메인 콘텐츠로 건너뛰기
CloudThinker는 클라우드 인프라 데이터를 보호하고 권한이 있는 사용자만 중요한 작업에 액세스할 수 있도록 엔터프라이즈급 보안을 구현합니다.

AI 운영 플랫폼에서 보안이 중요한 이유

CloudThinker 에이전트는 클라우드 인프라에 대한 읽기(및 선택적으로 쓰기) 액세스 권한을 가집니다. 이는 강력한 기능으로 — 모든 클라우드 계정에 걸쳐 자율적인 분석 및 최적화를 가능하게 합니다. 하지만 플랫폼 자체가 무단 액세스, 자격 증명 유출, 프롬프트 인젝션 공격에 대해 강화되어야 한다는 의미이기도 합니다. 보안 모델은 다음 원칙을 기반으로 설계되었습니다:
  • 기본적으로 최소 권한: 에이전트는 쓰기 액세스가 명시적으로 구성되고 승인되지 않는 한 읽기 전용 자격 증명을 사용합니다
  • 제로 지속성: 승인 워크플로우를 거치지 않고 인프라를 수정하는 에이전트 작업은 없습니다
  • 심층 방어: MFA, SSO, RBAC, 감사 로깅, 샌드박스 격리가 결합하여 외부 공격과 내부 오용 모두를 방지합니다
  • 투명성: 모든 에이전트 작업은 시작한 사용자, 승인 체인, 실행된 정확한 명령과 함께 기록됩니다

인증 방법

방법설명
이메일 및 비밀번호안전한 비밀번호 요구 사항을 갖춘 표준 인증
다단계 인증추가 보안을 위한 TOTP 기반 MFA
싱글 사인온(SSO)아이덴티티 제공자와의 SAML/OIDC 연동
API 키API에 대한 안전한 프로그래밍 방식 액세스

다단계 인증(MFA)

TOTP 기반 MFA로 추가적인 보안 레이어를 추가합니다:

MFA 활성화

1

보안 설정으로 이동

프로필 > 보안 설정으로 이동합니다
2

MFA 활성화

다단계 인증 활성화를 클릭합니다
3

QR 코드 스캔

인증 앱(Google Authenticator, Authy, 1Password 등)을 사용하여 QR 코드를 스캔합니다
4

설정 확인

인증기에서 6자리 코드를 입력하여 설정을 확인합니다
5

백업 코드 저장

계정 복구를 위해 백업 코드를 다운로드하고 안전하게 보관합니다

로그인 시 MFA

MFA가 활성화된 경우:
  1. 이메일과 비밀번호를 입력합니다
  2. 인증기에서 현재 6자리 코드를 입력합니다
  3. 액세스가 허용됩니다

복구 옵션

인증기에 액세스할 수 없는 경우:
  • 백업 코드 사용 (일회성)
  • 조직 관리자에게 MFA 재설정 요청
  • 신원 확인을 통해 지원팀에 문의
백업 코드를 안전하게 보관하세요. 각 코드는 한 번만 사용할 수 있습니다. 모든 백업 코드와 인증기를 분실한 경우, 계정 복구에 신원 확인이 필요할 수 있습니다.

싱글 사인온(SSO)

Enterprise 플랜은 SSO 연동을 지원합니다: SSO는 조직 오너가 관리자 설정 → 아이덴티티 및 액세스에서 구성합니다. 주요 기능:
  • 도메인 인증 — SSO를 활성화하기 전에 이메일 도메인 소유권을 증명합니다
  • SAML 또는 OIDC — 아이덴티티 제공자가 지원하는 프로토콜을 선택합니다
  • SSO 강제 적용 — 선택적으로 인증된 도메인의 모든 사용자가 SSO를 통해 인증하도록 요구합니다
  • JIT 프로비저닝 — 첫 번째 SSO 로그인 시 사용자 계정을 자동으로 생성합니다
  • SCIM 디렉터리 동기화 — IdP에서 사용자 및 그룹 프로비저닝을 자동화합니다

SSO 구성

SSO 설정 가이드

Google Workspace, Azure AD, AWS IAM Identity Center, Okta, OneLogin, 일반 SAML/OIDC에 대한 단계별 설정

SSO 강제 적용

조직 관리자는 SSO를 강제 적용할 수 있습니다:
  • 모든 사용자가 SSO를 통해 인증하도록 요구합니다
  • 비밀번호 기반 로그인을 비활성화합니다
  • 첫 번째 SSO 로그인 시 사용자를 자동으로 프로비저닝합니다
  • IdP에서 제거될 때 자동으로 프로비저닝 해제합니다

역할 기반 액세스 제어(RBAC)

세분화된 권한으로 사용자가 할 수 있는 작업을 제어합니다:

조직 역할

역할설명권한
오너전체 조직 제어모든 권한, 청구, 멤버 관리
관리자조직 관리워크스페이스, 멤버, 설정 관리 (청구 제외)
멤버표준 액세스할당된 워크스페이스 액세스, 에이전트 사용
뷰어읽기 전용 액세스대시보드 및 보고서만 보기

