Information Security

Your Data is Safe

에어브릿지는 정보 보안 및 고객 데이터 보호를 매우 중요하게 생각합니다.

Protecting your Privacy and Data

에어브릿지는 고객의 데이터를 안전하게 지키기 위해 최선의 노력을 다합니다. 에어브릿지는 각종 보안 정책과 지침, 보안 솔루션 등을 통해 유무형의 모든 보안 위협을 상시 모니터링하고 관리하기 위해 지속적인 투자를 아끼지 않습니다. 에어브릿지는 제품, 시스템 인프라와 네트워크, 데이터 보관과 전송, 접근 통제, 개발, 모니터링, 업무연속성과 재해복구, 내외부 감사, 물리 및 인적 보안과 같은 다양한 계층에서 정보 보호를 수행합니다.

Compliance

주식회사 에이비일팔공은 에어브릿지의 안전한 제공을 위해 관련 법과 규제를 준수하고 있습니다. 더불어 세계적인 국제 인증 기관으로부터 매년 정보보호 관리 체계의 수준을 점검받음으로써 정보보호 역량을 강화하고 서비스 안전성을 제고하고 있습니다.

ISO/IEC 27001은 국제표준화기구 ISO 및 국제전기기술위원회(IEC)가 제정한 정보보호 관리체계 국제규격 인증입니다. 주식회사 에이비일팔공은 에어브릿지 서비스의 기획, 개발, 운영 전반에 대하여 인증을 획득 및 유지하고 있습니다.

Key Features

Product

  1. 접근 권한 분리
    '앱 오너(App Owner)', '사내 마케터(In-house Marketer)' 그리고 '대행사(Agency)'의 3단계에 걸친 하위 계정 구분으로 앱에 대한 접근 통제를 수행합니다.
  2. 비밀번호 및 민감한 데이터의 보관
    사용자 비밀번호를 비롯한 민감한 개인 정보는 암호화되어 보관됩니다. 특히 비밀번호는 PBKDF2(Password-Based Key Derivation Function 2)를 이용해 암호화 한 뒤 저장합니다.
  3. 개인정보의 취사 전송 (Opt-Out)
    대한민국의 <개인정보 보호법>과 EU의 <GDPR(General Data Protection Regulation)>에 따라, 정보 주체가 개인 정보 위탁 처리를 원하지 않거나 만 14세 미만의 아동인 경우에는 SDK의 Opt-Out 기능을 활용해 개인정보를 취사 전송할 수 있습니다.

Infrastructure & Network

  1. AWS 상의 시스템 인프라
    1)  에어브릿지의 모든 서비스는 클라우드에서 동작합니다. 에어브릿지는 자체적인 라우터, 로드밸런서, DNS 서버 그리고 물리 서버를 운영하지 않습니다.
    2)  클라우드는 Amazon Web Services(이하 AWS)를 이용하며, 모든 인프라는 AWS의 Tokyo Region에 위치하고 있습니다. AWS의 보안정책에 따라 물리 장비의 위치는 공개되지 않습니다. 따라서 에어브릿지의 모든 인프라는 AWS의 물리적/환경적 보안 정책을 기반으로 운영됩니다. 자세한 내용은 AWS의 보안 정책 페이지를 참고해주십시오.
    3)  에어브릿지는 업무 연속성(BC)과 재해 복구(DR)를 위해 최소 2개 이상의 가용 영역(Availability Zone)에서 운영됩니다.
    4)  에어브릿지는 AWS의 공동 책임 모델보안 Best Practice를 주어진 상황 하에 최대한 준수합니다.
    5)  AWS가 준수하고 있는 컴플라이언스 프로그램은 이 링크를 확인해주십시오.
  2. 정기적 취약점 검사 및 패치
    1)  AWS Inspector를 활용하여 모든 인스턴스의 OS 레벨과 어플리케이션 레벨의 알려진 보안 취약점을 정기적으로 검사합니다.
    2)  보안 취약점이 발견된 소프트웨어와 라이브러리는 기존 시스템과의 호환성을 고려하여 최신 버전으로 패치합니다.
    3)  모든 서버 인스턴스는 기본 보안 설정을 포함한 시스템 하드닝이 완료된 표준 OS 이미지를 기반으로 운영됩니다.
  3. VPC와 Security Group
    모든 서버는 AWS의 VPC(Virtual Private Cloud)에 외부 네트워크로부터 분리되어 운영됩니다. Security Group을 포함한 여러가지 장치를 통해 인가되지 않은 외부 접근을 방지합니다.
  4. 지능화된 위협 탐지 도구로 실시간 네트워크 감시
    지능형 위협 탐지 도구인 AWS GuardDuty를 이용해, 네트워크 흐름 로그, DNS 로그, AWS 콘솔 접근 및 API 호출 로그를 실시간으로 감시합니다.

