보안

Viva의 보안

최종 업데이트: 2026년 5월

Viva는 구술 평가 데이터 — 학생 전사본, 점수, 서면 제출물 — 을 다루며, 학생의 개인정보를 저희에게 맡겨 주신 학교들을 위해 운영되고 있어요. 이 페이지는 저희가 그 데이터를 어떻게 보호하는지, 어떤 보안 관행을 따르는지, 그리고 보안 연구자가 취약점을 어떻게 책임감 있게 제보할 수 있는지를 안내해요. 취약점을 발견하셨다면 security@vivaproof.com 로 연락 주세요.

취약점 제보

Viva에서 보안 이슈를 발견하셨다면 security@vivaproof.com 로 이메일 주세요. 모든 제보는 비공개로 다뤄지며 자동 분류 시스템 없이 사람이 직접 응답해 드려요.

제보에는 다음을 포함해 주세요:

취약점에 대한 명확한 설명과 영향 범위.
재현 방법 (URL, 엔드포인트, 페이로드, 계정 정보).
있다면 PoC(개념 증명) 코드.
후속 연락이 가능한 연락처 — 익명 제보도 가능하지만, 공로 인정이 어려워져요.

응답 시간 안내: 초기 접수는 영업일 5일 이내에 응답드려요. 확인된 취약점은 심각도가 높은 경우 30일 이내, 그 외에는 90일 이내로 수정 배포하는 것을 목표로 해요.

선의의 연구자에 대한 면책

본 정책에 따라 선의로 취약점을 제보해 주신 보안 연구자에 대해서는 법적 조치를 취하지 않을 것을 약속해요. 구체적으로:

아래 규칙을 따른 테스트에 대해서는 컴퓨터 오용 관련 법령에 따른 민·형사상 조치를 취하지 않아요.
연구자와 협력하여 조정된 공개 일정을 협의해요 — 통상 90일의 비공개 기간을 두고, 상호 합의로 연장할 수 있어요.
원하시는 경우 감사의 글(Acknowledgments) 섹션에 공로를 표기해 드려요.

대신 연구자께서는 다음을 지켜 주세요:

본인이 소유하거나 명시적인 권한이 있는 계정에 한해서만 테스트해 주세요.
다른 사용자의 서비스 이용에 영향을 주는 행위는 피해 주세요 (DoS, 자원 고갈 시도 금지).
타인의 데이터에 접근, 수정, 파괴하지 말아 주세요.
공개 전에 저희가 수정할 수 있는 합리적인 시간을 주세요.

제보 범위에서 제외되는 사항

다음 사항들은 본 제보 프로그램의 범위에 포함되지 않아요. 테스트하지 말아 주세요:

서비스 거부(DoS) 또는 부하 테스트 — 인프라에 대량 요청을 보내야 재현 가능한 자원 고갈 버그 포함.
사회공학 — Viva 직원, 협력사, 학생, 교사, 학교 관계자 대상.
물리적 공격 — 사무실, 직원, 데이터센터 제공사 대상.
재수탁자에 대한 공격 — 해당 업체(Supabase, Anthropic 등)에 직접 제보해 주세요.
오래된 브라우저나 OS 관련 이슈 — 피해자 기기에 멀웨어나 루트 권한이 있어야 가능한 버그.
실질적인 영향이 입증되지 않은 이론적 이슈 — 예: 실제 공격 경로 없이 TLS 설정 경고만 있는 경우.
일반 사용자 행위로 가능한 스팸, 피싱, 콘텐츠 정책 이슈 — 별도의 신고 채널을 이용해 주세요.

저희의 보안 관행

암호화

모든 데이터는 전송 중 TLS 1.2 이상으로 암호화돼요. 저장된 데이터는 데이터베이스 제공사(Supabase, AWS 인프라)를 통해 AES-256으로 암호화돼요. 백업도 동일한 키로 암호화되며 같은 리전에 보관돼요.

접근 통제

학생 데이터를 담는 모든 테이블에는 데이터베이스 단의 행 단위 보안(RLS) 정책이 적용돼요. 비식별화된 연구 코퍼스는 서비스 롤 전용 접근으로 제한되어, 운영 중인 플랫폼의 어떤 애플리케이션 사용자도 읽을 수 없어요. 운영 환경 접근은 명시된 알 필요(need-to-know)가 있는 인원에 한정되며, 모든 행위가 기록돼요.

