Responsible Disclosure Policy

Effective Date: December 24, 2025

Applies to: ai-erd.com and AI-ERD services operated by Codelive Inc.

Language selection is saved in your browser.

1. 목적

코드라이브(주)(이하 “회사”)는 AI-ERD의 보안을 중요하게 생각합니다. 선의의 보안 연구 및 취약점 제보를 환영하며, 이를 통해 사용자와 서비스의 안전을 유지하고자 합니다.

2. 적용 범위

본 정책은 아래 대상에서 발견된 보안 취약점 제보에 적용됩니다.

  • ai-erd.com 도메인 하에서 제공되는 AI-ERD 웹 서비스 및 API
  • 회사가 소유·운영하는 AI-ERD 인프라/서비스(프로덕션 및 오픈 베타 환경 포함)

적용 제외(예시)

  • 제3자 서비스(OAuth 로그인 제공자, 분석/모니터링 도구, 호스팅 제공자 등) 자체의 취약점(단, 회사 통합 방식/설정으로 인해 발생한 문제는 예외적으로 검토 가능)
  • 사회공학적 공격(피싱/스미싱/보이스피싱 등), 물리적 공격, 협박/갈취
  • 서비스 가용성에 영향을 주는 행위(DoS/DDoS, 부하 테스트, 대량 요청으로 장애 유발 등)
  • 실질적 보안 영향(재현/악용 가능성) 없이 “모범사례 미준수”만을 지적하는 제보
  • 사용자 콘텐츠 자체의 문제, 약한 비밀번호, 사용자 디바이스 감염/계정 탈취 등(서비스 취약점이 아닌 경우)

적용 여부가 애매한 경우에도 우선 제보해 주시면 회사가 범위를 안내드립니다.

3. 선의의 연구에 대한 보호(세이프 하버)

회사는 아래 조건을 충족하는 보안 연구를 “선의의(Good-Faith) 연구”로 간주합니다.

  • 개인정보 침해, 데이터 파괴, 서비스 장애를 최대한 회피할 것
  • 취약점 입증에 필요한 최소한의 데이터만 접근/사용할 것
  • 취약점 발견 즉시 테스트를 중단하고 신속히 제보할 것
  • 취약점을 악의적으로 이용(금전 요구, 확산, 재판매 등)하지 않을 것

세이프 하버(회사 방침)

제보자가 본 정책의 범위 및 가이드라인을 준수하여 선의의 연구를 수행하는 경우, 회사는 원칙적으로 해당 행위를 허용된(authorized) 보안 테스트로 간주하며, 그 행위만을 이유로 제보자에 대해 법적 조치를 개시하지 않습니다.

예외(세이프 하버 적용 제외)

다음에 해당하는 경우, 회사는 세이프 하버를 적용하지 않을 수 있습니다.

  • 본 정책의 적용 범위를 명백히 벗어난 자산/시스템에 대한 테스트
  • 타 사용자 데이터 접근·열람·수정·삭제, 또는 개인정보/비밀정보의 수집·유출
  • 서비스 장애 유발(DoS/DDoS, 과도한 자동화 스캔/대량 요청, 부하 테스트 등)
  • 무차별 대입(브루트포스), 크리덴셜 스터핑, 스팸/악성 트래픽 유발
  • 악성코드/백도어/지속적 접근 수단의 설치·유포
  • 금전 요구, 협박/갈취, 취약점의 판매·재판매, 또는 악용 목적의 행위
  • 관련 법령 위반 또는 제3자 권리 침해

중요: 본 정책은 제보자와 회사 사이의 원칙을 설명하는 것이며, 제3자(예: 외부 서비스 제공자, 타 권리자)가 제기하는 청구까지 회사가 보장할 수는 없습니다. 다만, 본 정책을 준수한 선의의 연구였음을 확인할 필요가 있는 경우, 회사는 가능한 범위에서 협조할 수 있습니다. 또한 법령 또는 수사기관 요청 등 법적 의무가 있는 경우, 회사는 이에 따라 필요한 협조를 할 수 있습니다.

