보안 FAQ
Alpacon의 보안 기능 및 관행에 대해 자주 묻는 질문입니다.
일반 보안
Alpacon은 프로덕션 환경에 충분히 안전한가요?
네. Alpacon은 프로덕션 사용을 위한 엔터프라이즈급 보안으로 설계되었습니다:
- 군사급 암호화(AES-256, TLS 1.3)
- 서버에 인바운드 포트 불필요
- 제3자 전문가의 정기적인 보안 감사
- 24/7 보안 모니터링 및 사고 대응
- 미션 크리티컬 인프라를 관리하는 기업이 사용
Alpacon은 기존 SSH 보안과 어떻게 비교되나요?
Alpacon은 여러 면에서 기존 SSH보다 더 안전합니다:
| 기능 | 기존 SSH | Alpacon (Websh 프로토콜) |
|---|---|---|
| 노출된 포트 | 인터넷에 포트 22 노출 | 노출된 포트 없음 |
| 공격 표면 | 직접 서버 접근 | 제로 트러스트 에이전트 기반 |
| 접근 제어 | 서버당 SSH 키 | 중앙 집중식 IAM |
| 명령 로깅 | 제한적이거나 없음 | 완전한 감사 추적 |
| 실시간 모니터링 | 불가능 | 게이트웨이가 모든 트래픽 검사 |
| 정책 시행 | 불가능 | 명령 차단, 승인 요구 |
| MFA 지원 | PAM 구성 필요 | 내장 MFA |
| 세션 기록 | 추가 도구 필요 | 선택적 내장 |
| 컴플라이언스 | 어려움 (감사 추적 없음) | SOC 2, HIPAA, PCI-DSS를 위해 설계됨 |
Alpacon 플랫폼이 다운되면 어떻게 되나요?
간단한 답변: 서버는 정상적으로 계속 실행됩니다. Alpacon을 통한 원격 접근이 일시적으로 불가능하지만, 비상 SSH 접근이 구성되어 있으면 사용할 수 있습니다.
세부 사항:
- 에이전트 동작: Alpamon 에이전트가 지수 백오프로 재시도 모드로 전환
- 서버 영향: 서버 운영 또는 애플리케이션에 영향 없음
- 재연결: 서비스 재개 시 자동 재연결
- 가동 시간 SLA: 99.9% 가용성 보장(엔터프라이즈)
Alpacon이 제 서버 데이터에 접근할 수 있나요?
서버 파일: 아니요. 터미널 명령: 네, 보안과 컴플라이언스를 위한 의도적 설계입니다.
- 파일 접근 없음: 서버의 파일을 읽거나 저장하거나 분석하지 않음
- 게이트웨이 가시성: 게이트웨이가 감사 추적 및 컴플라이언스를 위해 터미널 명령을 보고 로깅할 수 있음
- 이것이 더 안전한 이유:
- 실행된 모든 명령의 완전한 감사 추적
- 의심스러운 활동에 대한 실시간 모니터링
- 컴플라이언스를 위한 세션 기록(SOC 2, HIPAA, PCI-DSS)
- 위험한 명령을 차단할 수 있는 능력
- 감사 로깅을 의무화하는 규제 요구사항 충족
- 암호화된 전송: 모든 데이터가 전송 중 TLS 1.3을 사용하여 암호화됨
- 사용자 제어: 기록할 내용과 보존 기간을 결정
인증 및 접근
다단계 인증(MFA)이 정말 필요한가요?
다음의 경우 강력히 권장됩니다:
- 프로덕션 환경
- 민감한 데이터가 있는 서버
- 관리/슈퍼유저 계정
- 컴플라이언스 요구사항(SOC 2, HIPAA 등)
강력한 비밀번호도 피싱, 키로거 또는 데이터베이스 침해를 통해 손상될 수 있습니다. MFA는 중요한 두 번째 방어 계층을 추가합니다.
Alpacon이 직접 인증을 처리하나요, 아니면 제3자 서비스를 사용하나요?
