보안 정책
DwgPress가 귀하의 파일과 데이터를 어떻게 보호하는지 설명합니다.
최종 업데이트: 2025년 3월HTTPS 암호화
모든 데이터 전송은 TLS 1.2+ 암호화로 보호됩니다.
24시간 자동 삭제
업로드 파일과 변환 결과는 24시간 후 서버에서 자동 삭제됩니다.
제3자 미공유
귀하의 도면 파일은 어떠한 제3자에게도 제공되지 않습니다.
세션 보안
계정 동시접속 감지 및 단일 세션 강제로 무단 접근을 방지합니다.
비밀번호 해시
비밀번호는 bcrypt 해시로만 저장되며 평문으로 보관되지 않습니다.
최소 수집 원칙
서비스 제공에 필요한 최소한의 정보만 수집합니다.
1. 수집하는 데이터
DwgPress는 서비스 운영에 필요한 최소한의 정보만 수집합니다.
핵심 원칙: 귀하의 도면 파일은 변환 목적으로만 사용되며, 분석·학습·마케팅에 활용되지 않습니다.
- 계정 정보: 아이디, 이메일 주소, bcrypt 암호화된 비밀번호 해시
- Google 연동: Google OAuth 사용 시 Google 계정 ID와 이메일만 저장 (Google 비밀번호는 수집하지 않음)
- 업로드 파일: DWG/DXF 파일 — 변환 처리 후 24시간 내 삭제
- 변환 결과 PDF: 24시간 후 서버에서 자동 삭제
- 사용 로그: 서비스 품질 개선을 위한 변환 성공/실패 통계 (파일 내용 미포함)
- IP 주소: 보안 목적(무단 접근 방지, Rate Limiting)으로 세션 생성 시 기록
2. 파일 보안
- 모든 파일 업로드는 HTTPS(TLS 1.2 이상)를 통해 암호화 전송됩니다.
- 업로드된 파일은 서버 내 격리된 임시 디렉토리에만 저장됩니다.
- 파일명은 UUID로 익명화되어 저장됩니다 (원본 파일명 미사용).
- 변환 완료 후 24시간이 경과하면 원본 파일과 결과 PDF가 자동 삭제됩니다.
- 다운로드 링크는 고유한 Job ID로 생성되며, 해당 링크를 알고 있는 사람만 다운로드할 수 있습니다.
- 다른 사용자의 파일에 접근하는 것은 기술적으로 불가능합니다.
3. 계정 및 세션 보안
- 비밀번호 저장: Werkzeug의 bcrypt 기반 해시 함수를 사용합니다. 평문 비밀번호는 어디에도 저장되지 않습니다.
- 세션 토큰: 로그인 시 고유한 세션 토큰이 발급되며, 서버 DB와 대조하여 매 요청마다 검증됩니다.
- 동시 접속 방지: 무료·Pro 플랜은 동일 계정의 중복 로그인 시 이전 세션이 자동 무효화됩니다.
- 팀 플랜: 최대 10명의 동시 세션을 허용합니다. 팀 관리자는 개별 세션을 관리할 수 있습니다.
- CSRF 방지: Flask의 Secure Session Cookie(HttpOnly, SameSite=Lax)가 적용됩니다.
- Rate Limiting: 비정상적으로 많은 요청은 자동으로 차단됩니다 (15분당 최대 12회).
4. 데이터 보관 및 삭제
| 데이터 종류 | 보관 기간 | 삭제 방법 |
|---|---|---|
| 업로드 DWG/DXF | 24시간 | 자동 삭제 (cleanup 스레드) |
| 변환된 PDF | 24시간 | 자동 삭제 (cleanup 스레드) |
| 변환 작업 로그 | 3일 | 자동 삭제 |
| 계정 정보 | 계정 존재 기간 | 회원 탈퇴 요청 시 |
| 세션 토큰 | 로그인 유지 기간 | 로그아웃 또는 재로그인 시 |
회원 탈퇴 안내: 계정 삭제를 원하시면 문의 페이지로 요청해 주세요. 요청 즉시 계정과 관련 데이터를 삭제해 드립니다.
5. 제3자 서비스 및 데이터 공유
- SendGrid: 변환 완료 이메일 발송에만 사용됩니다. 이메일 주소 외 다른 정보는 전달되지 않습니다.
- Google OAuth: 선택적으로 사용하는 소셜 로그인 서비스입니다. Google 인증 토큰만 교환하며, Google은 귀하의 도면 파일에 접근할 수 없습니다.
- 광고 네트워크, 데이터 브로커, 마케팅 업체 등에 개인 정보나 파일 데이터를 판매하거나 공유하지 않습니다.
- 법적 요구(수사기관의 적법한 요청 등)가 없는 한, 어떠한 정보도 제3자에게 공개하지 않습니다.
6. 취약점 신고 (Responsible Disclosure)
보안 취약점을 발견하셨다면 공개 게시 전에 먼저 저희에게 알려주세요. 신고 내용을 검토하고 신속히 수정하겠습니다.
보안 신고: security@dwgpress.com
신고 내용에 따라 감사 표시를 드릴 수 있습니다.
신고 내용에 따라 감사 표시를 드릴 수 있습니다.
- SQL 인젝션, XSS, CSRF 등 OWASP Top 10 취약점
- 파일 접근 권한 우회 (다른 사용자 파일 접근)
- 인증 우회 또는 세션 탈취
- 서버 정보 노출 또는 DoS 취약점
7. 정책 변경 이력
- 2025년 3월 — 초안 작성. 세션 보안, 파일 자동 삭제, Google OAuth 보안 내용 추가.
중요한 정책 변경 시 등록된 이메일로 사전 고지합니다.