JLK logo JLK logo

LEADING THE AI INDUSTRY
WITH DATA & TECHNOLOGY

보안 및 규정 준수

JLK, Inc.는 고객 데이터의 보안과 개인정보 보호를 최우선 가치로 삼고 있습니다. 당사는 민감한 의료 데이터를 다루는 기업으로서, SOC 2 및 HIPAA 표준에 부합하는 체계적이고 투명한 보안 관리 프로그램을 운영하고 있습니다.

핵심 원칙 (SOC 2 신뢰 서비스 기준)

우리는 다음 세 가지 핵심 요소를 기반으로 감사 및 검증을 수행합니다.

  • 보안 (Security): 무단 접근 및 데이터 유출을 방지하기 위한 기술적·관리적 보호 조치
  • 가용성 (Availability): 중단 없는 지속적인 서비스 제공을 보장하기 위한 이중화 및 재해 복구 대책
  • 기밀성 (Confidentiality): 인가된 인원만이 민감 정보에 접근할 수 있도록 하는 엄격한 접근 통제 정책

참고: JLK, Inc.는 보호대상 건강정보(PHI)에 대한 HIPAA 요구사항을 엄격히 준수하며, 데이터 전송 및 저장의 모든 단계에서 암호화, 접근 통제 및 감사 로깅을 적용합니다.

인프라 보안 및 신뢰성 (Infrastructure Security & Reliability)

JLK의 서비스 인프라는 전 세계적으로 검증된 보안 클라우드 환경인 Amazon Web Services (AWS)를 기반으로 구축되었습니다.

1. VPC 격리 (가상 네트워크 분리)

  • 모든 서비스 컴포넌트는 AWS VPC 내에 격리되어 운영됩니다.
  • 내부 및 외부 네트워크 간의 트래픽은 엄격하게 분리되어 무단 접근을 차단하고 데이터 흐름을 통제합니다.

2. 방화벽 및 보안 그룹 규칙

  • 최소 권한 원칙 (Principle of Least Privilege): 애플리케이션, 데이터베이스, 관리 네트워크에 대한 보안 그룹은 필요한 최소한의 트래픽만 허용합니다.
  • 방어 조치: AWS Network ACL 및 보안 그룹 규칙을 활용하여 무단 접근, 포트 스캐닝, DDoS 공격 시도를 차단합니다.

3. 고가용성 및 이중화

  • 다중 가용 영역 배포 (Multi-AZ): 핵심 서비스는 여러 가용 영역(AZ)에 걸쳐 운영되며, 장애 발생 시 자동 복구(Failover) 됩니다.
  • 재해 복구: 정기적인 백업 및 복구 테스트를 수행하여 데이터 손실 위험을 최소화합니다.

데이터 보안 및 프라이버시 (Data Security & Privacy)

JLK는 의료 정보를 포함한 모든 데이터를 HIPAA 및 SOC 2 보안 통제 기준에 따라 관리합니다.

데이터 암호화

상태 (State) 방식 (Method)
전송 중 (In-Transit) 네트워크 트래픽은 TLS 1.2+ 프로토콜을 사용하여 보호됩니다. 공용 네트워크(인터넷)를 통과하는 모든 데이터는 항상 암호화되어 전송됩니다.
저장 중 (At-Rest) 데이터는 AWS Key Management Service (KMS)를 통해 AES-256 표준으로 강력하게 암호화되어 저장되며, 암호화 키는 별도로 안전하게 관리됩니다.

접근 통제 및 인증

  • RBAC (Role-Based Access Control): 최소 권한 원칙에 따라 역할 기반으로 시스템 접근을 통제합니다.
  • MFA (Multi-Factor Authentication): 모든 내부 사용자 및 관리자 계정에 대해 다중 요소 인증을 의무화합니다.
  • 감사 로깅: 접근 이벤트 및 인증 시도는 실시간 모니터링을 위해 중앙화된 시스템에 저장됩니다.

프라이버시 및 PHI 보호

  • HIPAA 준수: 모든 개인정보 및 PHI는 HIPAA 개인정보보호 및 보안 규칙(Privacy and Security Rules)에 따라 처리됩니다.
  • 감사 추적 (Audit Trails): 접근, 조회, 수정, 다운로드 등의 행위는 기록되며, 이상 징후 발생 시 자동화된 알림이 발송됩니다.
  • 데이터 거주성 (Data Residency): 데이터는 미국 내 AWS 리전에 저장되며, 국경 간 접근에 대한 보호 조치를 적용합니다.

개발 보안 및 테스트 (Development Security & Testing)

JLK는 엄격한 테스트 프레임워크를 통해 취약점을 선제적으로 관리합니다.

  • 배포 전 검사 (Pre-Release): 모든 코드는 배포 전 보안 취약점 테스트를 거칩니다.
  • 정기 스캔 (Routine Scans):
    • 애플리케이션 취약점 진단
    • 네트워크 취약점 진단
    • 보안 통제 프레임워크 검토
  • 모의해킹 (Penetration Testing): 매년 외부 전문 기관을 통한 모의해킹을 수행합니다.

정책 및 절차 (Policies & Procedures)

우리는 포괄적인 보안 정책을 유지하고 있으며, 매년 이를 검토 및 업데이트합니다. 또한 모든 임직원을 대상으로 필수 보안 교육을 실시합니다.

주요 정책:

  • 자산 관리 (Asset Management)
  • 데이터 보호 및 보존 (Data Protection & Retention)
  • 정보 보안 (Information Security)
  • 침해 사고 대응 (Incident Response)
  • 위험 평가 (Risk Assessment)
  • 시스템 접근 통제 (System Access Control)
  • 공급망 및 취약점 관리 (Vendor & Vulnerability Management)

취약점 공개 및 신고 (Vulnerability Disclosure & Reporting)

우리는 보안 연구 커뮤니티의 기여를 존중합니다. aiscan.medihub.ai, AISCAN 앱, snappy-us.medihub.ai, FASTRO 앱 또는 기타 자산에 영향을 미치는 취약점은 책임 있는 방식으로 신고해 주시기 바랍니다.

  • 신고 방법: 구글 폼(Google Form)을 통해 접수
  • 요구사항: 상세한 설명과 재현 가능한 단계(또는 작동하는 PoC)를 포함해 주십시오.
  • 처리 절차: 신고 → 검증 → CSO 검토 → 위험 평가 → 대응

부록 및 참조 링크 (Appendix & Reference Links)

  • 정책 문서: 개인정보 처리방침, 정보보안 정책, 이용약관
  • 규정 준수: HIPAA 사업 제휴 계약서(BAA), AWS 규정 준수 센터, JLK Trust Center
  • 최신 현황: 2025년 11월 기준 — SOC 2 Type II 감사 진행 중