보안

우리는 고객과 파트너에게 보안이 가장 중요하다는 것을 잘 알고 있습니다. 우리의 보안 프로그램은 업계 모범 사례와 심층 방어(defense-in-depth) 접근 방식을 기반으로 구축되어, 서비스의 모든 계층에서 고객의 데이터를 안전하게 보호합니다.

인프라 및 네트워크 보안

우리의 인프라는 설계 단계부터 보안을 최우선으로 고려하여, 중요 시스템을 격리하고 공격 표면(attack surface)을 최소화합니다.

• 네트워크 격리: 모든 핵심 시스템과 리소스는 가상 프라이빗 클라우드(VPC) 내의 프라이빗 서브넷에 배포되어 인터넷으로부터 논리적으로 완벽하게 격리됩니다.
• 최소 권한의 원칙: 엄격한 방화벽 규칙을 적용하여 꼭 필요한 포트와 서비스만 접근을 허용합니다. 모든 네트워크 트래픽은 악의적인 활동을 탐지하고 차단하기 위해 지속적으로 모니터링됩니다.
• 고급 위협 방지: IP 평판 필터링, 레이트 리미팅, 악성 봇 탐지, 지리적 차단, 스캐너 및 정찰 공격 방어, HTTP 플러드 완화, 실시간 트래픽 분석 등의 포괄적인 자동화 보안 기능을 갖춘 정교한 웹 애플리케이션 방화벽(WAF)을 통해 OWASP Top 10 취약점, SQL 인젝션, 크로스 사이트 스크립팅(XSS), 신종 위협 등으로부터 서비스를 보호합니다.

데이터 보호

전송 중(in-transit) 및 저장된(at-rest) 데이터를 보호하고, 데이터의 기밀성과 무결성을 보장하기 위해 강력한 조치를 취하고 있습니다.

• 암호화: 모든 민감한 데이터는 전송 중(TLS) 및 저장 시 모두 암호화됩니다.
• 시크릿 관리: 소스 코드에 인증 정보나 민감한 설정을 저장하지 않습니다. 모든 시크릿 정보는 전용 시크릿 관리 서비스를 통해 안전하게 관리되며, 접근은 엄격하게 통제되고 모니터링됩니다.
• AI 모델 학습 보호: 고객의 개인정보, 업로드한 데이터 등 사용자가 제출한 어떠한 콘텐츠도 AI 모델의 학습, 개선에 사용하지 않습니다. 고객의 데이터는 비공개로 유지되며, 오직 서비스 제공 목적으로만 사용됩니다.

애플리케이션 보안

개발 수명 주기의 모든 단계에 보안을 통합합니다.

• 보안 중심 설계(Secure by Design): 우리의 서비스는 보안 위험을 최소화하도록 설계되었습니다. 정적이고 수명이 긴 액세스 키 대신, 애플리케이션은 모든 내부 작업에 대해 자동으로 갱신되는 임시 자격 증명(IAM 역할 및 STS)을 활용합니다.
• API 보안: 핵심 API 엔드포인트에 대한 접근은 강력한 인증 메커니즘으로 보호되어, 허가된 클라이언트만이 민감한 작업을 수행할 수 있도록 보장합니다.

접근 제어

인가된 담당자만이 시스템과 데이터에 접근할 수 있도록 엄격한 접근 제어를 시행합니다.