신뢰

·English →

Anvil 보안

최종 업데이트: 2026년 4월 19일

⚠️ 비공식 참고 번역 / Unofficial Reference Translation

본 문서는 참고용 한국어 번역입니다. 영문판(anvilhk.com/security)과 상이한 경우 영문판이 우선합니다. 한국 내 사업 운영 시 현지 변호사 자문을 권장합니다.

Anvil은 고객의 매출 파이프라인의 기록 시스템입니다. 그 책임을 무겁게 받아들입니다. 본 페이지는 고객 데이터를 보호하는 보안 통제, 인증, 관행을 알기 쉽게 설명합니다. 계약적 설명은 데이터 처리 부속서(DPA)를 참고하시기 바랍니다.

기본 암호화

전송 중 TLS 1.3, 저장 시 AES-256-GCM. 하드웨어 기반 KMS에서 엔벨로프 암호화로 키를 관리합니다.

최소 권한 접근

엔지니어는 승인된 활성 세션 없이는 프로덕션 환경에 접근할 수 없습니다. 모든 관리자에게 MFA + SSO가 강제됩니다.

투명한 사고 대응

48시간 이내 유출 통지, 중대한 사고에 대한 공개 포스트모템, 실시간 상태 페이지.

1. 데이터 보호

전송 중 암호화

사용자와 Anvil 간의 모든 트래픽은 TLS 1.3 기반의 HTTPS로 제공됩니다. HSTS를 1년 max-age로 강제하며 프리로드 목록에 등재되어 있습니다. 내부 서비스 간 트래픽은 사설망 내부에서 암호화됩니다.

저장 시 암호화

PostgreSQL, MongoDB, Redis 영속성, 오브젝트 스토리지는 모두 AES-256-GCM으로 암호화됩니다. 데이터베이스 백업은 별도의 키로 암호화되어 지리적으로 분리된 리전에 저장됩니다.

키 관리

데이터 암호화 키(DEK)는 하드웨어 기반 KMS의 키 암호화 키(KEK)로 래핑됩니다. 키는 정해진 일정에 따라 교체되며, 사람이 DEK의 평문에 접근할 수 없습니다.

시크릿

애플리케이션 시크릿은 암호화된 시크릿 스토어에 보관되고 런타임에 주입되며, 소스 컨트롤에 커밋되지 않습니다. 모든 푸시에서 시크릿 스캐닝이 실행됩니다.

테넌트 격리

모든 테넌트 보유 테이블의 모든 행에는 테넌트 식별자가 부여됩니다. 권한 부여는 애플리케이션 계층에서 강제되며, 배포마다 크로스테넌트 회귀 테스트가 실행됩니다. 스토리지 경로는 네임스페이스로 분리됩니다.

데이터 레지던시

고객 데이터는 주로 홍콩특별행정구에서 호스팅됩니다. 엔터프라이즈 고객은 EU 또는 US 전용 레지던시를 요청할 수 있으며, 자세한 가격은 문의 바랍니다.

2. 인증 및 접근

이용자 인증

이메일 + 비밀번호, Google OAuth, SAML/OIDC SSO(엔터프라이즈). 비밀번호는 사용자별 솔트와 함께 Argon2id 해시됩니다. 반복 실패 시 계정이 잠깁니다.

MFA

모든 플랜에서 TOTP 및 WebAuthn/passkey를 지원합니다. OWNER 및 ADMIN 역할에 대해 MFA가 강제됩니다.

세션

액세스 토큰은 RS256으로 서명된 단기(15분) JWT이며, 리프레시 토큰은 로테이션되고 __Host- 접두사 HttpOnly 쿠키에 저장됩니다. CSRF는 이중 제출 토큰과 SameSite=Lax 쿠키로 완화됩니다.

RBAC

내장 역할: OWNER, ADMIN, MANAGER, MEMBER, VIEWER. 권한은 서버 측에서 강제되며, UI는 권한이 없는 기능을 숨기지만 보안은 이에 의존하지 않습니다.

직원 접근

엔지니어에게는 상시 프로덕션 접근 권한이 없습니다. Break-glass 접근은 시간 제한이 있고 동료 승인을 필요로 하며 완전히 기록됩니다. 모든 접근은 하드웨어 보안 키와 관리형 zero-trust 프록시를 사용합니다.

