보안 지침

코드 보안

금지 사항

• API 키, 비밀번호, 토큰을 소스 코드에 직접 하드코딩하지 않는다
• .env 파일, config.json 등 민감 설정 파일을 git에 커밋하지 않는다
• 내부 서버 IP, 포트, 엔드포인트를 공개 레포에 노출하지 않는다

필수 사항

• 민감 정보는 환경변수 또는 별도 설정 파일로 관리한다
• .gitignore에 민감 파일 패턴을 반드시 등록한다
• 외부 의존성 추가 시 라이선스를 확인한다

데이터 보안

고객 데이터

• 고객 음성 데이터는 계약 범위 내에서만 사용한다
• 학습 데이터와 고객 데이터를 구분하여 관리한다
• 데이터 접근 시 필요 최소 권한 원칙을 따른다

내부 데이터

• 사내 문서, 회의록 등을 외부 AI 서비스에 무분별하게 입력하지 않는다
• 민감 데이터가 포함된 파일은 암호화하여 저장한다

인프라 보안

• AWS 접근 키는 IAM 역할 기반으로 관리한다
• SSH 키는 개인별로 생성하고 공유하지 않는다
• VPN 접속 규칙을 준수한다