Alpacon은 인증을 위해 Auth0(Okta)를 사용합니다:
이것이 더 안전한 이유:
- 업계 선도: Auth0는 전 세계 수천 개의 엔터프라이즈가 신뢰하는 서비스
- 인증됨: SOC 2 Type II, ISO 27001 및 PCI DSS 인증
- 전문화: 인증은 복잡함—전용 서비스를 사용하는 것이 자체 구축보다 더 안전
- 지속적 업데이트: 새로 발견된 취약점에 대한 즉각적인 보호
- 높은 가용성: 글로벌 중복성을 갖춘 99.99% 가동 시간 SLA
Alpacon이 제어하는 것:
- Auth0는 인증을 처리 (당신이 누구인지)
- Alpacon은 권한 부여를 제어 (무엇에 접근할 수 있는지)
- 모든 서버 접근 정책, IAM 역할 및 권한은 Alpacon이 관리
투명성: 우리는 인프라에 대해 투명하게 공개하는 것을 믿습니다. Auth0를 사용하는 것은 인증을 처음부터 구축하려 하기보다 보안 모범 사례에 대한 우리의 헌신을 보여줍니다.
회사의 SSO(싱글 사인온)를 사용할 수 있나요?
네, 엔터프라이즈 플랜에서 가능합니다:
- SAML 2.0: Azure AD, Okta, OneLogin, Google Workspace
- OAuth 2.0: Google, Microsoft, GitHub, 사용자 정의 제공업체
- Just-in-Time 프로비저닝: 자동 사용자 생성
- 그룹 동기화: IdP 그룹을 Alpacon 사용자 그룹에 매핑
직원이 퇴사하면 어떻게 되나요?
모범 사례:
- 즉시: IdP(SSO 사용 시) 또는 Alpacon에서 접근 권한 취소
- 감사: 사용자의 활동에 대한 접근 로그 검토
- 키: 사용자가 접근했던 API 키 또는 토큰 교체
- 세션: 모든 활성 세션 종료
- 검토: 사용자가 자격 증명을 다른 사람과 공유했는지 확인
네트워크 및 인프라
서버에 포트를 노출해야 하나요?
아니요. 이것이 Alpacon의 주요 보안 장점 중 하나입니다:
- 인바운드 포트 없음: 서버가 Alpacon을 위한 들어오는 연결을 수락하지 않음
- 아웃바운드만: Alpamon 에이전트가 아웃바운드 HTTPS/WSS 연결 시작
- 방화벽 친화적: 제한적인 방화벽 정책과 호환
- 포트 포워딩 불필요: 포트 포워딩이나 NAT 구성 불필요
필수: 서버에서 Alpacon 플랫폼으로 아웃바운드 HTTPS(443)
Alpacon이 기업 방화벽/프록시 뒤에서 작동할 수 있나요?
네. Alpacon은 엔터프라이즈 네트워크용으로 설계되었습니다:
- HTTP/HTTPS 프록시 지원: 인증이 포함된 표준 프록시
- SOCKS 프록시 지원: SOCKS4/SOCKS5 프록시 지원
- PAC 지원: 프록시 자동 구성 파일
- 최소 화이트리스트:
<workspace>.<region>.alpacon.io만 필요
Alpacon을 사용하면 VPN이 여전히 필요한가요?
대부분 아니요. Alpacon은 VPN 없이 안전한 접근을 제공합니다:
권장 사항: 대부분의 회사는 서버 접근을 위한 VPN을 제거할 수 있습니다. 특정 네트워크 요구사항(예: 레거시 시스템, 파일 공유)이 있는 경우에만 VPN을 유지하세요.
데이터 및 프라이버시
내 데이터는 어디에 저장되나요?
데이터는 다음 위치에 저장됩니다:
| 지역 | 위치 | 데이터 센터 | 상태 |
|---|---|---|---|
| AP1 | 아시아-태평양(서울) | AWS Seoul Region | 운영 중 |
| US1 | 미국(버지니아) | AWS US-East-1 | 출시 예정 |
백업 시스템:
- 재해 복구를 위해 모든 데이터가 아이네트호스팅이 호스팅하는 보조 시스템에 백업됨
주요 사항:
- 데이터는 주로 선택한 지역에 저장됨
- 중복성을 위한 보조 위치로 자동 백업
- 백업을 제외한 교차 지역 데이터 전송 없음
- 지역 데이터 주권 요구사항 준수
Alpacon은 어떤 데이터를 수집하나요?
