한국 시장에 진입하는 외국 기업을 위한 특화된 범위를 포함하여, 스타트업을 위한 오픈 소스 보안 가이드, 컴플라이언스 체크리스트, 그리고 LLM 기반 가상 CISO 페르소나를 제공합니다.

문제점 (The Problem)

스타트업은 취약합니다. 제한된 리소스, 전담 CISO의 부재, 그리고 항상

2026년 중반 기준으로 Claude 4, GPT-4o, DeepSeek V3는 Ollama를 통해 로컬에서 실행되는 모델들과 함께 다음과 같은 작업을 수행할 수 있습니다:

• 구조화된 보안 체크리스트를 평가하고 격차(gap) 식별
• 클라우드 IAM 정책, 네트워크 ACL, 암호화 설정 분석
• KISA (한국인터넷진흥원) 표준, GDPR, CCPA 및 교차 관할권 요구사항에 대한 준수 여부 검토
• 발견된 문제에 대한 구체적인 조치 코드(remediation code) 및 설정 가이드 생성

기밀 데이터는 로컬 LLM (Ollama)을 통해 온프레미스(on-premise)에 유지하고, 일반적인 정책 평가는 퍼블릭 LLM을 사용하는 **하이브리드 모델 (hybrid model)**은 오늘날 바로 실무 적용이 가능합니다.

이 프로젝트는 해당 가설을 코드와 프롬프트로 구현합니다.

한국에 진출하는 외국 스타트업에게 이것이 중요한 이유

한국은 아시아에서 네 번째로 큰 경제 규모를 가진 국가이며, SaaS, 핀테크, AI 및 소비자 플랫폼의 전략적 출시 시장입니다. 하지만 한국의 데이터 보호 체계는 GDPR 및 CCPA와는 크게 다른 독특한 과제들을 제시합니다:

차원	GDPR (EU)	CCPA/CPRA (US/CA)	PIPA (한국)
규제 기관	회원국별 국가 데이터 보호 기관 (DPA)	캘리포니아 검찰총장 / CPPA	개인정보보호위원회
...

핵심 통찰 (Key Insight): GDPR을 준수하는 EU 스타트업이라고 해서 한국의 PIPA(개인정보 보호법)를 자동으로 준수하는 것은 아닙니다. 한국 법은 더 엄격한 암호화 의무, 필수 접속 로그 기록, 그리고 GDPR이나 CCPA에는 상응하는 개념이 없는 보편적인 CPO(개인정보 보호책임자) 요건을 가지고 있습니다. 위반 시에는 단순한 민사 벌금이 아닌 형사 처벌이 따를 수 있습니다.

이 프로젝트의 LLM CISO 페르소나는 이러한 격차를 자동으로 표시하는 관할권 인식 준수 모듈을 포함합니다.

프로젝트 구조

Startup_Security_Guide/
├── README.md                        # 한국어 README
├── README_EN.md                     # 이 문서: 영어 README
...

Phase 1: STARTUP_SECURITY_GUIDE_EN.md

Phase 1: STARTUP_SECURITY_GUIDE_EN.md

Pre-seed 단계부터 Series A 단계까지 스타트업의 라이프사이클을 다루는 포괄적인 단계별 (stage-gated) 보안 가이드입니다. KISA 가이드라인과 MINARC 프레임워크 (startup-security.netlify.app)를 기반으로 하며, 다음 내용이 확장되어 포함되어 있습니다:

