보안

ZillaSoft 보안

계정, 데이터, 제품의 기반이 되는 인프라를 보호하는 방법.

우리가 하는 보호 조치

이러한 관행은 오늘부터 시행됩니다. 미래 계획이 아닙니다.

항상 HTTPS

모든 트래픽은 HTTPS 전용으로 제공됩니다. HTTP 요청은 거부됩니다. 프로토콜 다운그레이드 공격을 방지하기 위해 HSTS가 max-age 1년으로 적용됩니다.

보안 헤더

모든 응답에 X-Content-Type-Options, X-Frame-Options(DENY), Referrer-Policy(strict-origin-when-cross-origin) 및 CDN 수준에서 적용되는 엄격한 Content Security Policy가 포함됩니다. XSS 보호는 더 이상 사용되지 않는 X-XSS-Protection 헤더 대신 script-src 'self' 정책을 가진 CSP에 의해 처리됩니다.

Auth0를 통한 인증

모든 사용자 인증은 PKCE 플로우를 통해 Auth0가 관리합니다. ZillaSoft는 비밀번호를 저장하지 않습니다. 세션 토큰은 메모리에 유지되며 localStorage에 저장되지 않습니다.

저장 데이터 암호화

모든 Snipzilla 스니펫 데이터는 AES-256-GCM을 사용해 로컬에서 암호화됩니다. 암호화 키는 기기의 OS 키링에 저장되며 데이터와 함께 디스크에 기록되지 않습니다. 스니펫 파일은 저장소에 직접 접근하더라도 저장 중에는 읽을 수 없습니다.

CDN을 통한 글로벌 배포

ZillaSoft 웹사이트는 전 세계에 분산된 CDN인 AWS CloudFront를 통해 제공됩니다. 정적 자산은 각 방문자와 가까운 엣지 위치에서 제공되며 오리진 서버는 공용 인터넷에 노출되지 않습니다.

이메일 인증

zillasoft.io에서 발송되는 모든 이메일은 DKIM 서명 및 DMARC 정책 적용으로 보호됩니다. 이를 통해 이메일 스푸핑을 방지하고 트랜잭션 및 알림 메시지의 이메일 무결성을 보장합니다.

봇 및 스팸 방지

모든 공개 양식은 Cloudflare Turnstile을 사용하여 침습적인 추적 없이 사람의 제출을 확인합니다. 보조 허니팟 레이어가 요청이 백엔드에 도달하기 전에 자동화된 봇을 자동으로 필터링합니다.

API 속도 제한

Snipzilla API는 남용 및 무차별 대입 공격을 방지하기 위해 엔드포인트별 속도 제한을 적용합니다. 임계값을 초과하는 요청은 애플리케이션 로직에 도달하기 전에 거부됩니다.

스니펫은 기기에 저장

Standard 플랜 사용자의 스니펫 데이터는 로컬 기기에만 저장되며 ZillaSoft 서버로 전송되지 않습니다. 클라우드 동기화는 Premium 및 Enterprise 플랜에 포함되어 있으며 기본으로 활성화됩니다. 동기화된 데이터는 기기를 떠나기 전에 엔드투엔드로 암호화됩니다.

완전한 계정 삭제

사용자는 언제든지 대시보드에서 직접 계정을 영구적으로 삭제할 수 있습니다. 삭제는 모든 시스템에 걸쳐 연쇄적으로 적용됩니다. 구독이 취소되고, 저장된 모든 데이터가 데이터베이스에서 삭제되며, 인증 공급자에서 신원 기록이 제거됩니다. 아무것도 남지 않습니다.

제3자 추적 없음

ZillaSoft 웹사이트는 분석, 광고 또는 핑거프린팅 스크립트를 로드하지 않습니다. 폰트는 자체 호스팅되어 Google Fonts나 유사한 서비스로 요청이 발생하지 않습니다. 이 사이트에서 범위가 지정된 유일한 외부 리소스는 봇 보호를 위해 양식에서만 사용되는 Cloudflare Turnstile입니다.

키로깅 없음

Snipzilla는 입력 중에 설정된 트리거 문자를 감지하기 위해 전역 키보드 훅이 필요합니다. 이 메커니즘은 키로거가 사용하는 것과 동일하므로 명확히 말씀드립니다. Snipzilla는 트리거 문자만 감시합니다. 키 입력은 기록, 저장, 전송 또는 공유되지 않습니다. 훅은 확장 트리거 감지 목적으로만 존재하며 다른 용도로는 사용되지 않습니다.

엔드투엔드 암호화 동기화

클라우드 동기화된 스니펫 데이터는 AES-256-GCM을 사용하여 엔드투엔드로 암호화됩니다. 암호화와 복호화는 모두 기기에서 이루어집니다. 서버는 읽을 수 없는 암호문만 저장합니다. 첫 번째 동기화 시 복구 코드가 생성됩니다. 새 기기에서 접근을 복원하려면 이를 저장해두세요. 모든 데이터는 전송 중에도 HTTPS로 보호됩니다.

책임있는 공개

보안 문제를 발견하셨나요? 알려주세요. 공개 공개 전에 비공개로 취약점을 보고해 주세요.

보안 연구자를 위한 표준 형식의 연락처 정보가 담긴 security.txt 파일이 /.well-known/security.txt에 있습니다.

보고 방법

보안 문의 양식(제목으로 "보안" 선택)을 통해 보고서를 제출하세요. 보고서는 비공개 채널로 전달되며 공개적으로 표시되지 않습니다.
영업일 기준 2일 이내에 보고서 수신을 확인하고 심각도에 따라 30일 이내에 수정 또는 완화 방안을 제공하기로 약속합니다.
공개 공개 전에 문제를 해결할 시간을 주세요. 책임있는 공개 관행을 따르는 연구자는 적절히 크레딧됩니다.

이메일을 선호하신다면 [email protected]로 직접 연락하실 수도 있습니다. 두 채널 모두 동일한 비공개 보안 메일함으로 연결됩니다.

앞으로의 계획

SOC 2 타입 II 감사

초기 제품 출시 후 계획됩니다. 감사 기간은 프로세스와 비용을 정당화하는 안정적인 사용자 기반이 확보된 후 시작됩니다.

제3자 보안 검증

독립적인 보안 평가는 엔터프라이즈 준비 로드맵의 일환으로 예정됩니다.

macOS 지원

Snipzilla는 현재 Windows와 Linux를 지원합니다. macOS 지원은 로드맵에 포함되어 있으며 코드 서명 및 플랫폼 인증 요건이 갖춰지면 출시될 예정입니다.

제3자 접근성 감사

ZillaSoft의 모든 제품 및 웹 자산에 걸친 접근성 약속을 공식적으로 검증하기 위해 WCAG 2.1 Level AA 기준의 독립적인 감사가 계획되어 있습니다.

Stashzilla 클립보드 관리자

현재 개발 중인 Windows 와 Linux용 프라이버시 중심 데스크탑 클립보드 관리자입니다. 글로벌 검색 오버레이, AI 기반 클립 태깅, Snipzilla와의 깊은 통합 기능을 제공합니다.

이 페이지의 변경

보안 관행은 시간이 지남에 따라 업데이트될 수 있습니다.

변경 유형 알림

경미 (오타 수정, 명확화, 법률 요구) "최종 업데이트" 날짜 업데이트, 즉시 유효

중요 (새로운 관행, 데이터 처리, 서드파티) 발효일 최소 14일 전 이메일