보안 정책

최종 갱신일: 2026년 5월 22일 · moduup은 병원·환자 정보를 다음과 같이 보호합니다.

1. 암호화 (Encryption)

• 저장 시 암호화: 환자 실명·연락처, AI API 키는 AES-256-GCM으로 암호화하여 저장합니다. 데이터베이스가 유출되어도 키 없이는 복호화할 수 없습니다.
• 전송 시 암호화: 모든 통신은 HTTPS(TLS)로 암호화되며, HSTS로 평문 접속을 차단합니다.
• 비밀번호: scrypt 단방향 해시로 저장되어 운영자도 원본 비밀번호를 알 수 없습니다.

2. 인증 및 세션 (Authentication)

• 세션 토큰은 HMAC-SHA256으로 서명되어 위변조를 차단합니다.
• 세션 쿠키는 HttpOnly·Secure·SameSite=lax 속성으로 자바스크립트 탈취·교차 사이트 전송을 방지합니다.
• 세션은 7일 후 자동 만료됩니다.
• 무차별 대입(brute-force) 방어: IP당 5분에 10회로 로그인 시도를 제한하고, 계정당 5회 실패 시 15분간 잠급니다.

3. 접근 통제 (Access Control)

• 병원별 데이터 격리(멀티테넌시): 모든 데이터는 clinicId로 분리되어, 다른 병원의 데이터에 접근할 수 없습니다.
• 역할 기반 권한(RBAC): OWNER / MANAGER / STAFF 역할에 따라 접근 범위를 제한합니다.
• 민감정보 접근 기록: 환자 정보 복호화 등 민감 작업은 별도 감사 로그(PiiAccessLog)에 기록됩니다.

4. 애플리케이션 보안

• CSRF 방어: 모든 변경 요청에 Origin/Referer 출처를 검증합니다.
• 보안 헤더: HSTS, X-Frame-Options(DENY), X-Content-Type-Options(nosniff), Referrer-Policy, Permissions-Policy를 적용합니다.
• 클릭재킹·MIME 스니핑·XSS 등 일반적인 웹 취약점을 헤더 수준에서 차단합니다.

5. 외부 AI 연동 (BYOK)

• AI 기능은 BYOK(Bring Your Own Key) 방식으로, 고객이 직접 발급한 API 키를 사용합니다.
• 키는 암호화 저장되며, AI에 전송되는 데이터는 마스킹된 표시명·통계로 제한됩니다. 환자 실명·연락처·진단명 등 식별정보는 전송되지 않습니다.
• AI 사업자의 학습 사용 여부는 고객이 각 콘솔에서 직접 제어할 수 있습니다(opt-out 안내 제공).

6. 데이터 보관 및 파기

• 회원 탈퇴 시 본인 데이터를 즉시 영구 삭제합니다.
• 접근·활동 로그는 보안 분쟁 대비 기간(1년/3년) 보관 후 자동 파기합니다.
• 전자적 파일은 복구 불가능한 방식으로 삭제하며, 암호화 데이터는 복호화 키 폐기를 포함해 파기합니다.

7. 비밀키 관리

• 암호화 마스터 키·세션 서명 키는 코드와 분리하여 환경변수(Secret)로 관리합니다.
• 키 노출이 의심되는 경우 즉시 새 키로 교체(rotation)합니다.

8. 취약점 대응

• 의존성 라이브러리의 알려진 취약점을 주기적으로 점검·갱신합니다.
• 보안 이슈를 발견하시면 아래 책임자 연락처로 제보해 주시기 바랍니다. 신속히 확인 후 조치합니다.

9. 사고 대응 및 통지

• 개인정보 유출 사고 발생 시, 지체 없이 정보주체(또는 위탁자인 병원)에게 통지하고, 규모에 따라 개인정보보호위원회·한국인터넷진흥원(KISA)에 신고합니다(개보법 제34조).

10. 보안 문의 / 제보

보안 취약점 제보·문의: security@moduup.com (예시 — 정식 출시 시 실제 주소 등록)
개인정보 관련 문의는 개인정보 처리방침의 보호책임자(DPO)에게 하실 수 있습니다.