데이터 센터는 높은 컴플라이언스 기준을 충족하며, 조직적 프로토콜로 자산 폐기 및 임직원 준수를 보장합니다. 정기 평가와 재해 복구 계획을 통해 데이터 보호를 더욱 강화합니다.
데이터 보안은 저희에게 가장 중요한 가치입니다. 고객, 직원, 비즈니스 데이터가 항상 안전하게 보호되도록 다양한 보안 기능을 결합하여, 고객이 안심하고 데이터를 맡기고, 안전하게 소통하며, 비즈니스를 보호할 수 있도록 지원합니다.
인프라 보안
인프라 보안은 조직의 정보기술(IT) 운영을 지원하는 하드웨어, 소프트웨어, 네트워크 구성 요소를 보호하는 것입니다. 이는 데이터센터, 서버, 네트워크 연결, 엔드포인트 장치까지 모든 것을 포함합니다. 효과적인 인프라 보안은 무단 접근, 오용, 장애를 방지하여 IT 시스템의 무결성, 기밀성, 가용성을 보장합니다.
인프라 보안의 주요 요소
암호화 키 접근 제한
정책: 암호화 키 접근은 업무상 필요한 권한이 있는 사용자로 제한됩니다.
실행: 적절한 권한이 있는 인원만 민감 정보를 복호화할 수 있어 데이터 유출 위험을 최소화합니다.고유 계정 인증 적용
정책: 시스템과 애플리케이션은 고유 사용자명과 비밀번호 또는 인증된 SSH 키를 요구합니다.
실행: 각 사용자가 별도의 인증 정보를 사용하므로 무단 접근 위험을 줄입니다.운영 환경 애플리케이션 접근 제한
정책: 운영 환경 애플리케이션 접근은 허가된 인원만 가능합니다.
실행: 비인가 사용자가 중요한 비즈니스 애플리케이션을 변경하는 것을 방지합니다.접근 제어 절차 마련
정책: 사용자 접근 추가, 수정, 제거에 대한 문서화된 요구사항이 있습니다.
실행: 명확한 절차로 접근 권한을 체계적이고 안전하게 관리합니다.운영 데이터베이스 접근 제한
정책: 데이터베이스의 특권 접근은 업무상 필요한 권한이 있는 사용자로 제한됩니다.
실행: 데이터베이스에 저장된 민감 정보가 무단 접근 또는 변경으로부터 보호됩니다.방화벽 접근 제한
정책: 방화벽의 특권 접근은 업무상 필요한 권한이 있는 사용자로 제한됩니다.
실행: 네트워크 보안의 핵심인 방화벽 구성이 위협받지 않도록 제한합니다.운영 OS 접근 제한
정책: 운영 체제의 특권 접근은 업무상 필요한 권한이 있는 사용자로 제한됩니다.
실행: 시스템 안정성과 보안에 영향을 줄 수 있는 무단 변경을 방지합니다.운영 네트워크 접근 제한
정책: 운영 네트워크의 특권 접근은 업무상 필요한 권한이 있는 사용자로 제한됩니다.
실행: 허가된 인원만 네트워크에 접근할 수 있어 내부 위협 위험을 감소시킵니다.퇴사 시 접근 권한 철회
정책: 퇴사자에 대한 접근은 서비스 수준 협약(SLA) 내에서 철회됩니다.
실행: 퇴사 후에도 회사 시스템에 접근하는 것을 방지합니다.고유 네트워크 시스템 인증 적용
정책: 네트워크 접근 시 고유 사용자명과 비밀번호 또는 인증된 SSH 키를 요구합니다.
실행: 네트워크 접근이 사용자별로 추적 가능해져 보안이 강화됩니다.원격 접근 암호화 적용
정책: 운영 시스템에 대한 원격 접근은 승인된 암호화 연결을 통해서만 허용됩니다.
실행: 원격 연결로 전송되는 데이터가 도청으로부터 보호됩니다.침입 탐지 시스템 활용
정책: 네트워크를 지속적으로 모니터링하여 보안 침해를 조기에 탐지합니다.
실행: IDS가 실시간 알림을 제공하여 신속한 대응이 가능합니다.인프라 성능 모니터링
정책: 시스템 성능을 추적하고 임계치 도달 시 경고하는 모니터링 도구를 사용합니다.
실행: 인프라가 견고하게 유지되고 문제 발생 시 신속하게 조치합니다.네트워크 분리(세분화) 구현
정책: 네트워크를 분리하여 고객 데이터에 대한 무단 접근을 방지합니다.
실행: 네트워크를 격리시켜 침해가 확산되는 것을 제한합니다.네트워크 방화벽 점검
정책: 방화벽 규칙을 연 1회 검토하고 변경 사항을 추적합니다.
실행: 최신 보안 기준에 맞게 방화벽 구성을 유지합니다.네트워크 방화벽 사용
정책: 무단 접근을 방지하도록 방화벽을 구성합니다.
