사이버보안 준수 현황

점검 기준

1. 입력값 검증

점검항목	상태	비고
SQL Injection 방지	완료	파라미터 바인딩
경로 탐색(Path Traversal) 차단	완료	화이트리스트 검증
XSS 방지	완료	HTML 이스케이프 적용
입력값 유형/형식 검증	완료	정규식 + 범위 제한
입력 길이 제한	완료	모든 입력 필드
욕설/광고 필터링	완료	키워드 차단

2. 인증 및 접근 통제

점검항목	상태	비고
API 인증 (JWT)	완료	HS256 토큰 인증
관리자 기능 인가	완료	역할 기반 접근 제어
CSRF 보호	완료	Bearer 토큰 방식
Rate Limiting	완료	IP 기반 요청 제한
CORS 정책	완료	허용 도메인 제한
어뷰징 방지	완료	중복/스팸/일일 제한

3. 암호화 및 통신 보안

점검항목	상태	비고
앱 HTTPS 통신	완료	TLS 강제
WebView 네비게이션 제한	완료	허용 도메인만
CDN 무결성 검증 (SRI)	완료	해시 검증
콘텐츠 보안 정책 (CSP)	완료	리소스 로딩 제한
Gemini API HTTPS 통신	완료	google-generativeai SDK 기본 TLS

4. 개인정보 보호

점검항목	상태	비고
민감정보 암호화 저장	완료	SHA-256 해시
개인정보 마스킹 응답	완료	평문 미노출
클라이언트 민감정보 미저장	완료	로컬 저장 제거
위치정보 수집 동의	완료	사용자 동의 후 수집
위치정보 최소 수집	완료	서버 미저장
개인정보 자동 파기	완료	90일/180일 자동 삭제
개인정보 처리방침 공개	완료	앱 내 제공
음성 원본 오디오 서버 미전송	완료	기기 내 STT 처리
전사 텍스트 서버 미저장	완료	Gemini 경유 후 즉시 폐기, 로그에 필터 요약만
LLM 사용 사전 동의	완료	앱 내 consent modal (Apple 5.1.2(i))

5. 에러 처리 및 로깅

점검항목	상태	비고
내부 정보 노출 차단	완료	일반 에러 메시지 반환
안전한 예외 처리	완료	명시적 예외 타입
적절한 HTTP 상태코드	완료	400/401/403/404/429
감사 로그	완료	변경 작업 기록
로그 민감정보 제외	완료	PII 미기록
음성 전사 원본 로그 미기록	완료	파싱된 필터 카운트만 기록

6. 안전한 코드 구현

점검항목	상태	비고
DB 커넥션 누수 방지	완료	컨텍스트 매니저
DB 커넥션 풀링	완료	풀 기반 관리
암호학적 안전 난수	완료	secrets 모듈
환경변수 관리	완료	하드코딩 없음

7. 앱 보안

점검항목	상태	비고
WebView HTTPS 강제	완료	https 스킴
네비게이션 제한	완료	화이트리스트
외부 링크 시스템 브라우저	완료	인앱 브라우저 분리
앱 난독화/코드 보호	완료	R8/ProGuard

8. 인프라 및 운영 보안

점검항목	상태	비고
DB 접근 제어	완료	내부 네트워크 격리
서버 TLS (HTTPS)	준비중	호스팅 이전 시 적용 예정
모니터링	일부	헬스체크 운영 중
GEMINI_API_KEY 안전 보관	완료	Fly.io secrets (환경변수, 코드 미포함)
LLM API rate limiting	완료	slowapi @limiter.limit("10/minute")

문의

보안 관련 문의 및 취약점 제보: support@chargepark.cc

← 돌아가기