공통 보안 및 개인정보 보호 정책 (Security and Compliance)
2025-10-27
요약
- 모든 포지션은 보안 책임을 공유한다.
- 본 문서는 서비스 운영 시 필수적인 보안 기준 및 개인정보 관리 절차를 정의한다.
- 목표: “기능은 많아도, 노출은 없게.”
| 항목 | 설명 |
|---|---|
| 보안 원칙 | 최소 권한, 암호화, 로그 보호 |
| 데이터 보호 | 저장·전송 구간 모두 암호화 |
| 접근 통제 | Role & Network 이중 제한 |
| 점검 주기 | 코드·이미지·침투 테스트 병행 |
1. 보안 기본 원칙
| 항목 | 원칙 |
|---|---|
| 최소 권한 | 필요한 권한만 부여 (Principle of Least Privilege) |
| 암호화 | 전송/저장 구간 모두 암호화 (TLS, AES) |
| 인증/인가 분리 | Auth(인증) ≠ Access Control(인가) |
| 로깅 보안 | 민감정보(토큰, 비밀번호) 로그 금지 |
| 비밀 관리 | .env, Vault, Secret Manager로 분리 관리 |
2. 데이터 보호
- 개인정보 분류: 이름, 이메일, IP, 토큰 등
- 보존 정책:
- 운영 목적 외 데이터는 30일 이내 파기
- 로그 저장 90일 / 백업 180일 보관
- 암호화 정책:
- Rest: AES-256
- Transit: TLS 1.3 이상
3. 접근 통제 (Access Control)
| 구분 | 방식 | 예시 |
|---|---|---|
| 인증(Authentication) | OAuth2 / JWT | 로그인 토큰 발급 |
| 인가(Authorization) | Role-Based Access | ADMIN, DEV, VIEWER |
| 네트워크 | VPN / VPC / IP Allowlist | 사내망 접근 제한 |
| 시스템 | SSH Key / Bastion Host | Root 접근 차단 |
4. 취약점 관리 및 점검
| 항목 | 주기 | 담당 |
|---|---|---|
| 종속성 스캔 (SCA) | 매 배포 시 | SE |
| 컨테이너 이미지 스캔 | 매주 | SE |
| 정적 코드 분석 (SAST) | CI 시 자동 | BE |
| 침투 테스트 (Pentest) | 분기별 | 보안팀/QA |