Skip to Content
정책보안 정책

보안 정책 (Security Policy)

최종 수정일: 2026년 4월 24일

개요

Safient(이하 “회사”)는 고객의 데이터와 서비스의 보안을 최우선으로 생각합니다. 본 보안 정책은 회사가 구현하는 보안 조치, 고객의 책임, 보안 사고 대응 절차를 명시합니다.

본 정책은 Safient 및 모든 관련 서비스(biqapp.com, biq.kr, biqapp.net)에 적용됩니다.

1. 보안 원칙

1.1 핵심 원칙

기밀성 (Confidentiality)

  • 승인된 사용자만 데이터에 접근
  • 데이터 암호화
  • 접근 제어 및 인증

무결성 (Integrity)

  • 데이터 변조 방지
  • 무단 수정 탐지
  • 백업 및 복구

가용성 (Availability)

  • 서비스 중단 최소화
  • DDoS 보호
  • 재해 복구 계획

책임성 (Accountability)

  • 모든 활동 로깅
  • 감사 추적
  • 사고 대응

1.2 보안 프레임워크

회사는 다음 보안 표준을 준수합니다:

  • ISO/IEC 27001 (정보보안 관리)
  • SOC 2 Type II
  • PCI DSS (결제 정보 보안)
  • GDPR (개인정보 보호)
  • 개인정보보호법 (한국)

2. 인프라 보안

2.1 물리적 보안

데이터센터 보안:

  • Tier 3/Tier 4 데이터센터 사용
  • 24/7 보안 모니터링 및 순찰
  • 생체 인증 출입 통제
  • CCTV 감시 (90일 보관)
  • 환경 제어 (화재, 온도, 습도)
  • 백업 전력 (UPS, 발전기)

하드웨어 보안:

  • 정기적인 하드웨어 유지보수
  • 폐기 시 데이터 완전 삭제 (DoD 5220.22-M)
  • 하드웨어 보안 모듈 (HSM) 사용

2.2 네트워크 보안

방화벽:

  • 다층 방화벽 구조
  • 상태 기반 패킷 검사 (Stateful Inspection)
  • 애플리케이션 레이어 방화벽 (WAF)
  • 정기적인 규칙 검토 및 업데이트

침입 탐지/방지:

  • IDS/IPS 시스템 24/7 모니터링
  • 실시간 위협 탐지
  • 자동 차단 시스템
  • 이상 트래픽 패턴 분석

네트워크 분리:

  • VLAN 및 서브넷 분리
  • DMZ 구성
  • 프로덕션/개발/관리 네트워크 격리
  • 마이크로 세그먼테이션

DDoS 보호:

  • Layer 3/4/7 DDoS 보호
  • 트래픽 스크러빙
  • Rate Limiting
  • Anycast 네트워크

3. 애플리케이션 보안

3.1 보안 개발 수명주기 (SDLC)

설계 단계:

  • 위협 모델링
  • 보안 아키텍처 리뷰
  • 보안 요구사항 정의

개발 단계:

  • 보안 코딩 표준 준수 (OWASP)
  • 코드 리뷰 (동료 검토)
  • 정적 애플리케이션 보안 테스트 (SAST)

테스트 단계:

  • 동적 애플리케이션 보안 테스트 (DAST)
  • 침투 테스트 (연 2회 이상)
  • 취약점 스캔 (월 1회)

배포 단계:

  • 자동화된 보안 검사
  • CI/CD 파이프라인 보안
  • 변경 관리 프로세스

3.2 OWASP Top 10 대응

1. Injection

  • 파라미터화된 쿼리 사용
  • 입력 검증 및 새니타이제이션
  • ORM 사용

2. Broken Authentication

  • 강력한 인증 메커니즘
  • 2단계 인증 (2FA) 지원
  • 세션 타임아웃
  • 비밀번호 강도 요구사항

3. Sensitive Data Exposure

  • 전송 중 암호화 (TLS 1.2+)
  • 저장 시 암호화 (AES-256)
  • 민감 정보 마스킹

4. 데이터 보안

4.1 암호화

전송 중 암호화:

