보안 개요

보안은 Alpacon 설계 및 운영의 핵심입니다. 우리는 서버, 데이터, 인프라를 보호하기 위해 업계 표준 보안 관행을 구현합니다.

보안 약속

Alpacon은 보안을 핵심으로 구축되었습니다. 우리는 다층 보안 제어, 정기적인 평가, 업계 모범 사례 준수를 통해 인프라를 지속적으로 보호하기 위해 노력합니다.

주요 보안 기능

데이터 암호화

• 전송 중 암호화: 브라우저, Alpacon 서비스, 서버 간 전송되는 모든 데이터는 TLS 1.2 이상을 사용하여 암호화됩니다
• 저장 암호화: 시스템에 저장된 민감한 데이터는 AES-256 암호화를 사용하여 암호화됩니다
• 게이트웨이 기반 보안: Websh 프로토콜(HTTPS/WSS 기반 자체 개발)은 모든 연결을 Alpacon Gateway를 통해 라우팅하여 전송 중 암호화를 유지하면서 컴플라이언스를 위한 포괄적인 감사 로깅 및 세션 기록을 가능하게 합니다

인증 및 접근 제어

• 엔터프라이즈 인증: SOC 2 Type II, ISO 27001 및 PCI DSS 인증을 받은 Auth0 (Okta) 기반
• 다단계 인증(MFA): 계정 보안 강화를 위한 선택적 MFA 지원
• 역할 기반 접근 제어(RBAC): 서버 및 기능에 대한 접근을 제어하는 세분화된 권한 시스템
• 세션 관리: 자동 타임아웃 및 세션 무효화를 통한 안전한 세션 처리
• 중앙 집중식 인증: 모든 인증을 Alpacon 플랫폼에서 처리하여 서버별 개별 SSH 키 관리가 불필요

네트워크 보안

• 에이전트 기반 아키텍처: Alpamon 에이전트는 아웃바운드 연결만 시작하므로 서버 포트를 노출할 필요가 없습니다
• IP 허용 목록: 향상된 접근 제어를 위해 허용된 IP 범위 구성
• 네트워크 격리: 워크스페이스 수준의 네트워크 격리로 조직 간 데이터 분리 보장

감사 및 모니터링

• 활동 로깅: 모든 사용자 작업 및 시스템 이벤트에 대한 포괄적인 로깅
• 세션 기록: 컴플라이언스 및 감사를 위한 선택적 터미널 세션 기록
• 실시간 알림: 의심스러운 활동 및 보안 이벤트에 대한 구성 가능한 알림
• 감사 추적: 컴플라이언스 및 포렌식 분석을 위한 불변 감사 로그

보안 평가

침투 테스트

잠재적인 취약점을 식별하고 해결하기 위해 정기적인 제3자 침투 테스트를 수행합니다:

• 인증된 보안 전문가에 의한 연간 침투 테스트
• 인프라에 대한 지속적인 취약점 스캐닝
• 보안 연구원을 위한 책임 있는 공개 프로그램

보안 감사

Alpacon은 보안 모범 사례 준수를 보장하기 위해 정기적인 보안 감사를 받습니다:

• 정기적인 내부 보안 검토
• 제3자 보안 평가
• 코드 보안 검토 및 정적 분석

컴플라이언스 준비 상황

Alpacon은 현재 공식적인 보안 인증을 보유하고 있지 않지만, 업계 표준 프레임워크 및 모범 사례를 따릅니다:

• SOC 2 프레임워크: SOC 2 Type II 보안 원칙에 부합하며 인증을 준비 중입니다
• GDPR 준수: GDPR 요구사항을 지원하도록 설계된 데이터 처리 관행
• ISO 27001 정렬: ISO 27001 표준에 부합하는 보안 제어

참고: 우리는 현재 SOC 2 Type II 및 기타 업계 인증을 획득하기 위해 적극적으로 노력하고 있습니다. 인증 상태에 대한 업데이트는 사용 가능해지는 대로 발표될 것입니다.

