> ## Documentation Index
> Fetch the complete documentation index at: https://docs.cloudthinker.io/llms.txt
> Use this file to discover all available pages before exploring further.

# 보안 및 인증

> MFA, SSO 및 역할 기반 액세스 제어로 CloudThinker에 대한 안전한 액세스

CloudThinker는 클라우드 인프라 데이터를 보호하고 권한이 있는 사용자만 중요한 작업에 액세스할 수 있도록 엔터프라이즈급 보안을 구현합니다.

***

## AI 운영 플랫폼에서 보안이 중요한 이유

CloudThinker 에이전트는 클라우드 인프라에 대한 읽기(및 선택적으로 쓰기) 액세스 권한을 가집니다. 이는 강력한 기능으로 — 모든 클라우드 계정에 걸쳐 자율적인 분석 및 최적화를 가능하게 합니다. 하지만 플랫폼 자체가 무단 액세스, 자격 증명 유출, 프롬프트 인젝션 공격에 대해 강화되어야 한다는 의미이기도 합니다.

보안 모델은 다음 원칙을 기반으로 설계되었습니다:

* **기본적으로 최소 권한**: 에이전트는 쓰기 액세스가 명시적으로 구성되고 승인되지 않는 한 읽기 전용 자격 증명을 사용합니다
* **제로 지속성**: [승인 워크플로우](/ko/guide/approval)를 거치지 않고 인프라를 수정하는 에이전트 작업은 없습니다
* **심층 방어**: MFA, SSO, RBAC, 감사 로깅, 샌드박스 격리가 결합하여 외부 공격과 내부 오용 모두를 방지합니다
* **투명성**: 모든 에이전트 작업은 시작한 사용자, 승인 체인, 실행된 정확한 명령과 함께 기록됩니다

## 인증 방법

| 방법          | 설명                       |
| ----------- | ------------------------ |
| 이메일 및 비밀번호  | 안전한 비밀번호 요구 사항을 갖춘 표준 인증 |
| 다단계 인증      | 추가 보안을 위한 TOTP 기반 MFA    |
| 싱글 사인온(SSO) | 아이덴티티 제공자와의 SAML/OIDC 연동 |
| API 키       | API에 대한 안전한 프로그래밍 방식 액세스 |

***

## 다단계 인증(MFA)

TOTP 기반 MFA로 추가적인 보안 레이어를 추가합니다:

### MFA 활성화

<Steps>
  <Step title="보안 설정으로 이동">
    **프로필 > 보안 설정**으로 이동합니다
  </Step>

  <Step title="MFA 활성화">
    **다단계 인증 활성화**를 클릭합니다
  </Step>

  <Step title="QR 코드 스캔">
    인증 앱(Google Authenticator, Authy, 1Password 등)을 사용하여 QR 코드를 스캔합니다
  </Step>

  <Step title="설정 확인">
    인증기에서 6자리 코드를 입력하여 설정을 확인합니다
  </Step>

  <Step title="백업 코드 저장">
    계정 복구를 위해 백업 코드를 다운로드하고 안전하게 보관합니다
  </Step>
</Steps>

### 로그인 시 MFA

MFA가 활성화된 경우:

1. 이메일과 비밀번호를 입력합니다
2. 인증기에서 현재 6자리 코드를 입력합니다
3. 액세스가 허용됩니다

### 복구 옵션

인증기에 액세스할 수 없는 경우:

* 백업 코드 사용 (일회성)
* 조직 관리자에게 MFA 재설정 요청
* 신원 확인을 통해 지원팀에 문의

<Warning>
  백업 코드를 안전하게 보관하세요. 각 코드는 한 번만 사용할 수 있습니다. 모든 백업 코드와 인증기를 분실한 경우, 계정 복구에 신원 확인이 필요할 수 있습니다.
</Warning>

***

## 싱글 사인온(SSO)

Enterprise 플랜은 [SSO](/ko/guide/security/sso) 연동을 지원합니다:

SSO는 조직 오너가 **관리자 설정 → 아이덴티티 및 액세스**에서 구성합니다. 주요 기능:

