3
파일 업로드
5
High 1 · Med 2
사용자 프로필
4
Med 2 · Low 2
상품 상세/검색
2
Low 2
보안 헤더
2
Med 1 · Low 1
의존성 라이브러리
2
Med 2
감사 로깅
1
Low 1
외부 연동
0
PASS

04 · 보완 ROI · 우선순위

Effort × Impact · Timeline

Effort × Impact 매트릭스

Bubble Scatter

예상 Remediation 타임라인

Burndown · Open vs Fixed

Top 10 Finding 상세 리스트

Critical 3 + High 7
ID심각도CVSS제목OWASP예상 공수영향 감소
SEC-001Critical9.8관리자 로그인 SQL InjectionA034h−35%
SEC-002Critical9.1주문 상세 IDOR (타인 PII 노출)A016h−22%
SEC-003Critical9.0Referer 기반 인증 우회A074h−18%
SEC-004High8.1Q&A 본문 Stored XSSA038h−9%
SEC-005High7.5Session FixationA073h−5%
SEC-006High7.4수직 권한 상승 (사업자→관리자 일부)A0110h−4%
SEC-007High7.3파일 업로드 확장자 검증 미비A036h−3%
SEC-008High7.2브루트포스 제한 없음 (로그인/OTP)A074h−2%
SEC-009High7.1에러 응답에 DB 쿼리 · 스택트레이스 노출A052h−1%
SEC-010High7.0CSRF 토큰 · SameSite 미설정A016h−1%

05 · 이전 감사 대비 트렌드

v1.0 (2025-10) → v1.2 (2026-01) → v1.3 (현재)

심각도별 Finding 추이

Line · 3 Audits

OWASP 카테고리별 변화

Grouped Bar
▲ Trend Insight
v1.0(10월) → v1.3(4월) 기준 Critical 5→3건으로 감소했으나 신규 기능 추가에 따른 High가 4→7건으로 증가. 특히 A01(Access Control) 영역의 Finding이 2건→7건으로 3.5배 증가한 것은 관리자 메뉴 확장의 부작용으로 해석됨. 개발 단계부터 권한 매트릭스 기반 리뷰를 의무화할 필요.

06 · 컴플라이언스 · 인증 맵

ISO 27001 · ISMS-P · PCI-DSS 기초

컴플라이언스 프레임워크 커버리지

Radar · Multi

통제항목 충족률

Horizontal Bar
Greenova × QALabs · sunny34 · Security Deep Analysis v1.3 · 2026-04-11
본 리포트는 포트폴리오 샘플이며 기업·인물·URL·CVE 재현 정보는 모두 가상입니다.