본문으로 건너뛰기

보안 가이드라인

1. 데이터 보안

로그에 민감한 데이터 포함 금지
모든 입력값 검증
비밀은 환경 변수로 관리

2. 인증 및 인가

JWT 토큰 사용
역할 기반 접근 제어 (RBAC) 구현
세션 관리 보안
OAuth2.0 / OpenID Connect 지원

3. 데이터 암호화

중요 데이터는 암호화하여 저장
안전한 암호화 알고리즘 사용
키 관리 시스템 사용
SSL/TLS 통신 필수

4. 입력 검증

모든 사용자 입력 검증
XSS 방지
SQL 인젝션 방지
CSRF 토큰 사용

5. API 보안

Rate Limiting 구현
API 키 관리
요청 크기 제한
CORS 정책 설정

6. 로깅 및 모니터링

보안 이벤트 로깅
접근 로그 유지
이상 징후 모니터링
보안 감사 지원

7. 에러 처리

상세 에러 정보 노출 제한
일관된 에러 응답 형식
보안 관련 에러 별도 처리

8. 세션 관리

안전한 세션 ID 생성
세션 타임아웃 설정
동시 세션 제한
세션 고정 공격 방지

9. 파일 업로드

파일 타입 검증
파일 크기 제한
악성코드 검사
안전한 저장소 사용

10. 배포 보안

프로덕션 환경 강화
보안 업데이트 적용
취약점 스캔 정기 실행
보안 설정 검증
Binary Authorization 적용: ISO 27001 통제 요구사항(예: A.14.2 시스템 보안 요구사항, A.12.5 운영 관리 변경 통제) 만족의 일환으로, Cloud Run 배포 시 Binary Authorization 정책을 적용합니다. 이 정책은 허용된 Google 시스템 이미지와 사전에 승인된 내부 Artifact Registry(eu.gcr.io/dta-cloud-de-dev/*)의 이미지만 배포되도록 제한하여, 승인되지 않거나 안전하지 않은 코드의 배포를 방지합니다. (관련 Terraform 설정: infrastructure/terragrunt/**/binary-authorization/)

11. 개발 보안

의존성 취약점 검사
코드 보안 검토
보안 테스트 자동화
시크릿 관리 도구 사용

12. 컴플라이언스

GDPR 준수
HIPAA 준수 (해당하는 경우)
PCI DSS 준수 (해당하는 경우)
SOC 2 준수 (해당하는 경우)

1. 데이터 보안
2. 인증 및 인가
3. 데이터 암호화
4. 입력 검증
5. API 보안
6. 로깅 및 모니터링
7. 에러 처리
8. 세션 관리
9. 파일 업로드
10. 배포 보안
11. 개발 보안
12. 컴플라이언스