* **도메인 인증** — SSO를 활성화하기 전에 이메일 도메인 소유권을 증명합니다
* **SAML 또는 OIDC** — 아이덴티티 제공자가 지원하는 프로토콜을 선택합니다
* **SSO 강제 적용** — 선택적으로 인증된 도메인의 모든 사용자가 SSO를 통해 인증하도록 요구합니다
* **JIT 프로비저닝** — 첫 번째 SSO 로그인 시 사용자 계정을 자동으로 생성합니다
* **SCIM 디렉터리 동기화** — IdP에서 사용자 및 그룹 프로비저닝을 자동화합니다

### SSO 구성

<Card title="SSO 설정 가이드" icon="key" href="/ko/guide/security/sso">
  Google Workspace, Azure AD, AWS IAM Identity Center, Okta, OneLogin, 일반 SAML/OIDC에 대한 단계별 설정
</Card>

### SSO 강제 적용

조직 관리자는 SSO를 강제 적용할 수 있습니다:

* 모든 사용자가 SSO를 통해 인증하도록 요구합니다
* 비밀번호 기반 로그인을 비활성화합니다
* 첫 번째 SSO 로그인 시 사용자를 자동으로 프로비저닝합니다
* IdP에서 제거될 때 자동으로 프로비저닝 해제합니다

***

## 역할 기반 액세스 제어(RBAC)

세분화된 권한으로 사용자가 할 수 있는 작업을 제어합니다:

### 조직 역할

| 역할      | 설명        | 권한                        |
| ------- | --------- | ------------------------- |
| **오너**  | 전체 조직 제어  | 모든 권한, 청구, 멤버 관리          |
| **관리자** | 조직 관리     | 워크스페이스, 멤버, 설정 관리 (청구 제외) |
| **멤버**  | 표준 액세스    | 할당된 워크스페이스 액세스, 에이전트 사용   |
| **뷰어**  | 읽기 전용 액세스 | 대시보드 및 보고서만 보기            |

### 워크스페이스 역할

| 역할             | 설명           | 권한                        |
| -------------- | ------------ | ------------------------- |
| **워크스페이스 관리자** | 전체 워크스페이스 제어 | 모든 워크스페이스 작업, 멤버 관리       |
| **편집자**        | 표준 작업        | 에이전트 실행, 권고 사항 생성, 설정 수정  |
| **운영자**        | 제한된 작업       | 에이전트 실행, 데이터 보기, 설정 수정 불가 |
| **뷰어**         | 읽기 전용        | 대시보드, 보고서, 권고 사항 보기       |

### 권한 매트릭스

| 작업         | 오너 | 관리자 | 편집자 | 운영자 | 뷰어  |
| ---------- | -- | --- | --- | --- | --- |
| 대시보드 보기    | 예  | 예   | 예   | 예   | 예   |
| 에이전트 대화 실행 | 예  | 예   | 예   | 예   | 아니오 |
| 권고 사항 생성   | 예  | 예   | 예   | 아니오 | 아니오 |
| 작업 승인      | 예  | 예   | 예   | 아니오 | 아니오 |
| 연결 관리      | 예  | 예   | 예   | 아니오 | 아니오 |
| 멤버 관리      | 예  | 예   | 아니오 | 아니오 | 아니오 |
| 조직 설정      | 예  | 예   | 아니오 | 아니오 | 아니오 |
| 청구         | 예  | 아니오 | 아니오 | 아니오 | 아니오 |

***

## API 인증

CloudThinker에 대한 안전한 프로그래밍 방식 액세스:

### API 키

자동화를 위한 API 키 생성:

1. **프로필 > API 키**로 이동합니다
2. **API 키 생성**을 클릭합니다
3. 키 이름을 지정하고 만료일을 설정합니다
4. 키를 복사합니다 (한 번만 표시됨)
5. API 요청에서 사용합니다

```bash theme={null}
# 예시 API 요청
curl -H "Authorization: Bearer <api_key>" \
  https://api.cloudthinker.io/v1/workspaces
```

### 키 관리

* **교체**: 정기적으로 키를 교체합니다 (권장: 90일마다)
* **범위 지정**: 가능한 경우 특정 작업으로 키를 제한합니다
* **모니터링**: 감사 로그에서 키 사용을 검토합니다
* **취소**: 손상된 키를 즉시 취소합니다

<Warning>
  API 키를 버전 제어에 커밋하지 마세요. 환경 변수 또는 시크릿 관리 도구를 사용하세요.
</Warning>

### OAuth 토큰

OAuth를 사용하는 연동의 경우:

