보안은 기능이 아니라 전제입니다
금융기관 접근정보를 다루는 일은 신뢰가 먼저입니다. headless 가 자격증명을 어떻게 보관하고, 통신을 어떻게 보호하며, 데이터를 어디까지만 다루는지 있는 그대로 설명합니다.
자격증명은 봉투 암호화로 보관합니다
키 하나가 유출돼도 자격증명은 열리지 않도록, 데이터 키와 마스터 키를 분리합니다.
데이터 키로 암호화
자격증명은 요청마다 생성되는 데이터 키로 AES-256 암호화됩니다.
마스터 키로 봉인
데이터 키 자체를 마스터 키로 다시 암호화해 분리 저장합니다. 평문 키는 어디에도 남지 않습니다.
수집 시점에만 복호화
스크래핑이 실제로 실행되는 순간에만 메모리에서 복호화하고, 작업이 끝나면 폐기합니다.
통신부터 접근까지, 단계마다 통제합니다
통신 구간 암호화
고객 ↔ headless 통신과 내부 전송 구간을 TLS/SSL 로 보호합니다.
AWS Zero-trust
서버·DB 접근은 VPN, IdP/MFA 등 여러 보안 레이어를 거쳐야만 가능합니다.
AES-256 저장 암호화
인증서·비밀번호·접근 정보는 모두 AES-256 으로 암호화한 상태로만 저장됩니다.
인증서 보호
공동인증서·기관 인증 파일도 자격증명과 동일하게 암호화해 보관하고, 스크래핑 실행 시점에만 복호화합니다.
민감정보 마스킹·최소 권한
운영 알림·로그로 나가는 비밀번호·토큰·인증서 값은 재귀적으로 마스킹하고, 인프라 서비스마다 권한을 분리합니다.
API 키 단위 접근제어·감사
API 키별로 권한과 수집 요청 한도를 통제하고, 접근 이력을 감사 로그로 남깁니다.
무엇을 저장하고, 무엇을 저장하지 않는지
저장하는 것
- 암호화된 자격증명 (복호화 키와 분리 보관)
- 정규화된 수집 결과 (거래내역·세금계산서·현금영수증)
- 수집 요청·상태·접근 감사 로그
저장하지 않는 것
- 평문 비밀번호·인증서 비밀번호
- 복호화된 자격증명의 영구 사본
- 수집 목적 외 개인정보의 별도 가공·재판매
격리하는 것
- 분산 파이프라인(Coordinator · Consumer · Worker) 단계별 권한 분리
- 자격증명 복호화는 Worker 실행 컨텍스트로 한정
- 워크스페이스 멤버십 매 요청 검증 + 파트너 사업자번호 경계
규정은 인증 배지가 아니라 설계로 답합니다
개인정보보호법과 신용정보법이 요구하는 수집·이용·보관 원칙을 아키텍처 단계에서 반영합니다. 최소 수집, 목적 외 사용 금지, 암호화 보관, 접근 통제와 감사 — 정책 문서가 아니라 시스템이 먼저 지킵니다.
국내외 보안 인증은 정식 출시 일정에 맞춰 취득을 진행 중이며, 취득 시 이 자리에 인증 범위와 함께 게시합니다. 그 전까지는 과장된 표기 대신 실제 설계를 공개하는 쪽을 택했습니다.
보안 검토 자료가 필요하시면 아래로 요청해 주세요. 도입을 검토하는 데 필요한 문서를 정리해 드립니다.