비식별화 및 감사 로그

운영 데이터가 연구 코퍼스로 추출될 때 모든 직접 식별자는 서버측 비밀값을 사용한 단방향 암호학적 해시로 대체돼요. 30일 추출 지연, 자유 텍스트 필드에 대한 자동 PII 제거, 최소 코호트 크기(n ≥ 25)가 모든 집계 산출물 공개 전에 적용돼요. 코퍼스에 대한 모든 읽기·쓰기는 행위자, 행위, 사유, 행 수와 함께 내부 감사 테이블에 기록돼요.

애플리케이션 보안

인증은 Supabase Auth로 처리되며, 비밀번호 계정에는 이메일 인증을 요구해요. 가입, 로그인, 비밀번호 재설정, 인증 메일 재전송 엔드포인트에는 비율 제한(rate limit)이 적용되어 크리덴셜 스터핑과 열거 공격을 방어해요. 이메일 전달과 DNS는 SPF, DKIM, DMARC로 설정되어 도메인 스푸핑을 방지해요.

제3자 검토

제3자 보안 검토(SOC 2 Type I)가 2026년 중반 기준 진행 중이에요. 완료 시 결과 보고서를 학교용 신뢰 자료에 추가할 예정이에요. 그 전까지는 security@vivaproof.com 로 요청 주시면 서면 보안 질문지에 답변드려요.

컴플라이언스 입장

Viva의 컴플라이언스 입장은 학생과 학교의 소재지에 따라 정해져요:

FERPA (미국): Viva는 정당한 교육적 이익을 가진 "학교 관계자(school official)"로 활동해요. 학교의 승인 없이 학생 기록을 재공개하지 않아요.
COPPA (미국): 직접 가입은 만 13세 이상만 가능해요. 만 13세 미만 학생은 학교의 기관 계정을 통해 등록되며, 학교가 검증된 보호자/기관 동의에 따라 운영자(operator) 역할을 수행해요.
PIPA (대한민국): Viva는 제3자 수령인이 아닌 수탁자(개인정보 처리위탁) 지위로 활동해요. 미국 인프라로의 국외 이전은 DPA에 명시돼 있어요.
GDPR (EU): 적용되는 경우, 정보주체의 권리(열람, 정정, 삭제, 이동)를 검증된 요청 후 30일 이내에 처리해요.

학생 데이터에 영향을 미치는 침해가 확인된 경우, 학교의 지정된 정보보호 담당자에게 72시간 이내 통지할 것을 약속해요.

재수탁자

Viva는 서비스 제공을 위해 다음 제3자 재수탁자에게 위탁해요. 모두 미국에 인프라를 두고 있으며, 추가나 교체 시 학교에 최소 30일 전 서면 통지해요.

Sub-processor	Purpose	Location
Supabase, Inc.	데이터베이스, 인증, 파일 스토리지	United States (AWS us-east-1)
Anthropic, PBC	채점에 사용되는 언어 모델 API	United States
ElevenLabs, Inc.	실시간 음성 인터뷰 인프라 (음성은 저장되지 않아요)	United States
Resend, Inc.	트랜잭션 이메일 (인증, 비밀번호 재설정, 알림)	United States
Vercel, Inc.	호스팅, 서버리스 컴퓨트, 스케줄링 작업	United States (multi-region edge)
Render, Inc.	음성 신원(화자 임베딩) 추론 — 무결성 검사용	United States
Sentry (Functional Software, Inc.)	오류 모니터링 (학생 개인정보 제외 설정)	United States

감사의 글

책임감 있게 취약점을 제보해 주시는 보안 연구자분들께 감사드려요. 연구자의 동의를 얻어 해결된 제보를 이곳에 정리할 예정이에요. 본 페이지 작성 시점 기준 목록은 비어 있어요 — 저희는 아직 초기 단계예요.

연락처

취약점 제보: security@vivaproof.com

정보주체 요청 (열람, 삭제, 내보내기): privacy@vivaproof.com

그 외 문의: hello@vivaproof.com

최종 업데이트: 2026년 5월. 함께 보세요: 개인정보처리방침 및 이용약관.