Part 3: 클라우드 및 아웃소싱 책임 분계
| 항목 | 내용 |
|---|---|
| 문서명 | Part 3: 클라우드 및 아웃소싱 책임 분계 (Cloud & Outsourcing Responsibility) |
| 제품명 | DTA Wide Sleep Management Platform |
| 작성일 | 2026-02-10 |
| 적용범위 | Part 3 (백엔드/인프라) |
1. 클라우드 제공자 개요
- 주 클라우드 제공자: Google Cloud Platform (GCP)
- 리전:
europe-west3(Frankfurt, Germany) - 서비스 모델: IaaS + PaaS + SaaS 혼합
2. 책임 공유 모델 (Shared Responsibility Model)
2.1 GCP 책임 vs DTA Wide 책임
2.2 RACI 매트릭스 (GCP 서비스별)
| GCP 서비스 | 물리적 보안 | 네트워크 보안 | OS 패치 | 앱 보안 | 데이터 보호 | 백업 | 모니터링 |
|---|---|---|---|---|---|---|---|
| Cloud Run | GCP: R | GCP: R, DTA: A | GCP: R | DTA: R | DTA: R | GCP: I | DTA: R |
| Cloud SQL | GCP: R | GCP: R | GCP: R | DTA: R | DTA: R | GCP: R, DTA: A | DTA: R, GCP: C |
| Memorystore | GCP: R | GCP: R | GCP: R | DTA: R | DTA: R | GCP: R | DTA: R |
| Firestore | GCP: R | GCP: R | GCP: R | DTA: R | DTA: R | GCP: R | DTA: R |
| Cloud KMS | GCP: R | GCP: R | GCP: R | GCP: R | DTA: A | GCP: R | DTA: R |
| Secret Manager | GCP: R | GCP: R | GCP: R | DTA: R | DTA: R | GCP: R | DTA: R |
RACI 범례:
- R (Responsible): 실행 책임
- A (Accountable): 최종 책임
- C (Consulted): 협의 필요
- I (Informed): 정보 공유
3. 주요 외부 서비스 목록
3.1 클라우드 서비스 (GCP)
| 서비스 | 용도 | 데이터 전송 | 보안 인증 | 계약 유형 |
|---|---|---|---|---|
| Cloud Run | API 서버 호스팅 | 소스 코드 (컨테이너 이미지) | ISO 27001, SOC 2, C5 Type 2 | Google Customer Agreement |
| Cloud SQL PostgreSQL | 주 데이터베이스 | 사용자 데이터, 수면 로그, 설문 응답 | ISO 27001, SOC 2, C5 Type 2 | 동일 |
| Memorystore Redis | 캐시, 세션 | 세션 토큰, 캐시 데이터 | ISO 27001, SOC 2, C5 Type 2 | 동일 |
| Firestore | NoSQL DB (분석 로그) | 익명화된 이벤트 로그 | ISO 27001, SOC 2, C5 Type 2 | 동일 |
| Cloud KMS | 암호화 키 관리 | 암호화 키 (HSM 내부만) | ISO 27001, SOC 2, C5 Type 2, FIPS 140-2 | 동일 |
| Secret Manager | 시크릿 저장 | API 키, DB 비밀번호 | ISO 27001, SOC 2, C5 Type 2 | 동일 |
| Cloud Logging | 로그 수집 | 애플리케이션 로그, 감사 로그 | ISO 27001, SOC 2, C5 Type 2 | 동일 |
3.2 SaaS 서비스 (제3자)
| 서비스 | 제공자 | 용도 | 데이터 전송 | 보안 인증 | DPA 체결 |
|---|---|---|---|---|---|
| Firebase Cloud Messaging | 푸시 알림 | 디바이스 토큰 | ISO 27001, SOC 2 | ✅ GDPR DPA | |
| Firebase Crashlytics | 크래시 모니터링 (모바일) | 크래시 리포트, 익명화된 디바이스 정보 | ISO 27001, SOC 2 | ✅ GDPR DPA (Google) | |
| SendGrid | Twilio | 이메일 발송 | 이메일 주소 | SOC 2 Type 2 | ✅ GDPR DPA |
| GitHub | Microsoft | 소스 코드 저장 | 소스 코드 (Private Repo) | ISO 27001, SOC 2 | ✅ GDPR DPA |
3.3 외부 인터페이스 연결 보안 명세 (O.TrdP_10)
dta-wide-api → 외부 서비스 연결 구조:
외부 인터페이스 TLS 구현 현황 (O.TrdP_10):
| 외부 서비스 | 인증 방식 | TLS 버전 명시 | 비고 |
|---|---|---|---|
| Firebase FCM | Service Account JWT (상호 인증) | ✅ Google SDK | Google SDK가 TLS 관리 |
| Firebase Crashlytics | Service Account JWT (상호 인증) | ✅ Google SDK | Google SDK가 TLS 관리 |
| SendGrid | API Key (단방향) | TLS 1.2+ | |
