시행일: 2026년 4월 23일
1. 보안 원칙
비서누리는 다음 원칙 위에 보안 체계를 설계하고 운영합니다.
- Zero-Content-Knowledge: 서버는 이용자의 평문 데이터에 접근하지 못하도록 설계합니다.
- 최소 권한: 운영팀 · 내부자라도 기본적으로 이용자의 데이터에 접근할 수 없도록 권한을 분리합니다.
- 수학적 무결성: 주요 이벤트는 해시 체인으로 연결되어 변조를 즉시 식별할 수 있도록 설계합니다.
- 공개된 암호 기법: Signal Protocol 계열, X25519, ML-KEM, AES-256-GCM 등 공개 검증된 암호 기술을 사용합니다.
2. 취약점 제보 (Responsible Disclosure)
보안 취약점을 발견하신 연구자 · 화이트햇 해커의 제보를 환영합니다.
제보 방법
- 이메일: security@biseonuri.kr
- 제보 시 재현 절차, 영향 범위, 가능한 해결 방향을 함께 공유해 주시면 신속한 대응에 도움이 됩니다.
- 민감한 내용의 경우 PGP 암호화 제보를 권장합니다. PGP 공개키는 출시 이후 별도 안내 예정이며, 그 전까지 필요 시 요청해 주시면 안전한 채널을 안내드립니다.
회사의 약속
- 제보 접수 후 영업일 기준 3일 이내에 수신 확인을 드립니다.
- 90일 책임 있는 공개(Responsible Disclosure) 원칙을 따르며, 그 전까지 제3자 공개를 삼가주시기 바랍니다.
- 선의의 보안 연구자에게는 법적 조치를 취하지 않습니다(Safe Harbor).
- 유의미한 제보에는 공식 감사문과 별도 포상(Bug Bounty)을 검토해 드립니다.
- 제보자가 공개를 원하면 감사 인사 또는 크레딧에 표기합니다.
3. Safe Harbor 조항
다음 조건을 준수하는 보안 연구 활동에 대해 회사는 법적 조치를 취하지 않습니다.
- 서비스의 가용성 · 무결성을 해치지 않을 것 (예: DoS 공격 금지)
- 타 이용자의 데이터에 접근하거나 수정 · 삭제하지 않을 것
- 발견한 취약점을 악용하지 않고 본 방침의 절차에 따라 제보할 것
- 관련 법령을 위반하지 않을 것
4. 공지 범위
본 보안정책은 다음 범위에 적용됩니다.
- biseonuri.kr 및 서브도메인 웹사이트
- 향후 출시되는 비서누리 앱 · 서비스 (출시 시점 갱신 공지)
5. 변경 이력
- 2026년 4월 23일: 최초 제정
보안 제보: security@biseonuri.kr