보안
신뢰는 우리가 매일 지킵니다
SSHOW는 콘텐츠와 계정을 보호하기 위해 산업 표준 암호화, 최소 권한 접근 제어, 상시 모니터링을 적용합니다. 정책과 절차를 투명하게 공유합니다.
원칙
네 가지 보안 원칙
기술이 아니라 약속입니다. 모든 결정의 기준이 됩니다.
-
전 구간 암호화
TLS 1.2 이상으로 전송하고, 저장 데이터는 AES-256으로 암호화합니다.
-
최소 권한 접근
역할 기반 권한과 단일 사용 토큰으로 필요한 만큼만 허용합니다.
-
상시 모니터링
이상 로그인과 의심 트래픽을 실시간으로 감지하고 대응합니다.
-
복구 가능성
일일 백업과 다중 리전 복제로 장애 시에도 데이터를 잃지 않습니다.
데이터 보호
콘텐츠는 이렇게 보관합니다
- 전송 중 암호화
- 모든 API와 정적 자산은 HTTPS(TLS 1.2+)로만 제공됩니다. 평문 통신은 자동 리다이렉트되며, HSTS preload 등록을 진행 중입니다.
- 저장 중 암호화
- 프로젝트 파일, 자산, 데이터베이스 백업은 AES-256으로 암호화되어 저장됩니다. 비밀번호는 bcrypt 12 라운드로 단방향 해시 처리됩니다.
- 백업과 복제
- 데이터베이스는 일일 자동 백업과 시간 단위 스냅샷을 유지합니다. 자산 스토리지는 다중 리전에 비동기 복제됩니다.
- 테넌트 격리
- 팀과 사용자별 데이터는 논리적으로 격리됩니다. 권한 검사는 모든 API 경계에서 수행되며, 우회 가능한 직접 접근 경로는 존재하지 않습니다.
계정 보안
이용자가 직접 강화할 수 있는 항목
- 2단계 인증 (2FA)
- TOTP 기반 인증 앱을 등록하면 비밀번호 유출 시에도 계정이 보호됩니다. 설정 메뉴 → 보안에서 활성화하세요.
- 세션 관리
- 활성 세션 목록을 확인하고 의심스러운 기기를 원격에서 즉시 로그아웃할 수 있습니다.
- 로그인 기록
- 최근 로그인 시도가 IP와 기기 정보와 함께 기록됩니다. 모르는 접근이 있으면 즉시 비밀번호를 변경하세요.
- 신뢰 기기
- 자주 사용하는 기기를 신뢰 기기로 등록해 불필요한 2단계 인증을 줄일 수 있습니다.
취약점 제보
책임 있는 공개를 환영합니다
보안 연구자와 이용자가 발견한 취약점은 공개 전 SSHOW 보안팀에 먼저 알려 주세요. 조치 완료까지 함께 가겠습니다.
-
1
비공개로 제보
공개 채널이 아닌 아래 폼 또는 메일로 비공개 전달해 주세요. 영향 범위, 재현 절차, 환경 정보를 함께 적어 주시면 분석이 빨라집니다.
-
2
1영업일 내 회신
1영업일 안에 접수 확인을 회신합니다. 심각도에 따라 후속 일정을 합의합니다.
-
3
조치 완료 후 공개
패치 배포가 완료된 후 합의된 시점에 공개합니다. 제보자 명단(원하시는 경우)에 기록해 감사를 표합니다.
조치 중인 취약점은 공개하지 말아 주세요. 영향받은 이용자가 우선 보호되어야 합니다.