D. 보안 사고 대응
시행일: 2026년 3월 12일
요약: ProgramGarden은 보안 사고 발생 시 신속하고 체계적으로 대응하기 위한 절차를 수립하고 있습니다. 개인정보 유출 시에는 「개인정보 보호법(PIPA)」에 따라 72시간 내 통지하며, 보안 취약점 발견 시 책임 있는 공개(Responsible Disclosure) 절차를 통해 신고를 접수합니다.
1. 보안 사고 대응 프로세스
1. 사고 탐지 및 분류
ProgramGarden은 실시간 모니터링 시스템(Cloud Logging, Cloud Monitoring)을 통해 보안 이상 징후를 탐지합니다. 탐지된 사고는 심각도에 따라 다음과 같이 분류됩니다:
| 등급 | 설명 | 대응 시간 |
|---|---|---|
| Critical | 개인정보 유출, 시스템 침해, 데이터 무결성 손상 | 즉시 |
| High | 인증 우회 시도, 대량 비정상 접근, 서비스 장애 | 1시간 이내 |
| Medium | 의심스러운 접근 패턴, 단일 계정 이상 행위 | 24시간 이내 |
| Low | 정책 위반 의심, 경미한 이상 징후 | 72시간 이내 |
2. 사고 대응
사고가 확인되면 다음 절차에 따라 대응합니다:
- 격리: 영향을 받은 시스템 또는 계정을 즉시 격리
- 분석: 사고 원인, 영향 범위, 유출된 데이터 파악
- 복구: 시스템 복구 및 추가 피해 방지 조치
- 통지: 영향을 받은 이용자 및 관계 기관 통지 (아래 참조)
- 사후 조치: 재발 방지 대책 수립 및 이행
3. 기록 및 보존
모든 보안 사고의 탐지, 분석, 대응 과정은 상세히 기록되며, 관련 법령에 따라 일정 기간 보존됩니다.
2. 개인정보 유출 시 통지 절차
1. 이용자 통지
개인정보 유출이 확인된 경우, 「개인정보 보호법」 제34조에 따라 지체 없이 해당 이용자에게 다음 사항을 통지합니다:
- 유출된 개인정보의 항목
- 유출이 발생한 시점과 경위
- 이용자가 취할 수 있는 피해 최소화 조치
- 회사의 대응 조치 및 피해 구제 절차
- 이용자가 상담할 수 있는 연락처
2. 관계 기관 신고
1천 명 이상의 정보주체에 관한 개인정보가 유출된 경우, 「개인정보 보호법」에 따라 72시간 이내에 개인정보보호위원회 또는 한국인터넷진흥원(KISA)에 신고합니다.
3. 통지 방법
통지는 이메일, 서비스 내 공지, 홈페이지 게시 등 이용자에게 확실히 전달될 수 있는 방법으로 이루어집니다. 연락처를 알 수 없는 경우에는 홈페이지에 30일 이상 게시합니다.
3. 취약점 신고 (Responsible Disclosure)
1. 신고 채널
ProgramGarden 서비스에서 보안 취약점을 발견하신 경우, 아래 채널을 통해 신고해 주시기 바랍니다:
- 이메일:
support@programgarden.com - 제목:
[보안 취약점 신고]접두어를 포함해 주세요.
2. 신고 시 포함 사항
- 취약점의 유형 및 위치 (URL, API 엔드포인트 등)
- 취약점을 재현할 수 있는 상세 단계
- 예상되는 영향 범위
- (가능한 경우) 스크린샷 또는 증빙 자료
3. 처리 절차
- 접수 확인 이메일을 3영업일 이내 발송합니다.
- 신고 내용을 검증하고 영향도를 평가합니다.
- 취약점이 확인되면 수정 조치를 진행합니다.
- 수정 완료 후 신고자에게 결과를 통보합니다.
4. 신고자 보호
- 선의의 보안 취약점 신고자에 대해 법적 조치를 취하지 않습니다.
- 신고자의 개인정보는 기밀로 취급됩니다.
- 취약점 공개는 수정 조치가 완료된 이후에 신고자와 협의하여 진행합니다.
4. 연락처
보안 관련 문의 및 신고: support@programgarden.com