• 클라우드 보안 (Cloud Security): AWS (15개 항목), GCP (12개 항목), Azure (10개 항목), Vercel (10개 항목) 등 제공자별 체크리스트. IAM 최소 권한 (least privilege), 네트워크 보안, 암호화 (encryption), 로깅 (logging), CSPM 도구, CI/CD 비밀 관리 (secrets management).
• Google Workspace 보안: 관리 콘솔 설정 (Gmail, Drive, Docs, 서드파티 앱, 엔드포인트 관리), SPF/DKIM/DMARC, 데이터 유출 방지 (DLP) 규칙, 외부 공유 감사 루틴.
• DRM 및 문서 보안 (DRM & Document Security): 분류 프레임워크, Google Drive IRM, DRM 도구 비교, 소스 코드 보호, 오프보딩 (offboarding) 시 계정 권한 회수.
• 교차 관할권 컴플라이언스 (Cross-Jurisdictional Compliance): GDPR, CCPA, PIPA(개인정보 보호법) 요구사항의 병렬 비교. EU/미국 스타트업이 한국에서 법적으로 운영하기 위해 변경해야 할 사항.
• 침해 사고 대응 (Incident Response): NIST SP 800-61 기반의 6단계 프레임워크 및 한국 특유의 보고 기한.
• 단계별 게이트 컴플라이언스 (Stage-Gate Compliance): 개발부터 프로덕션 출시까지의 릴리스 게이트 (release gate) 기준.

사용법: 브라우저에서 열어 체크리스트를 따라가거나, 문서 전체를 LLM의 컨텍스트 (context)로 제공한 뒤 "이 체크리스트를 바탕으로 우리 회사를 평가해줘"라고 요청하세요.

Phase 2: LLM_CISO_PROMPT_EN.md

어떤 LLM이라도 명시적인 교차 관할권 전문 지식을 갖춘 가상 CISO로 변환하는 페르소나 프롬프트 (persona prompt) 시스템입니다. 다음을 포함합니다:

구성 요소	설명
기본 CISO 페르소나 (Base CISO Persona)	실용적이고 실행 중심적인 스타일을 가진 15년 경력의 베테랑 CISO. NIST CSF 기반 방법론 및 표준화된 응답 형식.
...
사용법 -- 퍼블릭 LLM (Public LLM):

1. LLM_CISO_PROMPT_EN.md에서 "Base CISO Persona" 섹션을 시스템 프롬프트 (System Prompt)로 복사합니다.
2. 원하는 도메인 평가 프롬프트를 사용자 메시지 (User Message)로 복사합니다.
3. 구체적인 회사 컨텍스트 (관할권, 데이터 유형, 단계)를 제공합니다.

사용법 -- 로컬 LLM (Local LLM, Ollama):

1. Ollama 설치

brew install ollama # macOS

또는: curl -fsSL https://ollama.ai/install.sh | sh # Linux

...

사용법 -- TypeScript/Node.js (Vercel 배포):

git clone https://github.com/gameworkerkim/CYBER-THREAT-INTELLIGENCE-REPORT.git
cd CYBER-THREAT-INTELLIGENCE-REPORT/Startup_Security_Guide

...

Phase 3: LLM_CISO_DASHBOARD_EN.md

웹 기반 CISO 대시보드 설계 문서. Next.js + Vercel + TypeScript를 이용한 구현 계획:

• 보안 스코어보드 (전체 점수, 도메인별 점수, 위험 등급별 이슈 수)
• 자동 평가 스케줄러 (cron 기반 주기적 평가, Slack/Email 보고서)
• 조치 로드맵 트래커 (스프린트 기반 보안 작업, JIRA/Linear 연동)
• 컴플라이언스 스코어카드 (KISA, GDPR, CCPA 준수 상태 시각화)
• LLM 제공자 선택기 (Public Claude/GPT/DeepSeek, Local Ollama, 하이브리드 모드)

개발 로드맵 (Development Roadmap)

Phase 1 (완료)     Phase 2 (완료)      Phase 3 (계획됨)    Phase 4 (계획됨)
     |                   |                     |                    |
     v                   v                     v                    v
...

최종 목표는 스타트업이 매일 접속하는 셀프 호스팅(self-hosted) 대시보드입니다. 단순한 체크리스트 뷰어가 아니라, LLM이 주기적으로 인프라를 스캔하고, 이상 징후를 탐지하며, 조치 작업을 우선순위화하는 통합 모니터링 시스템으로서 — 상시 가동되는 가상 CISO (virtual CISO) 역할을 수행합니다.

