개인정보처리방침 | Major 사이버 인텔리전스 보안 랩
시행일: 2026-03-21
Major(메이저)(이하 “회사”)는 하이엔드 서버 인프라 검증 및 네트워크 보안 컨설팅을 제공하는 B2B 기술 기관으로서, 개인정보 보호와 데이터 무결성을 사업 운영의 최상위 통제 목표로 설정합니다. 회사는 정보주체의 권리 및 자유를 침해하지 않도록 적법성(Lawfulness), 공정성(Fairness), 투명성(Transparency), 목적 제한(Purpose Limitation), 데이터 최소화(Data Minimization), 정확성(Accuracy), 보관 기간 제한(Storage Limitation), 무결성 및 기밀성(Integrity & Confidentiality) 원칙에 따라 개인정보를 처리합니다.
본 방침은 회사가 제공하는 웹사이트 및 관련 커뮤니케이션 채널(이하 “서비스”)에서 적용되며, 회사의 서비스 특성상 개인정보를 수집하지 않거나 최소화하는 구조를 기본으로 합니다.
1. 총칙 및 제로 트러스트(Zero Trust) 철학
회사는 서비스 설계 및 운영 전반에 제로 트러스트(Zero Trust) 보안 철학을 적용합니다. 즉, 시스템 내부 네트워크로 진입하는 모든 트래픽을 기본적으로 신뢰하지 않으며, 지속적 검증(Continuous Verification)과 정책 기반 접근통제(Policy-based Access Control)를 통해 개인정보 처리 과정에서의 위험을 통제합니다.
회사는 다음의 국제 표준 및 규제 프레임워크를 준거로 삼아 내부 통제 체계를 유지·개선합니다.
•
ISO/IEC 27001 등 정보보호 관리체계 기반의 문서화된 통제(Controls) 운영
•
GDPR(General Data Protection Regulation)의 핵심 원칙 및 데이터 주체 권리 보장 요구사항에 대한 준거
•
CCPA/CPRA(California Consumer Privacy Act / Privacy Rights Act) 등 국제 개인정보 보호 규범의 주요 개념(열람·삭제·거부 등)에 대한 준거
다만, 회사는 특정 국가/지역의 법령 적용 여부 및 세부 의무가 고객의 계약 구조, 데이터 처리 범위, 서비스 제공 방식에 따라 달라질 수 있음을 전제하며, 필요한 경우 데이터 처리 계약(DPA, Data Processing Addendum) 또는 별도 약정으로 법적 요구사항을 구체화합니다.
2. 처리하는 개인정보의 항목 및 무결성 해시(Hash) 암호화
2.1 수집 원칙: 기본적으로 PII 미수집
회사는 B2B 인프라 검증 백서 열람, 일반적인 웹사이트 접속 및 콘텐츠 탐색 과정에서 원칙적으로 개인 식별 정보(PII, Personally Identifiable Information)를 수집하지 않도록 설계합니다. 즉, 이름, 주민등록번호, 계정 비밀번호, 결제정보 등 직접 식별 정보는 서비스 기본 이용만으로는 수집되지 않습니다.
2.2 불가피한 최소 수집 항목(예: 파트너십 문의)
다만, 파트너십 문의, 견적 요청, 보안 컨설팅 착수 협의 등으로 인해 정보주체가 자발적으로 연락 채널을 통해 정보를 제공하는 경우, 회사는 업무 수행에 필요한 범위에서 아래 항목을 최소한으로 처리할 수 있습니다.
•
연락처 정보: 이메일 주소, 담당자 성명(또는 직함), 회사명(조직명), 문의 내용
•
세션/네트워크 메타데이터(최소 범위): 접속 IP, 사용자 에이전트(User-Agent) 등 통신·보안 운영에 필요한 기술적 메타데이터
•
(환경에 따라) 디바이스 식별자: 보안 이상 징후 분석 목적의 제한적 식별값(예: MAC 주소 등)
회사는 위 항목들 중 서비스·계약 관계에서 불필요한 정보는 요청하지 않으며, 정보주체가 민감정보를 임의로 포함하여 전송하지 않도록 안내합니다.
2.3 무결성 해시 처리(SHA-256) 및 비가역 변환
회사는 위험 기반 통제(Risk-based Control) 관점에서, 보안 운영상 불가피하게 처리되는 일부 기술 식별값(예: 접속 IP, MAC 등)에 대하여 SHA-256 기반의 해시(Hash) 변환을 적용할 수 있습니다. 해시는 양방향 복호화가 불가능한 비가역(One-way) 변환으로서, 원본 값을 직접 저장하는 방식 대비 재식별 위험을 감소시키는 기술적 조치입니다.
•
처리 방식: 원본 식별값 → SHA-256 해시로 치환(필요 시 솔트(Salt) 등 보조 통제 적용)
•
목적: 침해사고 탐지, 중복 요청 방지, 비정상 트래픽 상관 분석 등 보안 목적(Security Purpose)
•
한계 고지: 해시는 재식별 위험을 완화하나, 데이터의 맥락·결합 가능성에 따라 위험이 달라질 수 있으므로 회사는 추가적 접근통제 및 보관 최소화를 병행합니다.
3. 노 로그(No-Log) 정책 및 RAM 기반 휘발성 데이터 처리
회사는 서비스 특성과 보안 철학에 따라, 가능한 범위에서 노 로그(No-Log) 지향 정책을 운영합니다. 이는 정보주체의 트래픽을 식별·추적하기 위한 목적의 장기 저장을 지양한다는 의미이며, 법령 준수 및 보안 운영에 필요한 최소한의 기술적 처리만을 허용합니다.