필수 데이터만 수집합니다:
항상 수집:
- 사용자 인증 데이터(이메일, 해시된 비밀번호, MFA 비밀)
- 서버 메타데이터(이름, IP, 플랫폼, 에이전트 버전)
- 연결 로그(누가 어느 서버에 언제 연결했는지)
- 감사 이벤트(권한 변경, 사용자 작업)
- 터미널 세션 기록(플랜별 보존 기간 상이)
수집하지 않음:
- 서버 파일 또는 애플리케이션 데이터
- 서버의 데이터
- 애플리케이션 로그 또는 메트릭(전달하지 않는 한)
- 계정 정보 이외의 개인 데이터
플랜별 세션 기록 보존 기간:
- Free 플랜: 세션 히스토리 제공 안 함
- Essentials 플랜: 1년
- Enterprise 플랜: 5년
내 데이터를 내보낼 수 있나요?
🚧 출시 예정 - 데이터 내보내기 기능은 현재 개발 중입니다
완전한 데이터 이동성을 보장하기 위해 포괄적인 데이터 내보내기 기능을 구축하고 있습니다:
계획된 내보내기 기능:
- 워크스페이스 구성: 모든 워크스페이스 설정 및 구성 내보내기
- 감사 로그: CSV 또는 JSON 형식의 완전한 감사 추적 내보내기
- 서버 메타데이터: 서버 목록 및 구성 내보내기
- 사용자 데이터: 사용자 계정 및 권한 설정 내보내기
- 세션 기록: 터미널 세션 기록 내보내기 (보존 정책 적용)
내보내기 형식:
- JSON (구조화된 데이터)
- CSV (감사 로그, 사용자 목록 등 표 형식 데이터)
- 비디오 형식 (세션 기록)
접근 방법 (제공 시):
- CLI 명령
- 웹 인터페이스
- API 엔드포인트
일정: 데이터 내보내기 기능은 현재 활발히 개발 중입니다. 컴플라이언스 또는 마이그레이션 목적으로 특정 데이터 내보내기 기능이 필요한 경우 support@alpacax.com으로 문의하세요.
컴플라이언스 및 인증
Alpacon은 SOC 2를 준수하나요?
현재 SOC 2 Type II 인증을 위해 노력 중입니다:
- 현재 상태: SOC 2 제어 및 정책 구현 중
- 예상 일정: 인증 프로세스 진행 중
- 임시 조치: SOC 2 Type II 보안 원칙 준수
- 업데이트: 인증 상태는 사용 가능해지는 대로 발표됨
Alpacon은 GDPR을 준수하나요?
네, GDPR 요구사항을 준수합니다:
- 데이터 처리 계약(DPA): 요청 시 제공
- 데이터 전송: 국제 데이터 전송을 위한 표준 계약 조항(SCCs)
- 사용자 권리: GDPR 사용자 권리(접근, 수정, 삭제, 이동성) 완전 지원
- 설계에 의한 프라이버시: 제품 개발에 GDPR 원칙 내재화
- 데이터 관리자: 귀하가 워크스페이스 데이터의 데이터 관리자로 남음
참고: 현재 데이터는 AWS Seoul Region(AP1)에 호스팅됩니다. EU 내 데이터 레지던시가 필요한 EU 고객의 경우 특정 요구사항에 대해 논의하기 위해 문의해 주세요.
사고 대응
보안 취약점을 어떻게 보고하나요?
책임 있는 공개:
- 이메일: security@alpacax.com
- 포함 사항: 상세한 설명, 재현 단계, 영향 평가
- 응답 시간: 48시간 이내에 응답을 목표로 함
- 공개: 공개하기 전에 수정할 시간을 주시기 바랍니다
보안 침해가 발생하면 어떻게 되나요?
사고 대응 프로세스:
- 탐지(< 1시간): 자동 모니터링이 사고 감지
- 격리(< 4시간): 영향을 받은 시스템 격리
- 조사(< 24시간): 범위 및 영향 파악
- 통지(< 72시간): GDPR에 따라 영향을 받은 고객에게 통지
- 해결: 취약점 수정 및 서비스 복원
- 사후 검토: 사고 보고서 발행(적절한 경우)
도움 받기
더 많은 보안 문서는 어디에서 찾을 수 있나요?
- 보안 개요 - 전반적인 보안 접근 방식
- 데이터 보안 - 데이터 보호 조치
- 인증 및 접근 제어 - IAM 및 인증
- 네트워크 보안 - 네트워크 아키텍처 및 보안
- 인프라 설정 - 보안 구성 가이드
보안 팀에 어떻게 연락하나요?
- 보안 문제: security@alpacax.com
- 취약점 보고: security@alpacax.com
- 프라이버시 질문: privacy@alpacax.com
- 일반 지원: support@alpacax.com
최종 업데이트: 2025년 11월