API 키 및 웹훅

API 키는 스코프가 있고 철회 가능하며 속도 제한이 적용되고 저장 시 해시됩니다. 웹훅은 HMAC 시크릿으로 서명되며 타임스탬프 및 리플레이 보호가 포함됩니다.

3. 인프라 보안

네트워크

Cloudflare가 엣지에서 DDoS 완화, WAF, 봇 관리, TLS 종단을 제공합니다. 오리진은 인증된 터널을 통해서만 접근 가능하며, 실제 IP는 공개적으로 라우팅되지 않습니다.

세그먼테이션

서비스는 신뢰 영역으로 그룹화됩니다. 서비스 간 트래픽은 가능한 경우 서비스 메시 mTLS를 사용하며, 그 외에는 사설망을 이용합니다. 데이터베이스에는 공개 인그레스가 없습니다.

하드닝

호스트는 최소한의 정기 패치된 기본 이미지를 실행합니다. 컨테이너 이미지는 가능한 경우 distroless 기반으로 빌드되며 모든 빌드에서 CVE 스캔을 수행합니다. CRITICAL CVE가 존재하면 배포가 차단됩니다.

구성 관리

모든 인프라는 코드로 정의됩니다. 드리프트는 감지 및 플래그됩니다. 수동 변경은 예외이며 동료 리뷰를 거칩니다.

공급망

의존성은 고정되어 업그레이드 전 검토됩니다. 각 언어 생태계별 권고 피드를 구독하며, 심각도에 따라 합의된 SLA에 따라 업그레이드를 배포합니다.

빌드 파이프라인

CI는 최소 권한의 일회성 러너에서 실행됩니다. 아티팩트는 서명되며, 배포는 롤아웃 전 서명을 검증합니다.

4. 보안 개발

  • 코드 리뷰는 모든 변경에 필수이며, 프로덕션 브랜치에 대한 셀프 머지는 금지됩니다.
  • SAST, DAST, 의존성, 시크릿, 컨테이너 스캔이 CI에서 실행되며, 발견 사항은 분류되어 SLA가 추적됩니다.
  • 인증, 결제, 또는 개인정보를 다루는 신규 시스템에 대한 위협 모델링 수행.
  • 연 1회 제3자 모의해킹(전범위). 요약본은 NDA 하에 제공됩니다.
  • 버그 바운티 / 책임 있는 공개 — 아래 참조.
  • 보안 챔피언 프로그램: 팀당 최소 1명의 교육받은 챔피언 배치.

5. 모니터링 및 탐지

  • 변조 방지 중앙 집중식 로그 저장, 보안 이벤트에 대해 최소 1년 보관.
  • 인증 이상, 권한 상승, 데이터 내보내기 볼륨 급증, WAF 신호에 대한 실시간 알림.
  • 애플리케이션 오류에 대한 Sentry, 성능에 대한 OpenTelemetry 트레이스 및 메트릭.
  • 관리 및 크로스테넌트 읽기/쓰기에 대한 데이터베이스 감사 로그.
  • 보안 팀의 주간 고위험 감사 이벤트 검토.

6. 사고 대응

런북

심각도 등급, 지정된 역할(사고 지휘관, 커뮤니케이션 리드, 서기), 사전 작성된 커뮤니케이션 템플릿을 포함한 문서화된 절차.

24/7 온콜

순환 엔지니어링 온콜. 보안 사고는 엔지니어링 온콜 외에 보안 리드에게도 페이지됩니다.

통지 SLA

개인정보 침해 확인 후 48시간 이내에 DPA에 따라 영향을 받는 고객의 등록된 보안 담당자에게 통지합니다. 대한민국 PIPA 제34조상 72시간 이내 감독기관 신고 의무도 함께 이행합니다.

포스트모템

중대한 사고는 무비난 근본 원인 분석을 받습니다. 다른 고객을 노출하지 않는 요약은 상태 페이지에 게시됩니다.

7. 복원력, 백업 및 재해 복구

  • 백업: PostgreSQL에 대한 일간 전체 + 시간별 증분 암호화 백업; 오브젝트 스토리지는 버전 관리 및 크로스리전 복제.
  • 보관: 35일 로테이션. 엔터프라이즈 플랜에서는 법적 보류 및 장기 보관 옵션 가능.
  • 복원 테스트: 최소 분기별로 깨끗한 환경에 전체 데이터베이스 복원을 수행하여 데이터 무결성을 검증합니다.
  • 목표: 기본 데이터베이스 RPO ≤ 1시간, RTO ≤ 4시간. 실제 측정값은 NDA 하에 고객에게 제공됩니다.
  • 멀티존: 스테이트리스 서비스는 존 간 액티브-액티브로 실행됩니다. 스테이트풀 서비스는 헬스체크 게이팅과 함께 자동 페일오버됩니다.

