법적 고지 — 점검 수행 동의서 (RoE)
Papurion 점검 수행 동의서
최종 업데이트: 2026년 5월 (초안)
점검 수행 동의서 (Rules of Engagement, RoE)
본 점검 수행 동의서(이하 "본 동의서")는 다음 양 당사자 간에 체결됩니다.
| 구분 | 회사명 | 담당자 | 연락처 |
|---|---|---|---|
| 갑(고객) | [고객 회사명] | [담당자명] | [이메일/전화] |
| 을(서비스 제공자) | Pie Nest Inc. | 이동현 | security@papurion.com |
체결일: 20[ ]년 [ ]월 [ ]일 점검 예정 기간: 20[ ]년 [ ]월 [ ]일 ~ 20[ ]년 [ ]월 [ ]일
제1조 (목적)
본 동의서는 을이 갑에게 제공하는 보안 취약점 점검 서비스(Papurion)의 수행 범위, 방법, 금지 사항, 비상 절차 등을 명확히 규정함을 목적으로 합니다.
본 동의서는 갑·을 간 체결한 비밀유지계약(NDA), 개인정보 처리위탁계약(DPA), 이용약관과 함께 통합 적용됩니다.
제2조 (점검 대상 자산)
1. 점검 허용 자산
갑은 다음 자산에 대해 점검을 명시적으로 허가합니다.
| 자산 유형 | 자산 식별자 | 접근 방법 | 비고 |
|---|---|---|---|
| GitHub Repository | [예: github.com/회사명/repo-name] | OAuth read-only 토큰 | 환경: production 또는 staging 명시 |
| 도메인 (외부 표면) | [예: api.회사.com] | DNS resolve 후 외부 스캔 | DAST 적용 시에만 |
| 컨테이너 이미지 | [예: registry.회사.com/image:tag] | Pull 권한 부여 | IaC 점검 포함 |
| IaC 저장소 | [예: github.com/회사명/infra] | OAuth read-only | Terraform, K8s, Dockerfile 등 |
자산이 위 목록에 없으면 점검하지 않습니다.
2. 점검 금지 자산
다음은 명시적으로 점검 금지 대상입니다.
- 가. 본 동의서에 명시되지 않은 모든 자산
- 나. 제3자(다른 회사, 공급업체) 소유의 자산
- 다. 갑의 임직원 개인 계정·디바이스
- 라. 갑이 운영하지 않는 외부 서비스 (예: 사용 중인 SaaS 제품의 인프라)
- 마. 프로덕션 환경의 데이터베이스, 결제 시스템, 인증 시스템
제3조 (점검 범위 및 도구)
1. 허용된 점검 유형
갑은 다음 점검 유형에 동의합니다.
- SAST (정적 코드 분석): Semgrep 등 사용한 소스코드 보안 룰 분석
- SCA (의존성 취약점): OSV-Scanner, Trivy, npm-audit 사용한 패키지 CVE 분석
- Secret Detection: TruffleHog 사용한 시크릿 노출 검출
- IaC Scanning: Trivy 사용한 Dockerfile, Terraform, K8s YAML 분석
- DAST (동적 분석): Nuclei 사용한 외부 표면 능동 스캔 (별도 동의 필요)
- 시크릿 verified 검증: 발견된 시크릿의 실제 활성 여부 확인 (별도 동의 필요)
위 체크박스 중 갑이 선택한 항목만 수행됩니다.
2. 사용 도구
- 자동화 도구: Semgrep, OSV-Scanner, Trivy, TruffleHog, Nuclei, npm-audit
- AI 분석: Claude Opus 4.7 (취약점 분류·우선순위), Claude Haiku 4.5 (마스킹), Claude Sonnet 4.6 (보고서 생성)
- 자체 도구: Papurion 마스킹 모듈, git-tracker, 리포트 생성기
3. 점검 깊이
| 깊이 | 설명 | 예상 소요 |
|---|---|---|
| Quick | 시크릿 + 직접 의존성 + 기본 SAST | 5-10분 |
| Standard | 위 + transitive 의존성 + IaC | 10-30분 |
| Deep | 위 + DAST(스테이징) + verified 검증 | 30-120분 |
본 점검의 깊이: [Quick / Standard / Deep]
제4조 (금지 사항)
을은 다음 행위를 절대 수행하지 않습니다.