| GitHub | Token (HTTPS) | TLS 1.2+ |
4. GCP 보안 증적 (C5 Type 2)
4.1 C5 (Cloud Computing Compliance Controls Catalogue)
GCP C5 Type 2 인증:
- 발행 기관: BSI (독일 연방 정보보안청)
- 인증 범위: GCP 전체 서비스 (europe-west3 포함)
- 유효 기간: 2024-01-01 ~ 2026-12-31 (예상)
- 인증서 위치:
certs/gcp-c5-attestation-2024.pdf
C5 요구사항 주요 항목:
- ORP (조직 및 인력)
- OPS (운영)
- OIS (정보 보안 사고 관리)
- IDM (신원 및 접근 관리)
- DAT (데이터 보호)
- LOG (로깅)
- CRY (암호화)
GCP 준수 확인:
- GCP Compliance Reports Manager에서 C5 인증서 다운로드 가능
- 연간 재인증 (Type 2: 1년간 지속적 감사)
4.2 기타 GCP 보안 인증
| 인증 | 발행 기관 | 범위 |
|---|---|---|
| ISO 27001 | ISO | 정보보안 관리 시스템 |
| SOC 2 Type II | AICPA | 서비스 조직 통제 |
| GDPR | EU | 개인정보 보호 규정 |
| HIPAA | HHS (미국) | 의료 데이터 보호 |
| ISO 27017 | ISO | 클라우드 보안 |
| ISO 27018 | ISO | 클라우드 개인정보 보호 |
| PCI DSS | PCI SSC | 결제 카드 데이터 보호 (미사용) |
5. 데이터 처리 계약 (DPA - Data Processing Agreement)
5.1 GDPR Article 28 준수
GCP DPA:
- 계약 유형: Google Cloud GDPR Data Processing Amendment
- 서명일: [계약일]
- 적용 서비스: 모든 GCP 서비스
- 하위 처리자: Google 하위 처리자 목록 (공개)
- 데이터 위치: europe-west3 (독일) 고정
제3자 서비스 DPA:
| 서비스 | DPA 체결 여부 | DPA 유형 | 서명일 |
|---|---|---|---|
| OpenAI | ✅ | GDPR DPA | 2024-06-01 |
| Firebase Crashlytics | ✅ | Google GDPR DPA | Google Customer Agreement 포함 |
| SendGrid | ✅ | GDPR DPA | 2024-08-01 |
| GitHub | ✅ | GitHub DPA (Microsoft) | 2024-05-01 |
5.2 하위 처리자 (Sub-Processors)
GCP 하위 처리자 목록 (예시):
- Google LLC (미국) - 인프라 운영
- Google Ireland Limited (아일랜드) - EU 데이터 처리
- Google Germany GmbH (독일) - 로컬 지원
통지 의무:
- GCP: 하위 처리자 변경 시 30일 전 이메일 통지
- DTA Wide: 14일 내 이의 제기 가능
6. 데이터 레지던시 및 국외 이전
6.1 데이터 레지던시 보장
GCP VPC Service Controls:
- 모든 데이터는
europe-west3리전 내에서만 처리 - 리전 외부 접근 차단 (VPC Perimeter)
- 관리자 접근도 리전 내 VPC를 통해서만 가능
6.2 국외 이전 없음 (No Cross-Border Transfer)
보장 사항:
- 모든 사용자 데이터는 독일(europe-west3) 내에서만 저장 및 처리
- 백업도 동일 리전 내 Multi-zone 복제
- 관리자/개발자 접근 시 Proxy를 통한 독일 리전 접속
- GCP 글로벌 네트워크 사용하지만 데이터는 리전 고정
예외 사항:
- GitHub: 소스 코드 저장 (민감 데이터 포함 안 함)
7. 공급자 보안 모니터링
7.1 GCP Security Command Center
설정:
- Standard Tier 활성화
- 취약점 스캔: 주 1회
- 이상 탐지: 실시간
- 컴플라이언스 검사: 월 1회
알림 설정:
- Critical 취약점: 즉시 이메일
- High 취약점: 일일 요약
- 컴플라이언스 위반: 즉시 알림
7.2 공급자 SLA 모니터링
| 서비스 | SLA | 실제 Uptime (2025) | 다운타임 보상 |
|---|---|---|---|
| Cloud Run | 99.95% | 99.98% | 서비스 크레딧 (월 사용료 10-25%) |
| Cloud SQL | 99.95% (HA) | 99.97% | 서비스 크레딧 |
| Memorystore | 99.9% | 99.95% | 서비스 크레딧 |
9. 공급망 보안 (Supply Chain Security)
9.1 컨테이너 이미지 검증
GCP Artifact Registry:
- 컨테이너 이미지 취약점 스캔 (자동)
- Binary Authorization (서명 검증)
- Provenance Attestation (SLSA Level 2)
Docker 이미지 서명:
# cloudbuild.yaml
steps:
- name: gcr.io/cloud-builders/docker
args: ['build', '-t', 'gcr.io/dta-wide-prod/dta-wide-api:$SHORT_SHA', '.']
