책임 공개

E:LAB Studio가 운영하는 도구·서비스의 점검 범위, 외부 데이터 활용 방식, 책임 한계, 그리고 회사 시스템에 대한 취약점 제보 방법을 안내합니다.

1. 보안 진단(Security)의 점검 범위

• 이랩스튜디오의 보안 진단은 도메인 소유권을 인증한 사이트에 한해 동작합니다. 인증되지 않은 도메인은 스캔되지 않습니다.
• 대부분의 스캐너는 수동(passive)이며 공개된 응답·메타데이터만 분석합니다.
• 일부 능동(active) 검증을 수행하나 다음 원칙을 준수합니다.
  • 요청량 제한 (분당 30 요청 이하)
  • 사용자 데이터 변조 시도 없음
  • 비파괴적 페이로드만 사용
  • 전체 검사 45초 내 완료

2. SEO·GEO 진단의 점검 범위

• SEO·GEO 진단은 공개된 페이지의 메타·OG·구조화 데이터·헤더만 분석합니다. 비공개 페이지는 점검 대상이 아닙니다.
• 점수는 회사가 정한 룰북에 따라 계산되며, 룰북은 시간이 지남에 따라 변경될 수 있습니다.
• 점수가 높다고 해서 검색·AI 노출이 보장되지 않으며, 점수가 낮다고 해서 즉시 노출이 차단되지 않습니다. 점수는 개선 우선순위를 잡기 위한 신호입니다.

3. 외부 데이터의 활용

• OSV.dev: JavaScript 라이브러리 CVE 매칭에 공개 데이터를 활용합니다.
• Google Safe Browsing: 도메인 차단 여부 확인에 공개 API를 사용합니다.
• Google Analytics: 사이트 이용 통계(익명) 수집.
• Google OAuth: 로그인 인증.
• LemonSqueezy: 결제 처리.
• Anthropic: 일부 AI 제안 기능에 모델 호출(점검 결과 일부가 모델에 입력될 수 있음).

회사는 위탁 처리 외에 이용자의 사이트 정보를 외부 시스템에 제공하지 않습니다.

4. 결과의 책임 한계

• 본 도구의 결과만으로 사이트의 보안성·검색 노출이 완전하다고 단정할 수 없습니다.
• 특히 보안 진단은 사이트가 노출하는 공개 신호만 분석합니다. 내부 코드·서버 구성·운영 환경의 모든 위험을 포착할 수는 없습니다.
• 깊은 침투 테스트가 필요한 경우 전문 보안 회사에 별도 의뢰를 권장합니다.
• SEO·GEO 결과를 활용한 의사결정의 책임은 이용자에게 있으며, 검색 엔진/AI의 알고리즘 변경에 따라 결과가 달라질 수 있습니다.

5. 회사 시스템에 대한 취약점 제보

이랩스튜디오의 도구·서비스(elab-studio.com 및 부속 서브도메인)에서 보안 취약점을 발견하셨다면 다음 절차로 제보해 주세요.

1. gdode2080@gmail.com으로 발견한 취약점·재현 절차·영향 범위를 정리해 보내주세요.
2. 회사는 평균 48시간 이내에 접수 회신을 보냅니다.
3. 심각도에 따라 우선순위로 패치를 배포하며, 패치 완료 후 회고를 공개합니다.

제보 시 다음을 지켜주시면 신속한 대응이 가능합니다.

• 실제 이용자 데이터에 접근하지 않을 것
• 서비스 가용성을 해치지 않을 것 (대량 자동화 공격 금지)
• 패치 전까지 외부 공개를 보류할 것

6. 신고 처리 우선순위

• Critical: 인증 우회·이용자 데이터 노출·인프라 장악 → 24시간 내 패치 시작
• High: 권한 상승·결제 우회 → 영업일 기준 3일 내 패치
• Medium / Low: 정보 노출·UX 결함 → 영업일 기준 14일 내 검토 후 일정 회신

7. 보상

이랩스튜디오는 정식 버그바운티 프로그램을 운영하지 않습니다. 다만 의미 있는 제보에 대해서는 명예의 전당(Hall of Fame) 등재 또는 적절한 감사 표시를 합니다.