숨 다이어리

숨 다이어리 보안 정책

후아랩스(이하 "회사")는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」, 「개인정보 보호법」 등 관련 법령에 따라 서비스의 보안을 유지하고, 보안 사고에 신속하게 대응하기 위해 다음과 같이 보안 정책을 수립·공개합니다.

제 1조 (보안 정책의 목적)

본 보안 정책은 회사가 제공하는 숨 다이어리 서비스의 보안을 강화하고, 이용자의 개인정보와 데이터를 보호하며, 보안 사고 발생 시 신속한 대응을 목적으로 합니다.

제 2조 (취약점 신고 절차)

회사는 책임감 있는 공개(Responsible Disclosure) 원칙에 따라 보안 취약점을 신고받습니다:

  • 신고 방법: security@hua-labs.com 또는 contact@hua.ai.kr
  • 신고 내용: 취약점 상세 설명, 재현 방법, 영향 범위
  • 처리 기간: 신고 접수 후 7일 이내 초기 검토, 30일 이내 패치 완료 목표
  • 보상: 취약점의 심각도에 따라 적절한 보상 제공 (선택사항)
  • 공개 시점: 패치 완료 후 취약점 공개 (이용자 보호 우선)

책임감 있는 공개 원칙

취약점을 발견하신 경우, 공개하기 전에 먼저 회사에 신고해 주시기 바랍니다. 이를 통해 회사는 패치를 준비하고 이용자를 보호할 수 있습니다.

  • 취약점을 악용하지 않음
  • 이용자 데이터에 접근하지 않음
  • 서비스 가용성을 저해하지 않음
  • 패치 완료 전 공개하지 않음

제 3조 (보안 사고 대응 절차)

회사는 보안 사고 발생 시 다음 절차에 따라 대응합니다:

  1. 사고 감지: 자동 모니터링 시스템 및 사용자 신고를 통한 사고 감지
  2. 초기 대응: 사고 격리 및 확산 방지 조치 (30분 이내)
  3. 원인 분석: 사고 원인 및 영향 범위 분석 (24시간 이내)
  4. 복구 조치: 시스템 복구 및 보안 강화 (72시간 이내)
  5. 사용자 통지: 영향받은 이용자에게 사고 사실 및 조치 내용 통지 (7일 이내)
  6. 사후 조치: 재발 방지를 위한 보안 강화 및 정책 개선

제 4조 (데이터 보안 조치)

회사는 이용자의 데이터를 보호하기 위해 다음과 같은 조치를 취하고 있습니다:

  • 암호화: 일기 내용 등 민감정보는 AES-256-GCM 암호화 저장
  • 전송 보안: 모든 데이터 전송은 HTTPS(TLS 1.3) 사용
  • 접근 제어: 역할 기반 접근 제어(RBAC) 및 최소 권한 원칙 적용
  • 데이터 백업: 정기적인 암호화 백업 및 복구 테스트
  • 데이터 삭제: 회원 탈퇴 시 즉시 데이터 삭제 (복구 불가)

제 5조 (기술적 보안 조치)

회사는 다음과 같은 기술적 보안 조치를 구현하고 있습니다:

  • HTTPS 강제: 모든 통신은 HTTPS로 암호화
  • 쿠키 보안: HttpOnly, Secure, SameSite 플래그 적용
  • CSRF 방어: CSRF 토큰 검증 및 SameSite 쿠키 사용
  • XSS 방어: Content Security Policy(CSP) 및 입력 검증
  • Rate Limiting: 무차별 대입 공격 방지를 위한 요청 제한
  • 서버 정보 은닉: X-Powered-By, Server 헤더 제거
  • CORS 정책: 허용된 Origin만 접근 허용

제 6조 (보안 업데이트 정책)

회사는 보안을 지속적으로 강화하기 위해 다음 정책을 시행합니다:

  • 정기 보안 점검: 월 1회 보안 취약점 스캔 및 점검
  • 의존성 업데이트: 보안 패치가 포함된 의존성 즉시 업데이트
  • 보안 패치: 긴급 취약점 발견 시 72시간 이내 패치 적용
  • 보안 감사: 연 1회 외부 보안 감사 실시
  • 보안 교육: 개발팀 정기 보안 교육 실시

제 7조 (접근 제어 정책)

회사는 시스템 접근을 엄격히 제어합니다:

  • 인증: 다단계 인증(MFA) 권장, 강력한 비밀번호 정책
  • 권한 관리: 역할 기반 접근 제어, 최소 권한 원칙
  • 세션 관리: 세션 타임아웃, 비활성 세션 자동 종료
  • 로그 관리: 모든 접근 로그 기록 및 모니터링
  • 관리자 접근: 관리자 기능은 특정 IP 또는 VPN을 통해서만 접근 가능

제 8조 (보안 모니터링)

회사는 실시간 보안 모니터링을 수행합니다:

  • 침입 탐지: 비정상적인 접근 패턴 자동 탐지
  • 로그 분석: 접근 로그, 에러 로그 실시간 분석
  • 알림 시스템: 보안 사고 발생 시 즉시 알림
  • 위협 인텔리전스: 최신 보안 위협 정보 수집 및 대응

제 9조 (보안 책임자)

회사는 보안 관련 업무를 총괄하는 보안 책임자를 지정하고 있습니다:

  • 보안 책임자: 후아랩스 보안팀
  • 연락처: security@hua-labs.com
  • 문의시간: 평일 09:00~18:00 (주말, 공휴일 제외)
  • 긴급 연락: 보안 사고 발생 시 24시간 신고 가능

부칙

본 보안 정책은 2025년 1월 1일부터 시행합니다. 본 정책의 개정이 필요한 경우, 회사는 관련 법령에 따라 개정된 정책을 서비스 내 공지사항을 통해 공지합니다.