← 홈으로 돌아가기
보안정책
최종 업데이트: 2026년 4월
1. 인증 보안
- Google OAuth 2.0 — 비밀번호를 저장하지 않습니다. Google의 엔터프라이즈급 인증 인프라를 활용합니다.
- 세션 관리 — HttpOnly, Secure, SameSite=Lax 쿠키로 세션을 관리합니다. XSS로 세션 토큰에 접근할 수 없습니다.
- 세션 만료 — 일정 시간 미활동 시 자동으로 세션이 만료됩니다.
2. 데이터 보호
- 전송 암호화 — 모든 통신은 TLS 1.3으로 암호화됩니다 (HTTPS 강제).
- HSTS — Strict-Transport-Security 헤더로 다운그레이드 공격을 방지합니다.
- API 키 보호 — 키움증권 API 키는 서버 측에서만 관리되며, 클라이언트에 노출되지 않습니다.
- 데이터베이스 — PostgreSQL에 저장되며, 사용자별 데이터 격리가 적용됩니다.
3. 웹 보안
- CSP (Content Security Policy) — 허용된 소스에서만 스크립트와 스타일을 로드합니다.
- X-Frame-Options: DENY — 클릭재킹 공격을 방지합니다.
- X-Content-Type-Options: nosniff — MIME 타입 스니핑을 차단합니다.
- Referrer-Policy — 외부 사이트에 민감한 URL 정보가 유출되지 않습니다.
- Permissions-Policy — 카메라, 마이크, 위치, 결제 API 접근을 차단합니다.
4. SQL Injection 방지
- 파라미터 바인딩 — 모든 데이터베이스 쿼리에 파라미터화된 쿼리를 사용합니다.
- ORM 활용 — SQLAlchemy ORM을 통해 쿼리를 생성하여 직접 SQL 작성을 최소화합니다.
- 입력 검증 — Pydantic 모델로 모든 API 입력을 검증합니다.
5. XSS (Cross-Site Scripting) 방지
- 출력 인코딩 — 사용자 입력을 렌더링할 때 HTML 이스케이프를 적용합니다.
- CSP 정책 — 인라인 스크립트 실행을 제한하여 XSS 공격 벡터를 차단합니다.
- HttpOnly 쿠키 — JavaScript로 세션 쿠키에 접근할 수 없습니다.
6. CSRF (Cross-Site Request Forgery) 방지
- SameSite 쿠키 — SameSite=Lax 설정으로 크로스사이트 요청에서 쿠키 전송을 제한합니다.
- Origin 검증 — API 요청의 Origin 헤더를 검증하여 허용된 도메인만 접근 가능합니다.
7. 증권 거래 보안
- 키움 API 통신 — 키움증권 Open API+와의 통신은 암호화된 채널을 통해 이루어집니다.
- 주문 검증 — 모든 매매 주문은 서버 측에서 유효성을 검증한 후 실행됩니다.
- 자동매매 제한 — 최대 손실 한도, 일일 거래 횟수 제한 등 안전장치가 내장되어 있습니다.
- 실시간 로깅 — 모든 매매 활동은 실시간으로 기록되며, 감사 추적이 가능합니다.