보안 백서

TLS 1.3

모든 API 통신과 SDK 데이터 전송은 TLS 1.3으로 암호화됩니다. TLS 1.2 미만은 거부합니다.

HTTPS 강제

모든 엔드포인트는 HTTPS만 허용하며, HTTP 요청은 301로 리다이렉트됩니다.

API Key 인증

모든 API 호출은 앱별 API Key로 인증됩니다. Key는 bcrypt로 해시 저장되며 평문 노출이 불가합니다.

Rate Limiting

IP 및 API Key 기반 요청 제한으로 브루트포스와 DDoS를 차단합니다.

CORS 정책

허용된 도메인만 API에 접근할 수 있도록 Origin 기반 CORS 정책을 적용합니다.

비밀번호 해싱

사용자 비밀번호는 bcrypt (cost factor 12)로 해시하여 저장합니다. 평문 저장은 일체 없습니다.

민감 데이터 암호화

API Key, 토큰 등 민감 정보는 AES-256-GCM으로 저장 시 암호화합니다.

데이터 격리

멀티 앱 환경에서 앱 간 데이터는 논리적으로 완전히 격리됩니다.

비식별 처리

핑거프린트는 IP, OS, 디바이스 모델, 해상도 등을 조합한 해시값으로, 개인을 특정할 수 없습니다.

자동 만료 (72h TTL)

핑거프린트 데이터는 Redis에 72시간만 유지되며, 이후 자동 삭제됩니다.

IDFA/GAID 선택적 수집

광고 식별자는 사용자 동의가 있는 경우에만 수집하며, 확정적 매칭에만 사용됩니다.

컨테이너 격리

모든 서비스는 Docker 컨테이너로 실행되며, 최소 권한 원칙을 적용합니다.

네트워크 분리

내부 서비스(DB, Redis)는 외부 접근이 차단된 프라이빗 네트워크에서 운영됩니다.

자동 모니터링

헬스체크 실패, 비정상 트래픽 감지 시 실시간 알림으로 즉시 대응합니다.

API 요청 로깅

모든 API 호출은 요청/응답 메타데이터와 함께 기록됩니다 (페이로드 본문 제외).

접근 이력 추적

대시보드 로그인, 링크 생성/수정/삭제 등 주요 작업의 감사 로그를 유지합니다.

로그 보존

감사 로그는 최소 90일 보존하며, 규정 준수 요건에 따라 연장 가능합니다.