데이터 프라이버시

데이터 수집 및 사용

• 최소한의 데이터 수집: 서비스 제공에 필요한 데이터만 수집합니다
• 데이터 거주지: 워크스페이스 생성 시 선호하는 데이터 지역 선택
• 데이터 보존: 컴플라이언스 요구사항을 충족하기 위한 구성 가능한 데이터 보존 정책
• 데이터 공유 금지: 제3자와 데이터를 판매하거나 공유하지 않습니다

사용자 권리

• 데이터 접근: 언제든지 데이터에 대한 접근 요청
• 데이터 삭제: 보존 정책에 따라 데이터 삭제 요청
• 데이터 이동성: 표준 형식으로 데이터 내보내기

공급망 보안

의존성 관리

서드파티 의존성의 취약점으로부터 보호하기 위해 포괄적인 공급망 보안 조치를 구현합니다:

• GitHub Dependabot: 모든 리포지토리에 대한 자동화된 의존성 스캐닝 및 보안 업데이트
• 정적 코드 분석 (SAST): 보안 취약점 및 코드 품질 문제에 대한 지속적인 스캐닝
• 소프트웨어 구성 분석 (SCA): 오픈소스 컴포넌트의 알려진 취약점 검사
• 라이선스 규정 준수: 규정 준수를 보장하기 위한 오픈소스 라이선스의 정기적인 감사
• 의존성 고정: 모든 프로덕션 의존성은 예기치 않은 변경을 방지하기 위해 정확한 버전 고정을 사용합니다

보안 스캐닝

• 컨테이너 보안: 모든 Docker 이미지는 배포 전에 취약점을 스캔합니다
• 코드형 인프라 (IaC): Terraform 및 구성 파일의 보안 스캐닝
• 시크릿 탐지: 우발적인 자격 증명 노출을 방지하기 위한 자동화된 스캐닝
• 소프트웨어 자재 명세서 (SBOM): 모든 소프트웨어 구성 요소 및 버전의 유지 관리 인벤토리

서드파티 공급업체 보안

• 공급업체 평가: 모든 중요한 서드파티 서비스의 보안 평가
• 서비스 제공업체 감사: 주요 공급업체의 보안 인증(SOC 2, ISO 27001) 정기 검토
• API 보안: 모든 서드파티 API 통합은 보안 검토를 거칩니다
• 데이터 처리 계약: 모든 데이터 처리자와의 보안 표준을 보장하는 공식 계약

사용자를 위한 보안 모범 사례

최고 수준의 보안을 유지하기 위해 다음을 권장합니다:

1. 모든 사용자 계정, 특히 관리자 계정에 MFA 활성화
2. 강력한 비밀번호 사용 및 정기적인 비밀번호 변경
3. IAM 역할 및 그룹을 통한 최소 권한 접근 구현
4. 비정상적인 활동을 감지하기 위해 감사 로그 정기적으로 검토
5. Alpamon 에이전트를 최신 버전으로 유지
6. 민감한 환경을 위한 IP 허용 목록 구성
7. 컴플라이언스가 중요한 작업을 위한 세션 기록 활성화

보안 모니터링

• 24/7 모니터링: 실시간 보안 이벤트 감시
• 자동 알림: 의심스러운 활동 즉시 감지 및 통보
• 위협 인텔리전스: 최신 위협 정보 기반 보안 업데이트
• 정기 검토: 보안 로그 및 감사 추적 분석

취약점 공개

Alpacon에서 보안 취약점을 발견한 경우 책임감 있게 보고해 주세요:

• 이메일: security@alpacax.com
• 보안 보고서에 대해 48시간 이내에 응답하는 것을 목표로 합니다
• 공개하기 전에 문제를 해결할 시간을 주시기 바랍니다

보안 리소스

• IAM & 접근 제어 - 사용자 권한 및 접근 관리에 대한 자세한 정보
• 모니터링 & 감사 로그 - 보안 모니터링 및 로깅 설정
• 모범 사례: 보안 - 포괄적인 보안 구성 가이드

문의

보안 관련 문의 또는 보안 문서 요청:

• 이메일: security@alpacax.com
• 일반 지원: support@alpacax.com

최종 업데이트: 2025년 11월