보안 경계
이 문서는 인증 취득을 주장하는 문서가 아닙니다. ONESHIM을 검토할 때 확인해야 할 데이터 이동 경계, 승인 지점, 감사 로그 설계를 정리합니다.
기본 원칙
- 승인된 소스만 맥락 후보가 됩니다.
- 민감 데이터는 전송 전에 제외하거나 마스킹할 수 있어야 합니다.
- 후보와 승인된 결과를 분리합니다.
- 검토, 승인, 정책 검사 단계를 거친 뒤에만 운영 반영 또는 실행 대상을 정합니다.
- 누가 무엇을 봤고 승인했는지 감사 로그로 남깁니다.
데이터 이동
검토 항목
| 항목 | 확인 질문 |
|---|---|
| 로컬 파일 | 어떤 경로가 포함되고 제외되는가? |
| Git 저장소 | private repo, issue, commit metadata 범위는? |
| 문서 도구 | 제목, 본문, 댓글, 첨부 중 무엇을 읽는가? |
| 사용자 식별자 | 이메일, 이름, 역할 정보를 어떻게 마스킹하는가? |
| 전송 로그 | 언제, 누가, 어떤 이유로 전송했는가? |
| 승인 로그 | 후보가 승인/반려/보류된 근거는 무엇인가? |
Maekon 선택 연결 경계
Maekon 검토는 ONESHIM 연결보다 독립 소스 감사가 먼저입니다.
- 키 입력 원문 수집을 기본 전제로 삼지 않습니다.
- 승인된 파일과 업무 도구 범위를 먼저 정합니다.
- 승인된 로컬 액션은 정책 검사, 샌드박스, 로컬 감사 로그를 거쳐 실행합니다.
- ONESHIM 전송 전 제외 규칙을 검토합니다.
- 독립 local-first 모드에서 로컬 동작 범위를 확인합니다.
Organization Console 경계
Organization Console은 조직 운영을 위한 권한 계층입니다.
- 역할별 읽기/검토/승인 권한 분리
- 테넌트별 데이터 경계 분리
- 검토 큐, 실행 정책, 감사 로그 유지
- 외부 LLM 연결 정책 기록