본문 바로가기
Tumen Security

신뢰 센터

믿어달라고 말하는 대신, 전부 보여드려요.

Tumen Security가 당신의 코드를 어떻게 다루는지, 무엇을 기준으로 점검하는지, 어떤 외부 서비스를 쓰는지를 숨기지 않고 적어둡니다. 마지막 업데이트는 코드와 함께 관리돼요.

데이터 원칙

분석 후 코드 즉시 삭제

점검에 필요한 동안만 얕게(shallow) 가져오고, 끝나면 우리 서버의 작업본을 곧바로 삭제해요. (분석용 외부 LLM 전송분은 아래 ‘AI 거버넌스’ 참고)

결과는 비공개

점검 결과는 의뢰한 본인에게만 전달해요. 외부에 공개·공유하지 않아요.

시크릿 값은 저장 안 함

발견한 API 키·비밀번호 같은 시크릿의 평문 값 자체는 보관하지 않아요.

최소 권한만 요청

코드 읽기와 PR 올리기 두 가지뿐. main 같은 보호 브랜치에 직접 쓰는 권한은 요청하지 않아요.

토큰은 암호화 보관

연결에 필요한 설치 토큰은 AES-256-GCM으로 암호화해 저장해요.

국외이전 투명 고지

분석을 위해 코드 일부가 국외로 가는 경우, 어디로·왜 가는지 미리 알려드려요.

고객 코드로 AI 학습 안 함

분석에 쓰는 외부 LLM은 API 경로로만 호출하며, 보낸 코드가 모델 학습에 쓰이지 않아요.

점검 기준 매핑

발견한 위험은 국제 표준(OWASP Top 10 · CWE)과 개인정보보호법(PIPA) 항목에 매핑해 리포트에 표시해요. 아래는 대표 예시입니다.

점검 항목별 OWASP Top 10 · CWE · 개인정보보호법 매핑
점검 항목OWASP Top 10CWE개인정보보호법 관련
하드코딩된 시크릿A05 보안 설정 오류CWE-798안전조치 의무(접근권한·암호화)
SQL 인젝션A03 인젝션CWE-89안전성 확보 조치
XSS (교차 사이트 스크립팅)A03 인젝션CWE-79안전성 확보 조치
취약·구버전 의존성A06 취약/구버전 컴포넌트CWE-1104안전조치 의무
인증·접근통제 미흡A01 접근통제 실패CWE-287 / 284접근 통제
개인정보 평문 저장A02 암호화 실패CWE-312저장 시 암호화 의무(§29)

* 매핑은 이해를 돕기 위한 분류이며, 법적 판단을 대신하지 않아요. PIPA 조문 인용은 개정 개인정보보호법을 기준으로 합니다.

AI 거버넌스

어떤 데이터가 어디로 흐르는지 분명히 해둡니다.

무엇이 전송되나

한국어 리포트 생성과 코드 수정 단계에서, 문제 지점 주변 코드 일부(약 30줄)가 외부 LLM API(OpenAI)로 전송돼요. 파일 전체나 레포 전체를 보내지 않아요.

시크릿 처리

시크릿 탐지 도구(gitleaks 등)가 찾은 부분은 마스킹해 보내요. 다만 코드를 고치는 단계에선 문제 코드 주변을 함께 보내므로, 거기에 평문 키가 섞여 있을 수 있어요. 그래서 점검 후엔 노출된 키를 꼭 교체(rotate)하시길 권해요.

수정은 제안일 뿐

자동수정은 단일 파일로 제한된 PR(제안)로만 올라가고, 당신이 승인·머지하기 전에는 코드에 반영되지 않아요.

보낸 코드는 모델 학습에 쓰이지 않도록 API 경로로만 호출해요. 다만 데이터 비보존 (zero-retention) 계약은 아직 맺지 않았고, 확보를 진행 중이에요. 확정되면 이 페이지에 그대로 적을게요.

하위 처리자

서비스 운영에 필요한 외부 처리자입니다. 변경되면 이 표를 갱신해요.

Tumen Security가 사용하는 하위 처리자 · 용도 · 데이터 위치
처리자용도데이터 위치
OpenAI보안 분석 (코드 일부 → LLM)미국
GitHub코드 연결 · 수정 PR 생성미국
인프라 (Supabase · Vercel · Railway)데이터 저장 · 호스팅 · 스캔 실행미국 / 리전 설정값

* 데이터 위치와 계약 조건은 설정·계약에 따라 갱신될 수 있어요.

취약점 신고

Tumen Security 서비스에서 보안 문제를 발견하셨다면 알려주세요. 선의의 신고는 환영하며, 확인되는 대로 신속히 조치합니다.

신고 창구

security@tumensecurity.comsecurity.txt 보기

사고 대응

만에 하나 사고가 생기면, 정해진 순서로 움직입니다. 법정 통지·신고는 개인정보 보호법 제34조와 시행령을 따릅니다.

  1. 0–1시간

    인지 즉시 초동 대응

    영향 받을 수 있는 시스템을 격리하고 추가 피해를 막아요.

  2. ~24시간

    영향 범위 파악

    무엇이, 누구에게, 얼마나 영향을 줬는지 조사해요.

  3. ~72시간

    통지 및 신고 (법정)

    정보주체 통지와 개인정보보호위원회·KISA 신고를 진행해요.

  4. 이후

    재발 방지·공개

    원인을 고치고, 무슨 일이 있었는지 투명하게 공유해요.

자체 보안

우리 제품도 자가 점검

고객에게 쓰는 같은 엔진으로 우리 코드를 먼저 검사해요.

얕은 클론 후 즉시 삭제

소스는 shallow clone으로만 가져오고 작업이 끝나면 바로 지워요.

보호 브랜치 직접 쓰기 없음

main·master 같은 보호 브랜치엔 쓰지 않고, 별도 브랜치로만 PR을 올려요.

토큰 암호화

연결 토큰은 AES-256-GCM으로 암호화해 보관해요.

더 궁금한 점이 있으면 편하게 물어보세요.

무료로 점검받기hello@tumensecurity.com