Data Storage, Transfer, Permissions & Access Control

  1. 클라우드 암호화 보관
    모든 고객 데이터는 일본(Tokyo Region)에 있는 AWS의 인프라에 보관됩니다. 민감한 데이터는 AWS SSE-S3(AES-256)을 이용해 암호화되어 보관되며, 데이터에 대한 복호화 및 접근 기록은 모두 남아 감사됩니다.
  2. 암호화된 통신구간
    모든 데이터 통신은 TLS 1.0, TLS 1.1 TLS 1.2 프로토콜을 포함하는 SSL/TLS를 이용한 암호화 프로토콜(HTTPS)로 보호됩니다.
  3. 주기적 백업
    데이터 유실을 방지하기 위해 주기적 데이터 백업을 시행합니다.
  4. 데이터에 대한 강력한 접근 통제
    모든 임직원은 반드시 업무 목적에 따라 CISO의 인가 후 데이터에 접근할 수 있으며, 민감한 데이터 취급에 대한 교육을 필수적으로 이수해야 합니다. 기존에 부여된 접근 권한은 업무와 적합한지 주기적으로 평가 및 관리됩니다.

Application & Development

  1. S-SDLC(Secure Software Development Life Cycle) 준수
    기획, 개발, 테스트, 배포, 운영의 모든 단계에서 S-SDLC(Secure Software Development Life Cycle)을 준수하여 어플리케이션의 보안성, 안정성, 신뢰성을 확보합니다.
  2. 자동화된 테스트와 배포
    모든 어플리케이션은 반드시 자동화된 테스트를 거쳐야 Production Stage에 배포될 수 있습니다. 따라서 단 하나의 테스트라도 실패하게 되는 경우, 새로운 기능은 배포되지 않습니다. 이를 통해 빠른 기능 개발과 제품의 안정성을 동시에 확보할 수 있습니다.

Application Monitoring, Business Continuity & Disaster Recovery

  1. 시스템 상태에 대한 실시간 모니터링
    인프라 내부의 모든 데이터 파이프라인에 포함되는 시스템과 컴포넌트들을 24/7/365 모니터링하여, 장애 및 침해사고 발생시 피해를 최소화하고 최대한 빠른 시일내에 복구할 수 있도록 합니다. 특히 PagerDuty와 같은 서드파티 툴을 이용해 사고를 티켓 단위로 관리하여, 엔지니어가 빠르고 책임감 있게 이슈를 해결할 수 있도록 합니다. 서비스를 이용하는 고객사는 System Status 페이지를 통해 언제든 시스템 상태와 예정된 시스템 유지보수 작업 계획을 확인할 수 있습니다.
  2. 민감한 정보 접근에 대한 모니터링
    민감한 정보에 대한 접근, 수정, 다운로드는 모두 기록되어 주기적으로 감사됩니다.
  3. 주기적 위험 평가
    발생 빈도, 위험 크기, 자산의 중요도에 따라 기술적 & 비기술적 보안 위험을 주기적으로 평가하여, DoA(Degree of Acceptance)에 따라 현실적으로 위험을 점진적 제거합니다.
  4. 재해복구 시나리오 구축
    재해복구 시나리오를 구축해두고, 관련 담당자들이 충분히 숙지할 수 있도록 주기적 대응 연습을 진행하고 있습니다.

