데이터 보호 — 평문 미저장
민감 식별정보는 평문으로 보관하지 않아요. 꼭 필요한 식별값은 해시로, 화면에는 마스킹해서 다뤄요.
- 본인확인 식별값(CI/DI)은 원문 대신 해시 형태로만 저장해요.
- OTP 인증번호는 저장하지 않고, 검증 후 폐기해요.
- 연락처·이름은 화면·로그에서 마스킹해서 보여줘요(예: 010-****-1234).
보안
우리가 지키는 것과,
아직 받지 못한 것을
그대로 적었어요
보안은 광고 문구가 아니라 설계입니다. 싸인딜이 실제로 적용한 보호 방식과, 추진 중인 인증을 과장 없이 정직하게 안내해요. 받지 않은 인증은 받았다고 쓰지 않습니다.
평문 미저장
전송·저장 암호화
테넌트 격리
append-only 증거
ISO/IEC 27001 추진 중
ISMS-P 추진 중
핵심 보안
실제로 적용한 네 가지
아래는 약속이 아니라 현재 적용 중인 설계예요. 범위가 한정된 부분은 한정된 그대로 적었어요.
전송·저장 암호화
주고받는 구간과 저장되는 구간 모두 암호화해요. 실제 적용 범위만 적어요.
- 전송 구간은 HTTPS(TLS)로 암호화해요.
- 저장 데이터는 데이터베이스·문서 보관소에서 암호화해 보관해요.
- 문서 무결성은 SHA-256 해시로 별도 검증해요.
접근통제 · 테넌트 격리
조직마다 데이터가 분리돼요. 권한 없는 자원은 존재 여부조차 드러내지 않아요.
- 모든 자원은 조직 식별자(org_id) 기준으로 격리돼요.
- 다른 테넌트의 자원에는 접근이 차단돼요(권한 없으면 미노출).
- 팀은 역할(owner·admin·member·billing)로 권한을 나눠요.
증거 무결성 — append-only
서명 이벤트와 감사로그는 쌓이기만 하고 고쳐 쓸 수 없어요. 운영자도 예외가 아니에요.
- 서명 이벤트·감사로그는 추가만 가능하고 수정·삭제가 차단돼요.
- 변경·삭제 시도는 데이터베이스 단에서 자동 거절(트리거)돼요.
- 운영자 콘솔에서도 증거 기록은 읽기·검증·내보내기만 가능해요.
증거가 남는 방식
한 번 기록되면, 고쳐 쓸 수 없어요
열람부터 서명 완료까지 매 단계가 시각·접속정보·해시와 함께 추가만 되는 방식으로 쌓여요. 분쟁이 생겨도 '무엇이 언제 어떻게' 일어났는지 설명할 수 있어요.
감사추적 (append-only)
-
열람 수신자가 문서를 열어 본 시각·접속정보가 기록돼요.
-
본인확인 휴대폰 본인확인 결과가 식별값 해시와 함께 남아요.
-
동의·서명 약관 동의와 서명 입력이 시각과 함께 기록돼요.
-
무결성 봉인 완료 문서의 해시가 계산돼 위변조 검증의 기준이 돼요. sha256: 9a3f2c…e71b
이 타임라인은 동작 예시예요. 실제 기록은 계약별로 생성되며, 위변조가 있으면 해시 불일치로 드러나요.
인증은 '추진 중'으로만 적어요
받은 인증만 받았다고 씁니다. ISO/IEC 27001과 ISMS-P는 아직 받지 않았고, 현재 추진 중이에요. 받기 전까지 보유했다고 표기하지 않아요.
| 항목 | 현재 상태 |
|---|---|
| ISO/IEC 27001 | 추진 중 · 미획득 |
| ISMS-P | 추진 중 · 미획득 |
| Cloudflare 인프라 | 적용 중(전 세계 엣지·DDoS 완화 기반) |
| 블록체인 | 미사용 — 해시·append-only 감사추적으로 대체 |
ISO/IEC 27001 추진 중
ISMS-P 추진 중
Cloudflare 인프라 기반
인증을 취득하면 발급기관·인증 범위·취득 일자와 함께 이 페이지에서 공개할게요. 그전까지는 '추진 중'으로만 안내해요.
인프라
싸인딜은 Cloudflare 인프라 위에서 동작해요. 전 세계 엣지 네트워크와 DDoS 완화 기반을 활용해요.
- 엣지 기반 HTTPS(TLS) 전송 암호화를 기본 적용해요.
- 대규모 트래픽 공격에 대한 DDoS 완화 기반을 활용해요.
- 데이터는 조직 식별자(org_id)로 논리적으로 격리해요.
상세 아키텍처·키 관리 정책은 인증 절차와 함께 단계적으로 문서화해요.
책임 있는 신고
취약점을 찾으셨나요? 알려주세요
보안 취약점은 악용 전에 알려주시는 분들 덕분에 막을 수 있어요. 책임 있는 공개(responsible disclosure)에 협조해 주시면 빠르게 확인하고 대응할게요.
취약점 신고
이메일 제목에 [보안 신고]를 붙이고, 재현 절차·영향 범위·발견 환경을 함께 보내 주세요. 확인되는 대로 답변드려요.
[email protected]정식 신고 포털·포상 정책(있을 경우)은 서비스 출시 시점에 별도 안내할 예정이에요. 신고하신 정보는 취약점 확인 목적으로만 사용해요.
더 알아보기
법적효력·증거력과 본인확인은 별도 페이지에서 자세히 안내해요.
자주 묻는 질문
보안에 대해 자주 묻는 것들
싸인딜은 ISO 27001이나 ISMS 인증을 받았나요?
아직 받지 않았어요. ISO/IEC 27001과 ISMS-P는 현재 추진 중이며, 받기 전까지는 '추진 중'으로만 표기해요. 인증을 받으면 발급기관·범위·일자와 함께 공개할게요.
싸인딜은 블록체인으로 위변조를 막나요?
아니요. 싸인딜은 블록체인을 쓰지 않아요. 문서 해시(SHA-256)와 append-only 감사추적으로 위변조 여부를 검증해요. 증거 기록은 수정·삭제가 차단돼 있어요.
주민등록번호나 인증 원문 같은 민감정보를 저장하나요?
민감 식별정보는 평문으로 저장하지 않아요. 본인확인 식별값(CI/DI)은 해시 형태로만 보관하고, OTP 원문은 저장하지 않으며 화면에는 마스킹해서 보여줘요.
다른 회사·다른 조직의 데이터를 볼 수 있나요?
볼 수 없어요. 모든 데이터는 조직 식별자(org_id)로 격리되며, 다른 테넌트의 자원은 권한이 없으면 존재 여부도 노출하지 않고 차단해요.
보안 취약점을 발견하면 어디로 신고하나요?
[email protected] 로 제목에 [보안 신고]를 붙여 보내 주세요. 재현 절차와 영향 범위를 함께 알려주시면 빠르게 확인할게요. 정식 신고 채널과 정책은 출시 시점에 안내할 예정이에요.
보안이 궁금하면, 편하게 문의하세요
개인은 가입 시 5건 무료(1회성)로 직접 써보고, 기업은 보안·도입 관련 상담을 받을 수 있어요.
AI 생성물은 계약서 작성을 돕는 참고용이며 법률 자문이 아닙니다. ISO/IEC 27001·ISMS-P 등 보안 인증은 추진 중(미획득)입니다.