1. 자동 익스플로잇 금지
- 발견된 취약점에 대한 자동 익스플로잇(PoC) 금지
- 모든 익스플로잇 검증은 갑의 사전 서면 승인 후 격리 컨테이너에서만 수행
- 익스플로잇 결과로 인한 데이터 변조, 시스템 손상 절대 금지
2. 프로덕션 환경 active scan 금지
- 프로덕션 환경에 대한 DAST(Nuclei) 수행 금지
- DAST는 갑이 명시한 스테이징 환경 또는 격리된 테스트 환경에서만
- 트래픽 증가로 인한 운영 영향 우려 시 즉시 중단
3. 인증·인가 우회 시도 금지
- 갑이 제공한 OAuth 토큰의 권한 범위 외 시도 금지
- 권한 상승, 우회 시도 금지
4. 데이터 변조·삭제 금지
- 갑의 데이터에 대한 일체의 쓰기·삭제 작업 금지
- read-only 접근만 허용
5. 시크릿 자동 revoke 금지
- 발견된 시크릿에 대해 을이 임의로 revoke·재발급 금지
- 발견 시 갑에게 통보하여 갑이 직접 처리하도록 함
6. 정보 공유 금지
- 점검 결과의 제3자 공유 금지 (NDA 적용)
- 갑의 사전 동의 없는 사례 인용 금지
7. 외부 자산 점검 금지
- App Store, Play Store 등 갑이 운영하지 않는 외부 인프라 점검 금지
- 갑의 클라우드 계정(AWS, GCP, Azure) 직접 점검 금지 (별도 IAM 권한 부여 필요 시 추가 동의)
제5조 (점검 일정 및 시간대)
1. 점검 수행 시간대
- 권장 시간대: 평일 [점검 시간대 입력] (갑의 업무 시간 외)
- 금지 시간대: 갑의 주요 비즈니스 시간 (예: 배포 일정, 마케팅 캠페인 등)
2. 점검 빈도
- Light 단발: 본 동의서 체결 후 1회
- Pro 정기: 주 1회 자동, 매주 [요일] [시간]
- Business 정기: 일 1회 자동, 매일 [시간]
3. 점검 중단 요청
갑은 다음 경우 언제든지 점검 중단을 요청할 수 있습니다.
- 가. 점검으로 인한 운영 영향 의심
- 나. 갑의 내부 보안 이벤트 발생
- 다. 외부 사고 대응 중
- 라. 기타 갑의 사정
중단 요청 시 을은 30분 이내에 진행 중인 점검을 중단합니다.
제6조 (비상연락망)
갑(고객)측 비상연락망
| 구분 | 성명 | 직책 | 연락처(전화) | 이메일 |
|---|---|---|---|---|
| 주 담당자 | [성명] | [직책] | [전화] | [이메일] |
| 보안 담당자 | [성명] | [직책] | [전화] | [이메일] |
| 비상시 (24/7) | [성명] | [직책] | [전화] | [이메일] |
을(Papurion)측 비상연락망
| 구분 | 성명 | 직책 | 연락처 | 이메일 |
|---|---|---|---|---|
| 주 담당자 | 이동현 | CTO/CPO | [전화] | security@papurion.com |
| 비상시 | 이동현 | (동일) | [전화] | security@papurion.com |
제7조 (사고 발생 시 통보)
1. 을의 통보 의무
을은 점검 중 다음을 발견·인지한 경우 24시간 이내에 갑에게 통보합니다.
- 가. 이미 침해당한 흔적 (Compromise Indicator)
- 나. 진행 중인 공격 흔적
- 다. P0 등급 취약점 (시크릿 노출 verified, RCE, 인증 우회 등)
- 라. 본 동의서 위반 사항 발견
- 마. 을 자체 인프라에서 발생한 갑 데이터 관련 사고
2. 갑의 통보 의무
갑은 다음 사항을 을에게 통보합니다.
- 가. 점검 일정 변경 사항
- 나. 점검 대상 자산 변경 (추가, 제외, 환경 변경)
- 다. 점검 중단 요청
- 라. 점검으로 인한 운영 영향 의심
제8조 (점검 결과의 활용)
1. 갑의 권리
갑은 점검 결과를 다음과 같이 자유롭게 활용할 수 있습니다.