Security Audits

  1. 내부 감사
    업무 내용에 따라 CISO의 주도 하에 매일, 주간, 월간, 분기별, 반기별, 연간 일정으로 기술적, 비기술적 정보 보호 로그에 대한 감사를 수행합니다.
  2. Third-Party에 대한 감사
    외부 업체에 개발, 인프라 유지보수, 개인정보 처리 위탁 등을 맡기는 경우, 정해진 보안 및 개인정보 보호 프로세스가 잘 지켜지는지 철저히 감사합니다.
  3. 주기적인 팬테스트
    SDLC에 따른 제품 펜테스트와, 주기적 시스템 펜테스트를 내부적으로 시행함과 동시에 공신력있는 외부 보안 업체를 통한 전체 시스템 펜테스트를 연 1회 시행합니다.

Physical & HR

  1. 전사 보안 교육 및 개인정보취급자 심화 교육
    전사 보안 교육과 개인정보를 취급하는 임직원을 대상으로 한 심화 교육을 연 1회 이상 수행합니다.
  2. 사내 보안 정책 수립
    모든 정보 보안 준수 사항은 내부 정책, 지침 및 절차의 3단계로 구분한 문서로 정의 및 공표되어 있습니다. 정책은 CEO를 포함한 사내 C-Level로 구성된 정보보호위원회에서 관리하며, 정책의 내용이 실제 잘 적용되고 있는지 매월 정보보호위원회에서 심의합니다.
  3. 임직원 및 외주 인력 정보보호서약서 작성
    모든 임직원과 외주 인력은 입사 혹은 용역 계약시 반드시 정보보호서약서를 작성해 업무에 따른 정보 보호 책임을 명확히합니다.
  4. 외부 솔루션 SSO, 2FA 의무화
    임직원이 사용하는 외부 솔루션(e.g. GSuite, GitHub, AWS)은 가능한 반드시 SSO와 2FA를 활성화하여 불의의 해킹 사고를 예방합니다.
  5. DLP 및 Anti-virus
    모든 업무용 PC에는 중앙에서 관리되는 Anti-Virus 솔루션을 설치하여 MalWare로 부터 보호하고, DLP(Data Loss Prevention) 솔루션을 이용해 데이터 유출을 예방합니다.

Customer Responsibilities

  1. 에어브릿지 로그인 정보 및 토큰 값을 절대로 외부에 유출하지 마세요. 정보가 유출되었다고 판단되면 즉시 에이비일팔공 Security & Privacy 팀에 알려주세요.
  2. 여럿이 사용하는 PC에서는 반드시 서비스 이용 후 로그아웃 해주세요.
  3. 하나의 로그인 계정을 여럿이서 사용하지 마세요. 사내에서 여러 사용자가 에어브릿지 대시보드에 접근해야 하는 경우에는 앱 관리자 초대 기능을 사용해주세요.
  4. 반드시 필요한 경우에 한해 앱 관리자 계정을 초대하세요. 외부 대행사(Agency)를 앱 관리자로 초대하는 경우, 고객사는 고객사의 컴플라이언스 사항에 따라 대행사에게 보안서약서와 같은 서류의 작성을 요구할 수 있습니다. 더불어 더 이상 필요하지 않은 앱 관리자 계정을 주기적으로 삭제해주세요.
  5. 사고 예방 및 감시를 위해 에어브릿지 대시보드의 Activity History를 주기적으로 감사(Auditing)해주세요. 의도하지 않은 동작이 발견된 경우 즉시 에이비일팔공 Security & Privacy 팀에게 알려주세요.
  6. 고객의 정보가 에어브릿지에 합법적으로 위탁 처리/보관될 수 있도록 컴플라이언스 사항을 준수해주세요. 특히 대한민국에서 서비스를 제공중인 고객이라면 개인정보보호법에 따른 '개인정보 처리 위탁' 및 '개인정보 국외 이전' 동의가 반드시 필요합니다. 또한 고객사가 EU 내에 설립된 법인이거나 고객이 EU 시민이라면, 정당한 고객의 동의가 없는 상태에서는 SDK의 Opt-Out 기능을 이용해 개인정보를 에어브릿지로 전송하지 마세요.
  7. 만 14세 미만의 아동의 개인정보는 SDK의 Opt-Out 기능을 이용해 에어브릿지로 전송되지 않게 해주세요.
  8. 에이비일팔공 Security & Privacy 팀의 사전 동의 없는 에이브릿지 시스템 펜테스트, 보안 취약점 검사 등을 수행하지 마세요.