보안 전문가가 기업용 컴플라이언스 도구 5만 달러 대신 자체 개발한 무료 취약점 컴플라이언스 스캐너를 npm으로 공개하다

Context

기업용 GRC 도구 비용이 5만 달러에 달해 사이드 프로젝트의 컴플라이언스 증빙 확보가 사실상 불가능한 상황이었다. 기존 npm audit은 취약점 목록만 제공할 뿐 SOC 2, CMMC, FedRAMP 같은 프레임워크별 영향도를 알려주지 않아 실무자가 수동으로 CVEs를 CWEs로, 다시 NIST 컨트롤로 교차 매핑해야 하는 비효율적인 과정이 필요했다.

Technical Solution

• 취약점 스캐너 @cveriskpilot/scan이 npm audit 결과에 CWE 분류, NIST 800-53 컨트롤 위반 항목, SOC 2/CMMC/FedRAMP 영향을 추가 매핑한다
• 시크릿 탐지 및 IaC 설정 스캔 기능을 포함해 의존성 취약점 외 보안 위험도 분석한다
• NIST 800-53, SOC 2, CMMC, FedRAMP, OWASP ASVS, SSDF 총 6개 프레임워크 동시 매핑을 기본 제공한다
• severity 기반 판정(truth positive, false positive, needs review)을 통해 실제 위험도를 필터링한다
• JSON, SARIF, Markdown 출력 포맷을 지원해 CI/CD 파이프라인 연동 및 보고서 작성이 가능하다

Impact

사용자는 별도 API 키나 계정 생성 없이 오프라인 환경에서 30초 내 스캔을 완료할 수 있다.

Key Takeaway

도메인 전문가가 실제 필요에 의해 구축한 도구가 기존 고가 솔루션의 핵심 기능보다 실용적일 수 있다.