3.1 저장 매체 최소화 및 접근 통제
회사는 트래픽 식별 기록을 불필요하게 물리적 저장매체(HDD/SSD)에 장기 보관하지 않도록 설계하며, 보안 운영상 일시 처리되는 데이터는 다음과 같은 통제로 보호합니다.
•
RAM 기반 휘발성 처리(Volatile Processing)를 우선 적용
•
세션 종료 또는 목적 달성 시 자동 소거(Automatic Erasure) 및 보관 기간 제한
•
운영 인력 접근은 최소 권한(Least Privilege) 및 직무 분리(Separation of Duties)에 따라 통제
3.2 세션 종료 시 디지털 발자국 최소화
회사는 서비스 세션이 종료되거나 처리 목적이 달성된 경우, 관련 데이터의 보관 필요성이 인정되지 않는 범위에서는 지체 없이 삭제 또는 익명화합니다. 이는 데이터 잔존 위험(Data Remanence Risk)을 최소화하기 위한 통제이며, 삭제는 시스템 구조상 가능한 방식(논리 삭제, 키 파기(Crypto-shredding) 등)을 통해 수행될 수 있습니다.
4. 개인정보의 제3자 제공 원천 차단 및 종단간 암호화(E2EE) 통신
4.1 제3자 제공 및 처리위탁에 대한 원칙
회사는 법령에 근거한 의무 이행 또는 정보주체의 명시적 동의가 없는 한, 정보주체의 개인정보를 제3자에게 제공하지 않습니다. 또한 개인정보 처리를 외부에 위탁하는 경우에도, 위탁 범위는 최소화되며, 위탁 계약(Outsourcing Agreement)을 통해 다음 항목을 필수적으로 규정합니다.
•
처리 목적 및 범위, 재위탁 제한, 기술적·관리적 보호조치
•
접근 권한 통제 및 감사 권한(Audit Right)
•
사고 통지(Incident Notification) 및 책임 분담(Liability Allocation)
4.2 전송 구간 보호: TLS 1.3 및 강력 암호화
회사는 외부 인터넷 구간에서 내부 시스템으로 유입되는 통신을 보호하기 위해 TLS 1.3 등 현대적 암호화 프로토콜을 적용하며, 환경에 따라 AES-256-GCM을 포함한 강력한 암호 스위트를 사용합니다. 또한 필요 시 종단간 암호화(E2EE) 채널을 통해 민감한 커뮤니케이션을 처리하도록 설계합니다.
•
위협 모델: 중간자 공격(MITM), 패킷 스니핑(Packet Sniffing), 세션 하이재킹
•
기술적 통제: 암호화 강제, 키 관리 통제(필요 시 HSM 또는 KMS 연계), 인증서 수명주기 관리
회사는 위 기술을 통해 전송 구간에서의 위험을 실질적으로 저감하도록 최선의 조치를 취하나, 모든 네트워크 환경에서 절대적 위험 “0”을 보장한다는 의미는 아니며, 정보보안은 합리적이고 지속적인 위험관리의 영역임을 명확히 합니다.
5. 정보주체의 권리 및 행사 방법
정보주체는 개인정보 보호 관련 법령이 정하는 바에 따라 다음 권리를 행사할 수 있습니다.
•
열람권(Right of Access): 회사가 처리하는 개인정보의 존재 여부 및 처리 내역에 대한 확인
•
정정권(Right to Rectification): 부정확한 개인정보의 정정 요구
•
삭제권(Right to Erasure): 법령상 보관 의무 등 정당한 사유가 없는 경우 삭제 요구
•
처리 제한권(Right to Restrict Processing): 일정 사유에 따른 처리 제한 요구
•
이의 제기권(Right to Object): 정당한 이익 기반 처리 등에 대한 이의 제기
또한 회사는 기술 설계 관점에서, 정보주체 또는 파트너사가 데이터 처리의 익명화·무결성 상태를 확인할 수 있도록 검증 가능성(Verifiability)을 강화합니다. 예를 들어, 환경에 따라 무결성 해시(Integrity Hash) 또는 암호학적 검증 절차(Cryptographic Verification Procedure)를 통해 “원본 식별값을 직접 저장하지 않는 처리 구조”를 설명·검증할 수 있도록 문서화할 수 있습니다.
권리 행사는 아래 연락처로 요청할 수 있으며, 회사는 합리적인 범위에서 본인 확인 절차를 거친 후 지체 없이 처리합니다. 단, 법령에 따른 보관 의무 또는 타인의 권리 침해 가능성 등 정당한 제한 사유가 있는 경우 일부 또는 전부가 제한될 수 있습니다.
6. 개인정보 보호책임자(CPO) 및 보안 관제 센터(SOC) 연락처
회사는 개인정보 보호 관련 문의, 권리 행사 요청, 침해사고 의심 정황 신고를 접수하기 위해 다음의 공식 채널을 운영합니다.
•
담당 부서: Major 사이버 인텔리전스 관제 센터(SOC)
•
보안 통신: 회사는 민감한 문의의 경우 E2EE 기반 채널을 통한 접수를 권장합니다.
•
PGP 암호화 퍼블릭 키: 요청 시, 검증된 채널을 통해 제공(키 지문(Fingerprint) 포함)
회사는 신고 또는 문의를 접수한 경우, 사건의 성격에 따라 사고 대응 절차(Incident Response Procedure), 증거 보전(Forensic Preservation), 영향 범위 평가(Impact Assessment)를 수행하고, 법령 및 계약상 의무에 따라 필요한 통지를 진행합니다.
본 개인정보처리방침은 법령, 서비스 구조, 내부 통제 변경에 따라 개정될 수 있으며, 중요한 변경이 있는 경우 서비스 내 공지 또는 적절한 방식으로 고지합니다.