* 토큰이 자동으로 갱신됩니다
* **설정 > 연결된 앱**에서 액세스를 취소합니다
* 감사 로그에서 토큰 사용을 모니터링합니다

***

## 데이터 보안

### 암호화

CloudThinker는 다음으로 데이터를 보호합니다:

| 레이어      | 보호             |
| -------- | -------------- |
| **전송**   | 모든 연결에 TLS 1.3 |
| **저장 시** | AES-256 암호화    |
| **시크릿**  | 암호화된 자격 증명 저장소 |
| **백업**   | 암호화된 데이터베이스 백업 |

### [자체 키 사용(BYOK)](/ko/guide/byok)

Enterprise 고객은 자체 암호화 키를 사용할 수 있습니다:

1. AWS KMS 또는 이와 유사한 서비스를 구성합니다
2. CloudThinker에 키 ARN을 제공합니다
3. 키가 민감한 데이터를 암호화합니다
4. 전체 키 제어를 유지합니다

<Card title="BYOK 구성" icon="key" href="/ko/guide/byok">
  자체 키 사용 암호화 설정
</Card>

### 데이터 레지던시

* 워크스페이스 생성 시 데이터 리전을 선택합니다
* 데이터는 선택된 리전 내에 유지됩니다
* 이중화를 위한 멀티 리전 옵션

***

## 감사 로깅

CloudThinker의 모든 활동 추적:

### 기록된 이벤트

* 사용자 인증 (로그인, 로그아웃, MFA)
* 리소스 액세스 및 수정
* 에이전트 대화 및 작업
* 관리 변경 사항
* API 액세스

### 감사 로그 보기

1. **관리자 설정 > 조직**으로 이동합니다
2. 다음으로 필터링합니다:
   * 사용자
   * 작업 유형
   * 리소스
   * 날짜 범위
3. 컴플라이언스를 위해 로그를 내보냅니다

### 로그 보존

* 표준: 90일
* 전문가: 1년
* Enterprise: 구성 가능 (최대 7년)

***

## 보안 모범 사례

<AccordionGroup>
  <Accordion title="모든 사용자에게 MFA 활성화">
    특히 관리자 액세스 권한이 있는 사용자를 포함한 모든 조직 멤버에게 MFA를 요구합니다. [SSO](/ko/guide/security/sso) 정책을 통해 강제 적용을 고려하세요.
  </Accordion>

  <Accordion title="최소 권한 사용">
    각 사용자의 책임에 필요한 최소 역할을 할당합니다. 정기적으로 권한을 검토하고 조정합니다.
  </Accordion>

  <Accordion title="자격 증명 정기 교체">
    API 키, 갱신 토큰, 클라우드 자격 증명을 정기적인 일정으로 교체합니다.
  </Accordion>

  <Accordion title="감사 로그 모니터링">
    의심스러운 활동에 대해 감사 로그를 정기적으로 검토합니다. 중요한 이벤트에 대한 알림을 설정합니다.
  </Accordion>

  <Accordion title="클라우드 연결 보호">
    가능한 경우 읽기 전용 자격 증명을 사용합니다. 범위를 필요한 서비스 및 리전으로 제한합니다.
  </Accordion>

  <Accordion title="정기적인 액세스 검토">
    분기별 액세스 검토를 수행합니다. 비활성 사용자를 제거하고 불필요한 권한을 취소합니다.
  </Accordion>
</AccordionGroup>

***

## 컴플라이언스

CloudThinker는 다음 컴플라이언스를 유지합니다:

* **SOC 2 Type II**: 보안, 가용성, 기밀성
* **GDPR**: EU 사용자를 위한 데이터 보호
* **HIPAA**: 의료 데이터 처리 (Enterprise)
* **ISO 27001**: 정보 보안 관리

<Card title="컴플라이언스 문서 요청" icon="file-certificate" href="mailto:security@cloudthinker.io">
  보안 설문지 및 컴플라이언스 문서를 위해 문의하세요
</Card>

## 관련 항목

<CardGroup cols={2}>
  <Card title="싱글 사인온" icon="key" href="/ko/guide/security/sso">
    Google Workspace, Azure AD, Okta 등으로 SAML 또는 OIDC SSO 구성
  </Card>

  <Card title="SCIM 프로비저닝" icon="users-gear" href="/ko/guide/security/scim">
    아이덴티티 제공자에서 사용자 및 그룹 동기화 자동화
  </Card>
</CardGroup>