- 가. 내부 보안 개선
- 나. 보안 인증 심사 증적 (ISMS-P, ISO 27001 등)
- 다. 임원·이사회 보고
- 라. 협력사·고객사에 보안 수준 입증 (단, 점검 결과 자체 공유는 갑의 자율)
2. 을의 활용 제한
을은 다음 경우에만 점검 결과를 활용합니다.
- 가. 본 서비스 품질 개선 (익명화된 통계)
- 나. 갑의 사전 동의 후 사례 연구
- 다. 법령에 따른 공개 요구
제9조 (책임 및 면책)
1. 을의 책임
을은 점검 시점 기준 합리적 노력을 다해 취약점을 발견·보고하며, 다음을 명시적으로 보증하지 않습니다.
- 가. 모든 취약점 발견
- 나. 점검 후 신규 발견 취약점에 대한 사전 인지
- 다. False positive 0%
2. 책임 한도
본 동의서와 관련한 을의 손해배상 책임은 본 서비스 이용약관 및 NDA에서 정한 한도를 초과하지 않습니다.
3. 면책 사항
- 가. 갑이 RoE 범위를 잘못 지정하여 발생한 미점검
- 나. 갑이 점검 결과를 적절히 조치하지 않아 발생한 사고
- 다. 점검 시점 이후 신규 발견 0-day 취약점
- 라. False positive로 인한 갑의 불필요한 조치
제10조 (변경 및 추가)
본 동의서의 변경은 양 당사자의 서면 합의로만 가능합니다. 다음 변경 시 새로운 RoE 체결이 필요합니다.
- 가. 점검 대상 자산의 추가·변경
- 나. 점검 도구의 추가 (특히 DAST 활성화)
- 다. 점검 깊이의 변경 (Standard → Deep 등)
- 라. 점검 시간대의 중대 변경
제11조 (효력)
본 동의서는 양 당사자의 서명 시 발효되며, 위 점검 예정 기간의 점검 완료 또는 본 서비스 이용계약 종료 시까지 유효합니다.
본 동의서의 체결을 증명하기 위하여 본 동의서 2부를 작성하여 양 당사자가 서명·날인한 후 각각 1부씩 보관합니다.
20[ ]년 [ ]월 [ ]일
갑 (고객)
회사명: [고객 회사명] 담당자: [담당자명] 서명: ___________________ 일자: ___________________
을 (서비스 제공자)
회사명: Pie Nest Inc. 담당자: 이동현 서명: ___________________ 일자: ___________________
셀프 서비스 가입 시 클릭 동의 양식 (별도)
본 RoE의 핵심 사항을 셀프 서비스 회원가입 시 다음과 같이 클릭 동의로 갈음합니다.
동의 화면 1: 점검 대상 등록 시
[ ] 본인은 다음 자산이 본인 소유이거나 점검 권한을 보유한 자산임을 확인합니다.
자산:
- GitHub: github.com/회사/repo-name
- 도메인: api.회사.com
본 자산에 대한 점검 권한이 없는 경우 정보통신망법 위반에 해당할 수 있음을
인지하고, 모든 책임은 본인에게 있음을 동의합니다.
동의 화면 2: 점검 범위 선택
점검 범위를 선택하세요 (체크박스, 다중 선택 가능):
[ ] 정적 코드 분석 (SAST) - Semgrep
[ ] 의존성 취약점 (SCA) - OSV-Scanner, Trivy
[ ] 시크릿 검출 - TruffleHog
[ ] IaC 검사 - Trivy
[ ] 동적 분석 (DAST) - 스테이징 환경만, 별도 동의
[ ] 시크릿 verified 검증 - 별도 동의
동의 화면 3: 금지 사항 확인
[ ] 본인은 다음을 인지하고 동의합니다:
- Papurion은 자동 익스플로잇을 수행하지 않습니다.
- Papurion은 프로덕션 환경 DAST를 금지합니다.
- Papurion은 데이터 변조·삭제를 하지 않습니다.
- 사고 발견 시 24시간 이내 통보됩니다.
- 점검 중단을 언제든 요청할 수 있습니다.
이 3개 화면에 모두 동의 후 점검 시작 가능.
인쇄 또는 PDF 저장: 브라우저 인쇄 기능(Cmd+P / Ctrl+P)을 사용하세요.