보안 정책

GGWP 보안 개요

최종 업데이트: 2023년 9월 1일 

GGWP는 보안을 최우선으로 생각합니다. 관련 프로세스를 아래에 안내해 드립니다.

보안 업데이트 및 패치

  • 적시성: 치명적인 취약점은 내부 SLA에 따라 24시간 이내에 조치합니다.
  • 방법: 활성 CVE 구독 및 컨테이너 이미지 스캐닝을 활용합니다.

감사 및 로깅

  • 실시간 모니터링: AWS Security Hub, GuardDuty 및 실시간 알림을 통해 의심스러운 활동에 즉시 대응합니다.
  • 방화벽: 네트워크 트래픽을 모니터링하고 관리하기 위한 추가 보호 장치를 운영합니다.
  • 검토 주기: 고위험 항목에 대해 분기별로 Security Hub 보고서를 검토합니다.
  • 접근 제어: OAuth/API 키를 활용하여 감사 및 로깅을 안전하게 수행합니다.

보안 테스트

  • 내부: 보안 워크플로, 프로세스 및 구성을 연 1회 검토합니다.
  • 외부: 모든 공개 엔드포인트에 대해 연 1회 제3자 감사를 수행합니다.
  • 표준: SOC 2 인증 보유

팀 협업 및 데이터 프라이버시

  • 접근 제어: 시간 및 역할 기반 접근 제어, MFA, VPN을 엄격하게 적용합니다.
  • 방향성: 민감한 정보의 흐름을 제한하기 위해 접근 방향성을 명확히 정의합니다.
  • 임직원 교육: 팀원 전원이 매년 의무적으로 보안 및 개인정보 보호 교육을 이수합니다.
  • 암호화: 데이터는 전송 중(TLS 1.2)과 저장 시(AES 256) 모두 암호화됩니다.
  • 분리: 멀티테넌시 환경에서 서로 다른 암호화 키를 사용하여 보안을 강화합니다.
  • 논리적 격리: 데이터 분리를 위한 엄격한 장벽을 마련하고 있습니다.
  • 사용자 접근 검토: 최소 권한 원칙이 지켜지도록 사용자 접근 권한을 주기적으로 검토합니다.

법규 준수

  • 당사는 데이터 보존 기간과 GDPR, CCPA 등 데이터 보호 법규 준수 사항을 다루는 GGWP 개인정보 처리방침을 준수합니다.

데이터 백업

  • 저장: 데이터는 AWS S3에 안전하게 저장되며, 업무상 필요한 경우에만 접근할 수 있습니다.
  • 가용성: 야간 스냅샷, 데이터 무결성 검사, 다중 복제본 및 버전 관리를 통해 고가용성을 보장합니다.

사고 대응 단계 및 조치

  • 탐지: 무단 활동이나 데이터 유출을 실시간으로 모니터링합니다.
    • 사고 유형
      • 권한 없는 인력 또는 제3자가 정보를 사용한 경우
      • GGWP Inc. AWS 환경에서 정보가 부적절하게 다운로드 또는 복사된 경우
      • 정보가 담긴 장비 또는 기기를 분실하거나 도난당한 경우
      • 정보가 담긴 장비 또는 기기에서 무단 활동(예: 해킹, 멀웨어)이 발생한 경우
      • 개인 데이터가 부적절하게 공개, 접근 또는 이전된 경우
  • 분석: 사고 탐지 즉시 당사 DevOps 팀이 평가를 수행하여 추정 근본 원인을 파악합니다. 분석 내용은 기록하고 문서화합니다.
  • 봉쇄: 근본 원인을 완화하고 추가 피해를 방지하기 위해 신속하게 조치하며, 필요 시 추가 통제 수단을 적용할 수 있습니다.
  • 제거: 공격자의 환경 접근 권한을 포함하여 시스템의 취약점과 침해 요소를 제거합니다.
  • 복구: 영향을 받은 시스템이 완전히 정상 가동되도록 조직적으로 복구 작업을 수행합니다.
  • 사후 조치:
    • 경영진의 검토를 진행합니다.
    • 내부 및 외부와의 적절한 커뮤니케이션을 보장합니다.
    • 필요 시 법률 자문을 받거나 수사 기관과 공조할 수 있습니다.
    • 예방 조치: 사고 후 회고 및 검토 결과를 바탕으로 시행합니다.

재해 복구 계획

  • 버전 관리
    • 버전 2.0
    • 매년 검토하며 프로세스상 미비점이 발견되면 업데이트합니다.
  • 목표
    • RTO 및 RPO: SLA 계약에 따라 심각도 1 사고의 경우 24시간 이내로 설정합니다.
  • 런북
    • 낮은 심각도: 일반적으로 코드 롤백으로 해결되는 단순 장애를 포함합니다.
    • 높은 심각도: 데이터 손실, 침해, 장기 장애를 다루며, 상세한 런북이 마련되어 있습니다.
  • 담당 인력
    • 낮은 심각도: 온콜 엔지니어가 처리합니다.
    • 높은 심각도: 온콜 엔지니어와 DevOps 엔지니어가 함께 대응합니다.
  • 절차
    • 낮은 심각도: 일반적으로 코드 롤백으로 해결합니다.
    • 높은 심각도: 코드 롤백, 코드 롤포워드, 데이터베이스 복원 및 보안 절차를 포함합니다.
  • 추적
    • 이벤트 로그: 이벤트와 가능한 해결 방안을 상세하게 추적합니다.
  • 테스트
    • 연례 검토: DR 런북을 매년 실행 및 테스트하고 회고 분석을 수행합니다.

고객 커뮤니케이션

  • 데이터 무결성이나 프라이버시에 영향을 미치는 중대한 사고가 발생하면, GGWP는 가능한 모든 커뮤니케이션 채널을 통해 합리적으로 가능한 한 신속하게 알려 드립니다.