8. 인력 및 협력사

  • 법이 허용하는 범위 내 신원 조회.
  • 입사 시 기밀유지 및 AUP 서명.
  • 연 1회 보안 인식 교육 및 피싱 시뮬레이션.
  • 프로덕션에 접근하는 모든 기기에 관리형 기기 상태(디스크 암호화, 화면 잠금, EDR) 요구.
  • 고객 데이터에 접근하는 수탁자 채용 전 벤더 검토. 수탁업체 목록을 참고하시기 바랍니다.
  • 입사 / 이동 / 퇴사 프로세스에 따른 접근 권한 부여 및 회수.

9. 컴플라이언스 및 인증

Active

GDPR & UK GDPR

컨트롤러 및 프로세서 의무, SCCs(Module Two), UK IDTA, DPIA 지원.

Active

PIPA (대한민국)

개인정보 보호법 및 정보통신망법 준수. 국외이전, 정보주체 권리, 개인정보보호위원회(PIPC) 신고 체계 정비.

Active

HK PDPO

홍콩 개인정보(사생활)조례상의 Data User 의무 — 당사의 본점 관할.

Active

CCPA / CPRA

서비스 프로바이더 역할, 개인정보 판매 · 공유 없음, GPC 신호 존중.

Active

PIPL

엔터프라이즈 플랜에서 중국 본토 국외이전에 대한 표준계약 경로.

Planned Q4 2026

SOC 2 Type II

2026년 2분기 관찰 창 시작. 갭 평가 완료, 시정 조치 진행 중.

Planned 2027

ISO 27001:2022

2022 Annex A 통제 기준 구현. 1단계 감사 2027년 목표.

Planned 2027

ISMS-P (대한민국)

한국 정보보호 및 개인정보보호 관리체계 인증 계획. 범위 산정 진행 중.

엔터프라이즈 플랜의 고객은 NDA 하에 당사의 SIG-Lite, CAIQ, 또는 벤더 설문을 요청할 수 있습니다.

10. 데이터 보관 및 삭제

  • 이용자의 삭제 요청은 30일 이내(또는 법률이 요구하는 경우 더 빨리) 처리됩니다.
  • 계정 해지 시 30일간 내보내기 창이 제공되며, 이후 60일 이내에 DPA에 따라 삭제 또는 익명화됩니다.
  • 삭제된 데이터를 포함한 백업은 표준 로테이션(≤ 35일)에서 제거됩니다. 백업을 수동으로 편집하지 않습니다.
  • 요청 시 삭제 증명서를 발급해 드립니다.

11. 책임 있는 공개

보안 연구자의 제보를 환영합니다. security@anvilhk.com (현재 738888@proton.me로 전달됨)로 다음 정보를 포함하여 이메일을 보내주시기 바랍니다.

  • 문제 및 영향을 받는 자산에 대한 명확한 설명.
  • 실제 고객 데이터를 건드리지 않도록 최소화한 개념 증명 단계.
  • 크레딧을 원하는 경우 이름 또는 닉네임.

당사는 다음을 약속합니다.

  • 2영업일 이내 접수 확인.
  • 5영업일 이내 초기 평가 제공.
  • 선의로 당사의 security.txt 정책 범위 내에서 활동하는 연구자에게 법적 조치를 취하지 않음.
  • 연구자에게 (동의 하에) 명예의 전당 페이지에서 크레딧 제공.

유료 버그 바운티 프로그램이 2026년에 도입될 예정입니다. 출시 전까지는 고영향 이슈에 대해 당사 재량으로 보상합니다.

12. 상태 및 투명성

  • 실시간 상태: status.anvilhk.com.
  • 예정된 유지보수는 상태 페이지에 최소 72시간 전에 공지됩니다.
  • 법 집행기관 및 정부기관의 데이터 요청 볼륨을 요약한 투명성 보고서를 연간 게시합니다.

13. 문의처

모든 별칭 주소는 회사 메일 마이그레이션이 완료될 때까지 738888@proton.me로 전달됩니다.