실행: 외부 위협에 대한 1차 방어선 역할을 합니다.네트워크 및 시스템 하드닝 기준 유지
정책: 업계 모범 사례 기반의 문서화된 기준을 연 1회 검토합니다.
실행: 시스템이 안전하게 구성되어 공격에 강하도록 보장합니다.
데이터 센터 보안
최신 업계 모범 사례를 적용하여 데이터의 기밀성과 무결성을 보장합니다. FlowHunt 서버는 Tier IV 또는 III+, PCI DSS, SSAE-16, 또는 ISO 27001 인증 시설에 호스팅됩니다. 보안팀이 지속적으로 업데이트를 적용하고 보안 알림 및 이벤트에 적극 대응합니다.
물리적 보안
| 시설 | 설명 |
|---|---|
| 서버 환경 | FlowHunt 서버는 Tier III+ 또는 IV, PCI DSS, SSAE-16, 혹은 ISO 27001 인증 시설에 호스팅됩니다. 데이터센터는 이중화 전원, UPS, 백업 발전기를 갖추고 있습니다. |
| 현장 보안 | 데이터센터는 다중 보안 구역, 24/7 경비 인력, CCTV 영상 감시, 생체인증 등 다요소 인증, 물리적 잠금, 보안 침해 알람 등으로 보호됩니다. |
| 모니터링 | 모든 운영 네트워크 시스템, 네트워크 장치, 회선은 FlowHunt 관리자가 항상 모니터링하고 논리적으로 관리합니다. 코로케이션 케이지 도어나 Amazon/Linode 서비스 외 물리적 보안, 전원, 인터넷 연결은 시설 제공업체가 모니터링합니다. |
| 위치 | 공용 FlowHunt 서비스는 주로 유럽연합(프랑크푸르트 데이터센터)에 데이터를 호스팅합니다. 미국, 유럽, 아시아 등 원하는 지역에 프라이빗 클라우드 구축이 가능합니다. 고객은 미국 한정 또는 유럽 한정으로 서비스 데이터를 선택할 수 있습니다. |
네트워크 보안
저희 네트워크는 이중화 방화벽, 최고급 라우터 기술, 공용 네트워크에서의 안전한 HTTPS 전송, 악성 트래픽 및 네트워크 공격을 모니터링/차단하는 IDS/IPS(침입 탐지/방지 시스템)로 보호됩니다.
추가 조치
- DDoS 완화: 업계 최고 수준의 인프라로 서비스 거부 공격(DoS/DDoS)으로부터 보호 및 영향 최소화
- 통신 암호화: 고객과 FlowHunt 서버 간 모든 통신은 HTTPS 및 TLS 등 업계 표준 암호화로 보호됩니다.
조직 보안
자산 폐기 절차
- 자산 목록 파악: 폐기 예정 장비를 식별 및 기록
- 데이터 백업: 폐기 전 필요한 데이터 안전하게 백업
- 데이터 삭제: 인증된 도구로 업계 표준에 따라 모든 데이터를 완전 삭제
- 물리적 파괴: 삭제 불가 장비는 분쇄 또는 자기 소거 등 물리적 파괴 실시
- 환경 규정 준수: 모든 폐기 방법은 환경 관련 규정을 준수
인증 및 컴플라이언스
- 문서화: 일련번호, 폐기 방법, 날짜 등 모든 폐기 자산에 대한 상세 기록 유지
- 제3자 검증: 인증된 외부 업체가 폐기 절차를 검증 및 문서화
임직원 및 계약자 준수
- 신원 조회: 신규 입사자 대상 철저한 신원 조회
- 행동 강령: 임직원 및 계약자는 모두 회사 행동 강령을 숙지 및 준수해야 하며, 위반 시 징계 정책 적용
- 비밀유지 계약: 직원 입사 시, 계약자 계약 체결 시 비밀유지 계약 체결 필수
방문객 및 보안 프로토콜
- 방문객 절차: 방문객은 출입 등록, 방문증 착용, 보안 구역 출입 시 인가 직원 동행 필수
- 보안 인식 교육: 직원은 입사 30일 이내 및 매년 보안 인식 교육을 이수하여 최신 보안 동향과 모범 사례를 숙지
제품 보안
데이터 암호화
모든 FlowHunt 데이터베이스 및 고객 민감 데이터가 포함된 백업은 암호화되어 있습니다. 결제 및 청구 데이터는 결제 대행사(Stripe)에서 암호화 처리합니다.
- 컬럼 레벨 암호화: 데이터베이스 내 특정 컬럼만을 암호화하여 API 키 등 민감 필드를 보다 효과적으로 보호합니다.
- 암호화 프로토콜: 네트워크 내 데이터 전송 시 SSL 및 TLS 프로토콜을 사용하여 암호화합니다.
모의 해킹(침투 테스트)
FlowHunt는 정기적으로 모의 해킹(침투 테스트)을 실시하며, 버그 현상금 프로그램을 통해 외부 보안 연구원들의 취약점 제보를 장려합니다.
최종 업데이트: 2025년 5월 30일