유사 프로젝트 및 참고 자료 (Awesome LLM CISO)

AI 지원 보안 거버넌스(security governance)와 관련된 오픈 소스 및 연구 프로젝트를 선별하여 평가했습니다. 2026년 6월 기준입니다.

A. 직접 비교 가능한 프로젝트 (가상 CISO / AI 보안 어드바이저)

프로젝트	Stars	평가
intuitem/ciso-assistant-community	4.1k	벤치마크 (Benchmark). 결정적인 오픈 소스 GRC (Governance, Risk, and Compliance) 플랫폼입니다. 자동화된 통제 항목 매핑 (control mapping) 기능을 통해 150개 이상의 프레임워크 (ISO 27001, NIST CSF, SOC 2, GDPR, PCI DSS, NIS2, DORA, HIPAA)를 지원합니다. Python/Django 기반입니다. 현재는 LLM 통합 기능이 부족하지만, 구조화된 컴플라이언스 지식 베이스를 갖추고 있어 LLM 증강 (augmentation)을 위한 자연스러운 후보입니다. 이는 LLM CISO가 오케스트레이션 (orchestrate)할 수 있는 모습의 북극성 (north star) 역할을 합니다.
...

B. LLM + 보안 자동화 도구 (Security Automation Tools)

프로젝트	Stars	평가
kennedyraju55/gdpr-compliance-checker	N/A	아키텍처 참조 (Architecture reference). GDPR 컴플라이언스 체크를 위해 로컬 Gemma 4 LLM (Ollama)을 사용합니다. 100% 프라이빗 프로세싱을 수행합니다. 컴플라이언스를 위한 로컬 LLM 활용 패턴을 보여줍니다. 이를 한국의 개인정보 보호법 (PIPA)까지 확장한다면 이 프로젝트의 하이브리드 접근 방식을 재현할 수 있을 것입니다.
...

C. 스타트업 보안 및 AI 거버넌스 참조 (Startup Security & AI Governance References)

프로젝트	Stars	평가
rushout09/llm-security-startups	15	시장 현황 (Market landscape). LLM 보안 스타트업을 큐레이션한 목록입니다. LLM 방화벽 (firewalls), 레드팀 도구 (red-teaming tools), 가드레일 (guardrails), 그리고 AI 보안 태세 관리 (AI security posture management) 기업들을 다룹니다. 경쟁 생태계를 이해하는 데 유용합니다.
...

D. 인프라 도구 (LLM CISO 통합 대상)

프로젝트	Stars	평가
semgrep/semgrep	12k+	정적 분석 (Static analysis)의 표준입니다. 30개 이상의 언어, YAML 규칙, 쉬운 CI/CD 통합을 지원합니다. LLM CISO를 위한 취약점 탐지 백엔드 (vulnerability detection backend)로 활용될 수 있습니다.
...

E. 관련 CTI 보고서 (본 리포지토리)

보고서 ID	제목	관련성
CTI-2026-0604-TVING	Tving OTT 플랫폼 개인정보 유출	CI 노출, 설정 오류 (misconfiguration) 영향
...

차별화 요소 (Differentiating Factors)

기준 (Criterion)	이 프로젝트의 차별점 (How This Project Differs)
범위 (Scope)	클라우드 (Cloud) + SaaS (Google Workspace) + DRM + KISA 준수 (compliance) + GDPR + CCPA + 통합 가이드 내 사고 대응 (incident response). 대부분의 유사 프로젝트는 단일 도메인에 집중함.
...

기술 스택 (Tech Stack)

계층 (Layer)	기술 (Technology)	목적 (Purpose)
언어 (Language)	TypeScript (Strict), Node.js 22	API 서버 (API server), CLI 도구 (CLI tools)
...
알림 (Notifications)