- name: gcr.io/cloud-builders/docker
args: ['push', 'gcr.io/dta-wide-prod/dta-wide-api:$SHORT_SHA']
- name: gcr.io/cloud-builders/gcloud
args:
- kms
- asymmetric-sign
- --location=europe-west3
- --keyring=build-keyring
- --key=build-key
- --version=1
- --digest-algorithm=sha256
- --input-file=/workspace/image-digest.txt
- --signature-file=/workspace/signature.sig
9.2 종속성 관리
SBOM (Software Bill of Materials):
- 형식: CycloneDX JSON
- 생성 도구:
@cyclonedx/bom - 업데이트: 릴리즈마다
- 저장 위치:
artifacts/sbom-v1.x.json
예시:
{
"bomFormat": "CycloneDX",
"specVersion": "1.4",
"version": 1,
"components": [
{
"type": "library",
"name": "@nestjs/core",
"version": "10.0.0",
"purl": "pkg:npm/%40nestjs/core@10.0.0"
}
]
}
10. 공급자 감사 및 검토
10.1 연간 공급자 검토
| 검토 항목 | 주기 | 책임자 | 조치 |
|---|---|---|---|
| GCP 보안 인증 갱신 | 연간 | 보안팀 | C5 인증서 확인 |
| DPA 갱신 | 연간 | 법무팀 | 계약 검토 |
| 하위 처리자 변경 | 분기 | 컴플라이언스팀 | 변경 승인/거부 |
| SLA 달성률 | 월간 | 운영팀 | 보상 청구 |
| 공급자 취약점 | 상시 | 보안팀 | CVE 모니터링 |
10.2 Exit 전략 (Contingency Plan)
시나리오: GCP 서비스 중단 (리전 장애)
- 즉시 조치 (0-15분):
- Cloud SQL HA Failover (자동, < 60초)
- Cloud Run Multi-zone 자동 재배포
- 단기 조치 (15분-4시간):
- 다른 리전(europe-west1)으로 수동 Failover
- DNS TTL 60초 → 빠른 전환
- 장기 조치 (4시간-2주):
- 다른 클라우드 제공자(AWS/Azure)로 완전 이전
- 이전 계획 실행 (Section 8.2)
증빙 및 참조(Artifacts)
- RACI 매트릭스 (본 문서 Section 2.2)
- GCP C5 Type 2 인증서 -
certs/gcp-c5-attestation-2024.pdf - DPA 계약서 (GCP) -
contracts/gcp-dpa-signed.pdf - VPC Service Controls 설정 -
artifacts/vpc-service-controls.yaml - SBOM (Software Bill of Materials) -
artifacts/sbom-v1.x.json - GCP 하위 처리자 목록 -
artifacts/gcp-subprocessors-list.pdf - 공급자 검토 기록 -
reports/vendor-review-2025.pdf - SLA 달성률 리포트 -
reports/sla-report-2025.xlsx - 이전 계획 (Contingency) -
docs/migration-plan-gcp-to-aws.md
| 규정 | 요구사항 | 구현 | 증거 |
|---|---|---|---|
| BSI TR-03161 Part 3 | 공급자 보안 증적 | GCP C5 Type 2 인증 | 인증서 |
| GDPR Article 28 | DPA 체결 | 모든 외부 서비스 DPA | DPA 계약서 |
| DiGA (BfArM) | 독일 데이터 레지던시 | europe-west3 고정 | VPC Service Controls |
| ISO 27001 A.15 | 공급자 관계 관리 | RACI, SLA 모니터링 | 본 문서 |