보안 및 자산 수칙
데이터 등급 분류, 키, 고객 데이터 및 소셜 자산 수칙.
Tenten은 고객 데이터, API 키, 그리고 30만 팔로워의 소셜 계정을 보유하고 있습니다. 이 수칙은 다음을 명확히 합니다: 데이터를 어떻게 등급 분류하고, 비밀번호를 어떻게 관리하며, 고객 데이터를 어떻게 처리하고, 사고 발생 시 어떻게 보고하는가.
보안은 IT 한 사람의 일이 아니라, 모두의 기본 습관입니다. Tenten은 빠르게 움직이고 관료적이지 않지만, 반드시 지켜야 할 몇 가지 선이 있습니다——고객 데이터가 유출되거나 소셜 자산이 통제를 벗어나는 순간, 회사가 십수 년간 쌓아온 신뢰가 다치기 때문입니다. 이 수칙은 퇴직 SOP와 한 세트입니다: 하나는 "재직 중 어떻게 지키는가", 다른 하나는 "떠날 때 어떻게 인계하는가"를 다룹니다.
데이터 등급 분류
먼저 손에 쥔 것이 얼마나 민감한지 판단하는 법을 익힌 뒤, 어떻게 처리할지 결정합니다.
| 등급 | 예시 | 처리 방법 |
|---|---|---|
| 공개 Public | 공식 웹사이트 콘텐츠, 이미 게시된 블로그, 마케팅 소재 | 자유롭게 공유 가능. |
| 내부 Internal | 이 Brain, SOP, 내부 프로세스, 회의록 | 팀 내부로 한정, 회사 공간에 보관, 외부 유출 금지. |
| 기밀 Confidential | 비밀번호, API 키, 재무 데이터, 급여 | 1Password로만; 최소 필요 원칙; 고민감 정보는 창업자가 관리. |
| 고객 제한 Client-Restricted | 고객이 제공한 데이터, 백엔드, NDA 문서 | 고객의 보안 요구사항에 따름; 필요한 사람에게만; AI에 넣기 전 권한 먼저 확인. |
계정, 비밀번호 및 2FA
기기 보안
전체 디스크 암호화(FileVault)를 켜고, 자리를 비울 때 화면을 자동 잠금하세요. 회사 자산이며, 분실 시 즉시 IT에 보고하세요.
로컬 AI 추론 머신은 회사의 실물 자산입니다. 사용 후 개인 session에서 로그아웃하고, 개인 로그인 잔여를 남기지 마세요.
민감한 데이터를 다룰 때는 안전한 네트워크를 사용하고, 공용 Wi-Fi로 고객 백엔드에 직접 연결하지 마세요.
필요하고 출처가 신뢰할 수 있는 소프트웨어와 브라우저 확장만 설치하세요. 의심스러운 링크는 클릭하지 말고, 먼저 확인하세요.
고객 데이터 및 NDA
고객이 데이터를 우리에게 맡기는 것은 신뢰입니다. 그것을 지키는 것이 우리의 마지노선입니다.
프로젝트 / 회사를 떠날 때
고객 측의 위임 접근(GA, Search Console, CMS, 공유 클라우드 드라이브)이 가장 흔히 회수를 잊는 항목입니다. 인계 세부사항은 퇴직 SOP · 고객 시스템 접근을 참고하세요.
API 키와 로테이션
키는 곧 통행증입니다. 잘 관리하지 못하면 청구서와 데이터 모두 사고가 납니다.
| 유형 | 원칙 |
|---|---|
| 개인 키 | 개인 계정에 연결된 token / PAT는 퇴직 시 즉시 철회. |
| 공유 키 | Anthropic, Cloudflare, Supabase 등 공유 키는 구성원 변동 시 일률적으로 로테이션하고, 청구서와 사용량에 이상이 없는지 점검. |
| 자동화 자격 증명 | n8n 플로우의 자격 증명은 회사 서비스 계정에 연결하고 개인에 연결하지 마세요——개인이 비활성화되어도 플로우가 끊기지 않도록. |
| CI / 배포 키 | GitHub Actions secrets, 배포 키는 정기적으로 점검하고, 퇴직 시 함께 처리. |
먼저 재연결, 나중에 비활성화
개인 계정에 연결된 모든 자동화 플로우는, 반드시 먼저 자격 증명을 회사 계정으로 재연결한 뒤, 개인 계정을 비활성화하세요. 순서가 뒤바뀌면 전체 생산 라인이 즉시 중단됩니다.
소셜 및 브랜드 자산
이것은 회사의 최고 가치 무형 자산입니다: 여러 플랫폼에 걸쳐 30만+ 팔로워의 AI 콘텐츠 계정군.
왜 이렇게 엄격한가
이 계정들은 십수 년간 쌓아온 브랜드 자산이며, 통제를 벗어나면 다시 만들 수 없습니다. 완전한 인계 규정은 퇴직 SOP · 소셜 미디어 자산을 참고하세요.
사고 보고
사고가 나는 것은 두렵지 않고, 숨기고 보고하지 않는 것이 두렵습니다. 아래 상황 중 무엇이든 발견하면 즉시 보고하세요. 보고한 사람에게 책임을 묻지 않습니다.
기기 분실 또는 도난, 피싱 메일/의심스러운 링크 수신, 계정 이상 로그인, 실수로 기밀을 잘못된 곳에 붙여넣음, 키 유출 의심.
가장 먼저 Slack에서 IT를 찾으세요; 재무 또는 고객 데이터가 관련되면 창업자에게도 동시에 보고하세요. 먼저 지혈(비밀번호 변경, 키 철회)한 뒤, 원인을 추적하세요.
보고가 체면보다 우선
일찍 말할수록 피해가 작습니다. 우리가 신경 쓰는 것은 구멍을 메우는 것이지, 누가 버튼을 잘못 눌렀는지 탓하는 것이 아닙니다.
레드라인 · 절대 하지 말 것
이 몇 가지는, 영원히 하지 마세요
① 평문(Slack/Email)으로 계정 비밀번호나 키를 전달. ② 회사 또는 고객 파일을 개인 클라우드 드라이브에만 단독 저장. ③ 고객 NDA 데이터를 승인되지 않은 도구에 넣음. ④ 자금 이체, 주문 또는 결제를 임의로 실행(일률적으로 창업자가 처리). ⑤ 퇴직 후 어떤 소셜 계정의 로그인 또는 관리 권한도 보유. ⑥ 공유 키를 코드에 하드코딩하여 commit.
이 여섯 가지가 Tenten의 레드라인입니다. 그 외 세부사항에 의문이 있으면 Slack에서 IT나 창업자에게 물어보세요——보안에서는 한마디 물어보는 것이 한 번 거는 것보다 항상 저렴합니다.