  • TLS 1.2 이상 (TLS 1.3 권장)
  • 강력한 암호화 스위트
  • HSTS (HTTP Strict Transport Security)
  • 인증서 관리 및 자동 갱신

저장 시 암호화:

  • AES-256 암호화
  • 데이터베이스 암호화 (TDE)
  • 디스크 전체 암호화
  • 파일 레벨 암호화

키 관리:

  • 하드웨어 보안 모듈 (HSM)
  • 키 회전 정책 (분기별)
  • 키 백업 및 복구
  • 키 접근 로그

5. 취약점 관리

5.1 취약점 스캔

정기 스캔:

  • 인프라 스캔: 주 1회
  • 애플리케이션 스캔: 월 1회
  • 침투 테스트: 연 2회
  • 제3자 보안 감사: 연 1회

5.2 패치 관리

패치 일정:

  • 긴급 (Critical): 24시간 내
  • 높음 (High): 7일 내
  • 중간 (Medium): 30일 내
  • 낮음 (Low): 90일 내

5.3 책임 있는 취약점 공개

회사는 보안 연구자들의 책임 있는 공개를 환영합니다.

보안 취약점 신고:

신고 시 포함 사항:

  • 취약점 설명
  • 재현 단계
  • 영향 평가
  • 개념 증명 (PoC) - 선택사항
  • 연락처

대응 절차:

  • 접수 확인: 24시간 내
  • 초기 평가: 3영업일 내
  • 수정 계획: 10영업일 내
  • 패치 배포: 심각도에 따라
  • 공개 시점: 협의

보상:

  • 공개 감사
  • Hall of Fame 등재
  • 현금 보상 (심각도에 따라, Bug Bounty 시작 후)

주의사항:

  • 취약점을 악용하지 마세요
  • 데이터를 훼손하거나 유출하지 마세요
  • DoS 공격을 수행하지 마세요
  • 책임 있는 공개 기간을 지켜주세요 (90일)

6. 보안 사고 대응

6.1 사고 대응팀 (CSIRT)

연락처:

6.2 사고 대응 절차

1단계: 탐지 및 분석

  • 사고 확인
  • 영향 범위 평가
  • 증거 수집
  • 초기 보고서 작성

2단계: 격리 및 차단

  • 영향받은 시스템 격리
  • 추가 피해 방지
  • 공격 벡터 차단
  • 백업 확인

3단계: 근절

  • 공격자 접근 제거
  • 멀웨어 제거
  • 취약점 패치
  • 시스템 강화

4단계: 복구

  • 시스템 복원
  • 서비스 재개
  • 데이터 무결성 확인
  • 모니터링 강화

5단계: 사후 검토

  • 사고 분석 보고서
  • 교훈 도출
  • 프로세스 개선
  • 재발 방지 대책

7. 고객 책임

7.1 계정 보안

고객의 의무:

  • 강력한 비밀번호 사용
  • 2FA 활성화
  • API 키 안전 보관
  • 의심스러운 활동 즉시 보고

7.2 애플리케이션 보안

고객 책임:

  • 자체 애플리케이션 보안
  • 정기 업데이트
  • 보안 설정
  • 백업 관리

8. 보안 리소스

문서:

지원:

9. 연락처

보안팀:

보안 사고:

취약점 신고:

일반 문의:

시행일자: 2026년 4월 24일

본 보안 정책은 지속적으로 검토 및 업데이트됩니다. 중요한 변경 사항은 사전에 공지됩니다.

다음 검토 예정일: 2026년 1월 17일

보안 인증:

  • ISO/IEC 27001: [인증번호] (예정)
  • SOC 2 Type II: [인증번호] (예정)
  • PCI DSS: [인증번호] (예정)
수용 가능한 사용 정책 (AUP)환불 및 취소 정책