Logo

보안 및 개인 정보 보호 백서(개요)제6장

6장 데이터 수명주기 및 삭제

이 장에서는 암호화된 데이터(암호문 청크 및 매니페스트)의 수명 주기(생성, 보존, 만료 및 삭제)를 정의합니다. 목표는 영지식 경계를 유지하면서 사용자와 감사자의 예측 가능한 행동입니다.

6.1 데이터 카테고리

  • 암호문 청크: 객체 스토리지에 저장된 암호화된 파일 조각.
  • Manifest: 다운로드/어셈블리에 필요한 공개 매개변수(CEK 없음)
  • State: 승인, 진행률, TTL, 해지 플래그 및 최소한의 배달 증거.

6.2 삭제 의미론

  • 발신자가 시작한 삭제/해지로 인해 후속 액세스가 실패해야 합니다(토큰 무효화/상태 액세스 거부).
  • 삭제는 가능한 경우 관련 개체(청크/매니페스트)의 정리를 트리거해야 합니다.
  • 시스템 동작은 수신자에 대해 일관되어야 합니다. 취소/만료된 이체에는 명확한 이유가 표시되어야 합니다.

6.3 만료 정책 및 자동 정리

6.3.1 만료 트리거

  • 전송에는 다음이 있어야 합니다. expiresAt 정책(계획 기반 보존 또는 사용자가 선택한 TTL).
  • 만료 후에는 암호문이 일시적으로 존재하더라도 액세스가 거부되어야 합니다.

6.3.2 자동 정리

  • 백그라운드 정리는 합리적인 기간 내에 만료된 청크/매니페스트를 삭제해야 합니다.
  • 정리는 재시도 및 부분 실패(멱등성 삭제)에 대해 복원력이 있어야 합니다.

6.3.3 만료 후 UX 제약

  • 수신자는 명시적인 "만료됨" 상태와 다음 단계(발신자에게 연락)를 확인해야 합니다.
  • 발신자는 관리 UI에서 "만료됨"과 "해지됨"을 구별할 수 있어야 합니다.

6.4 사용자에게 보이는 보증

  • 삭제/폐기는 액세스 제어에 대해 즉시 적용되어야 합니다(장애 폐쇄).
  • 저장소에서의 물리적 삭제는 최종적으로 이루어질 수 있습니다. 그러나 다시 활성화하지 않으면 액세스가 거부된 상태로 유지되어야 합니다.
  • 로그와 증거는 최소한으로 유지되어야 하며 비밀(조각/CEK)을 포함해서는 안 됩니다.

6.5 관련 청구 ID