워크스페이스 역할

역할설명권한
워크스페이스 관리자전체 워크스페이스 제어모든 워크스페이스 작업, 멤버 관리
편집자표준 작업에이전트 실행, 권고 사항 생성, 설정 수정
운영자제한된 작업에이전트 실행, 데이터 보기, 설정 수정 불가
뷰어읽기 전용대시보드, 보고서, 권고 사항 보기

권한 매트릭스

작업오너관리자편집자운영자뷰어
대시보드 보기
에이전트 대화 실행아니오
권고 사항 생성아니오아니오
작업 승인아니오아니오
연결 관리아니오아니오
멤버 관리아니오아니오아니오
조직 설정아니오아니오아니오
청구아니오아니오아니오아니오

API 인증

CloudThinker에 대한 안전한 프로그래밍 방식 액세스:

API 키

자동화를 위한 API 키 생성:
  1. 프로필 > API 키로 이동합니다
  2. API 키 생성을 클릭합니다
  3. 키 이름을 지정하고 만료일을 설정합니다
  4. 키를 복사합니다 (한 번만 표시됨)
  5. API 요청에서 사용합니다
# 예시 API 요청
curl -H "Authorization: Bearer <api_key>" \
  https://api.cloudthinker.io/v1/workspaces

키 관리

  • 교체: 정기적으로 키를 교체합니다 (권장: 90일마다)
  • 범위 지정: 가능한 경우 특정 작업으로 키를 제한합니다
  • 모니터링: 감사 로그에서 키 사용을 검토합니다
  • 취소: 손상된 키를 즉시 취소합니다
API 키를 버전 제어에 커밋하지 마세요. 환경 변수 또는 시크릿 관리 도구를 사용하세요.

OAuth 토큰

OAuth를 사용하는 연동의 경우:
  • 토큰이 자동으로 갱신됩니다
  • 설정 > 연결된 앱에서 액세스를 취소합니다
  • 감사 로그에서 토큰 사용을 모니터링합니다

데이터 보안

암호화

CloudThinker는 다음으로 데이터를 보호합니다:
레이어보호
전송모든 연결에 TLS 1.3
저장 시AES-256 암호화
시크릿암호화된 자격 증명 저장소
백업암호화된 데이터베이스 백업

자체 키 사용(BYOK)

Enterprise 고객은 자체 암호화 키를 사용할 수 있습니다:
  1. AWS KMS 또는 이와 유사한 서비스를 구성합니다
  2. CloudThinker에 키 ARN을 제공합니다
  3. 키가 민감한 데이터를 암호화합니다
  4. 전체 키 제어를 유지합니다

BYOK 구성

자체 키 사용 암호화 설정

데이터 레지던시

  • 워크스페이스 생성 시 데이터 리전을 선택합니다
  • 데이터는 선택된 리전 내에 유지됩니다
  • 이중화를 위한 멀티 리전 옵션

감사 로깅

CloudThinker의 모든 활동 추적:

기록된 이벤트

  • 사용자 인증 (로그인, 로그아웃, MFA)
  • 리소스 액세스 및 수정
  • 에이전트 대화 및 작업
  • 관리 변경 사항
  • API 액세스

감사 로그 보기

  1. 관리자 설정 > 조직으로 이동합니다
  2. 다음으로 필터링합니다:
    • 사용자
    • 작업 유형
    • 리소스
    • 날짜 범위
  3. 컴플라이언스를 위해 로그를 내보냅니다

로그 보존

  • 표준: 90일
  • 전문가: 1년
  • Enterprise: 구성 가능 (최대 7년)

보안 모범 사례

특히 관리자 액세스 권한이 있는 사용자를 포함한 모든 조직 멤버에게 MFA를 요구합니다. SSO 정책을 통해 강제 적용을 고려하세요.
각 사용자의 책임에 필요한 최소 역할을 할당합니다. 정기적으로 권한을 검토하고 조정합니다.
API 키, 갱신 토큰, 클라우드 자격 증명을 정기적인 일정으로 교체합니다.
의심스러운 활동에 대해 감사 로그를 정기적으로 검토합니다. 중요한 이벤트에 대한 알림을 설정합니다.
가능한 경우 읽기 전용 자격 증명을 사용합니다. 범위를 필요한 서비스 및 리전으로 제한합니다.
분기별 액세스 검토를 수행합니다. 비활성 사용자를 제거하고 불필요한 권한을 취소합니다.

컴플라이언스

CloudThinker는 다음 컴플라이언스를 유지합니다:
  • SOC 2 Type II: 보안, 가용성, 기밀성
  • GDPR: EU 사용자를 위한 데이터 보호
  • HIPAA: 의료 데이터 처리 (Enterprise)
  • ISO 27001: 정보 보안 관리

컴플라이언스 문서 요청

보안 설문지 및 컴플라이언스 문서를 위해 문의하세요

관련 항목

싱글 사인온

Google Workspace, Azure AD, Okta 등으로 SAML 또는 OIDC SSO 구성

SCIM 프로비저닝

아이덴티티 제공자에서 사용자 및 그룹 동기화 자동화