보안 정책

최종 개정일 2026년 5월 28일 · 시행일 2026년 5월 28일 · 버전 1.0

1. 보안의 기본 원칙

본 정책은 다음 네 가지 원칙을 기반으로 합니다.

  • 데이터 주권 (Data Sovereignty) — 고객의 데이터는 고객의 통제 영역을 떠나지 않습니다.
  • 최소 권한 (Least Privilege) — 사람·서비스·프로세스 모두 자신의 임무에 필요한 최소한의 권한만 갖습니다.
  • 설명 가능성 (Explainability) — 모든 자동화된 판단은 근거와 함께 기록되어 추적 가능해야 합니다.
  • 증거 보존 (Forensic Readiness) — 사후 감사·법적 대응이 가능한 형태로 로그와 원본을 보존합니다.

2. Infodex AI 제품 보안 설계

2.1 온프레미스 우선 (On-Premises First)

Infodex AI는 고객사 내부망에서 완전 동작하도록 설계되었습니다. 수집기, 분류기, 저장소, 그리고 RAG 추론에 사용되는 LLM까지 모두 기관 내부에 상주하며, 외부 API에 의존하지 않습니다. 망 분리 환경, 국정원 보안적합성 검증이 요구되는 공공·국방 환경에서도 별도 게이트웨이 없이 그대로 배포 가능합니다.

2.2 단방향 네트워크 토폴로지

공개 데이터 수집을 위한 외부 통신은 DMZ에 격리된 수집 노드에서만 발생하며, 해당 노드에서 내부 분석망으로는 단방향(inbound-only) 전송만 허용됩니다. 분석·저장 영역에서 외부로 나가는 트래픽은 원칙적으로 0으로 유지됩니다.

2.3 증거 능력을 위한 해시 보존

수집된 모든 원본 데이터는 입수 즉시 SHA-256 해시 처리됩니다. 해시는 별도 영역에 불변(append-only) 형태로 보관되어, 원본의 변조 여부를 사후에도 검증할 수 있도록 합니다. 이는 사후 감사 또는 법적 분쟁 발생 시 증거 능력을 확보하기 위한 설계입니다.

2.4 설명 가능한 AI (XAI)

분류 결과에는 RAG가 인용한 근거 문서, 키워드 기여도(attribution), 신뢰도 점수가 함께 부착됩니다. 블랙박스 의사결정을 만들지 않는 것은 보안·컴플라이언스 요건일 뿐 아니라, 의사결정자가 결과에 대해 책임을 질 수 있게 하는 윤리적 약속이기도 합니다.

3. 웹사이트 및 인프라 보안

  • 본 웹사이트는 모든 트래픽을 TLS 1.2 이상으로 강제 암호화하며, HTTPS 리디렉션이 항상 활성화되어 있습니다.
  • 데모 신청 폼은 인증된 SMTP(STARTTLS) 채널로만 외부에 전송되며, 자격 증명은 웹 루트 외부의 보호된 영역에 저장되고 HTTP 직접 접근이 차단됩니다.
  • 입력값은 서버 측에서 검증되며, 폼 자동 제출을 막기 위한 허니팟(honeypot)과 IP 기반의 레이트 리밋이 적용되어 있습니다.
  • 웹 서버는 보안 권고에 따라 정기적으로 패치되며, 운영 권한은 SSH 키 기반 인증과 다단계 인증(MFA)으로 통제됩니다.
  • 본 사이트는 사용자 추적용 제3자 광고/분석 쿠키를 사용하지 않습니다.

4. 접근 통제 및 운영 보안

  • 역할 기반 접근 통제(RBAC) — 운영·개발·고객지원 등 역할별로 권한이 분리되어 있습니다.
  • 최소 권한 원칙 — 모든 계정과 서비스에 임무 수행에 필요한 최소 권한만 부여합니다.
  • 감사 로깅 — 운영 시스템에 대한 모든 권한 변경 및 데이터 접근은 별도 저장소에 기록·보존됩니다.
  • 분리된 환경 — 운영(Production)과 개발(Development) 환경은 네트워크·계정·자격 증명이 분리되어 있습니다.
  • 비밀 관리 — API 키, 자격 증명 등은 코드 저장소에 포함하지 않고, 별도 비밀 관리 정책에 따라 보관됩니다.

5. 사고 대응 (Incident Response)

회사는 보안 사고 또는 그 의심 정황이 발생한 경우 다음 절차에 따라 대응합니다.

  1. 탐지·격리 — 영향 범위를 신속히 파악하고 영향받은 시스템을 격리합니다.
  2. 분석·근본 원인 규명 — 보존된 로그와 해시를 토대로 원인과 영향 범위를 분석합니다.
  3. 고지·신고 — 「개인정보 보호법」 등에 따른 통지·신고 의무가 발생한 경우 영향받은 정보주체 및 관계 기관에 지체 없이 통지합니다.
  4. 복구·재발 방지 — 시스템을 복구하고, 동일·유사 사고의 재발을 막기 위한 조치를 시행합니다.
  5. 사후 보고서 — 내부 보고서를 작성하고, 필요한 경우 고객사에 사실관계를 투명하게 공유합니다.

6. 취약점 신고 (Responsible Disclosure)

와이즈넥서스의 웹사이트, 인프라 또는 Infodex AI 제품에서 보안 취약점을 발견하신 경우, 다음 절차에 따라 알려주시면 감사하겠습니다. 책임 있는 신고에 대해 회사는 신고자의 신원을 보호하며 사의를 표합니다.

  • 신고처biz@wisenexus.co.kr (제목에 [Security] 접두사 권장)
  • 포함해 주시면 좋은 정보 — 취약점 요약, 재현 절차, 영향 범위, 추가 자료(PoC 코드·스크린샷 등)
  • 합리적 패치 기간 — 회사가 분석·수정·검증을 마칠 수 있도록 공개 전 합리적인 기간을 부여해 주시기 바랍니다.
  • 회사의 응답 — 영업일 기준 2일 이내 접수 확인 회신을 드리며, 분석 결과와 대응 일정을 단계별로 공유드립니다.
  • 금지 사항 — 실제 사용자 데이터 접근·유출, 서비스 거부(DoS) 시도, 사회공학적 공격, 제3자 자산에 대한 시험 등은 신고 대상에서 제외되며, 법적 문제가 될 수 있으니 시도하지 말아 주십시오.

7. 컴플라이언스

회사는 다음 법령 및 가이드라인을 준수하며, 도입 환경에 따라 추가 인증·검증을 수행합니다.

  • 「개인정보 보호법」 및 동법 시행령
  • 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」
  • 「위치정보의 보호 및 이용 등에 관한 법률」 (해당 시)
  • 국가정보원 「국가·공공기관 클라우드컴퓨팅서비스 보안 가이드」
  • 국가정보원 「보안적합성 검증」 대응 가이드 (요구되는 도입 환경에 한함)

8. 협력 채널

회사는 KISA, 정부 운영센터, 사이버수사대 등 유관 기관과의 협력 채널을 유지하며, 국가 단위의 인프라 사고 또는 사회적으로 영향이 큰 사안에 대해서는 정보 공유 및 합동 대응에 적극 협력합니다.

부칙 — 본 보안 정책은 2026년 5월 28일부터 시행됩니다. 본 정책은 회사의 기술 운영 환경 변화 및 관계 법령의 개정에 따라 정기적으로 검토·갱신됩니다.