4. 테스트 가이드라인

  • 본인 계정과 테스트용 데이터만 사용
  • 타 사용자의 데이터에 접근/수정/삭제하지 말 것
  • 회사가 수정/패치하기 전까지 취약점 세부정보를 공개/게시/공유하지 말 것(7항 참고)
  • 서비스 가용성에 영향을 줄 수 있는 자동화 스캔/대량 요청 지양
  • DoS/DDoS, 스팸, 무차별 대입(브루트포스) 등 공격 행위 금지

5. 제보 방법

아래 형식으로 이메일을 보내 주세요.

  • 제목: [보안] AI-ERD 취약점 제보
  • 취약점 설명 및 예상 영향
  • 재현 방법 또는 PoC(가능하면 단계별)
  • 영향 받는 URL/엔드포인트, 요청·응답 예시(비밀정보는 마스킹)
  • 회신 가능한 연락처 및 원하는 커뮤니케이션 방식

제보처: [email protected]

(권장: 전용 메일함 [email protected] 운영 시 해당 주소로 교체)

6. 회사의 대응 절차

회사는 제보를 접수하면 내용을 검토하고, 합리적인 기간 내에 회신 및 조치를 위해 노력합니다(일정 보장 아님). 취약점의 심각도, 재현 난이도, 운영 상황에 따라 대응 및 수정 일정은 달라질 수 있습니다.

재현/검증을 위해 추가 정보 제공을 요청드릴 수 있습니다.

7. 조율된 공개(Coordinated Disclosure)

회사의 수정 완료 전까지 취약점 상세 내용은 공개하지 말아 주세요. 공개 시점은 아래 중 하나를 기준으로 조율합니다.

  • 회사가 패치 배포 완료를 확인한 경우, 또는
  • 회사와 제보자가 서면(이메일)으로 공개 일정에 합의한 경우

회사는 통상 90일 이내 조율된 공개를 목표로 하나, 심각도 및 운영상 제약에 따라 기간이 달라질 수 있습니다.

8. 감사(선택)

제보자가 원하시는 경우, 회사는 이메일 등 비공개 방식으로 제보에 대한 감사를 전달할 수 있습니다. 회사는 금전적 보상(버그바운티)을 보장하지 않습니다.

9. 유의사항(법적 고지)

약관(ToS)과의 관계: 본 정책은 AI-ERD 서비스 이용약관의 일반적 금지 조항을 포괄적으로 면제하지 않습니다. 다만, 본 정책의 적용 범위 내에서 본 정책 및 가이드라인을 준수하는 선의의 연구에 한하여 회사는 제한적으로 테스트를 허용(authorized)합니다.

본 정책은 서비스에 대한 어떠한 소유권·접근 권한을 부여하지 않으며, 관련 법령을 위반하는 행위를 허용하지 않습니다. 테스트 및 제보는 모든 관련 법령을 준수해야 합니다.

문의처: 코드라이브(주) — [email protected]

1. Purpose

Codelive Inc. (“we”, “us”) values the security of AI-ERD. We welcome good-faith security research and reports of vulnerabilities so we can keep our users safe.

2. Scope

This policy applies to security vulnerabilities found in:

  • The AI-ERD web application and APIs hosted under ai-erd.com
  • AI-ERD infrastructure and services that we own and operate (including production and open beta environments)

Out of scope (examples):

  • Third-party services (OAuth providers, analytics, monitoring, hosting providers) except where the issue is caused by our integration
  • Social engineering (phishing, vishing), physical attacks, threats/extortion
  • Denial of Service (DoS/DDoS) testing, load testing, or any disruption of service
  • Reports that only describe missing best practices without a demonstrable security impact
  • Issues in user content, weak passwords, or compromised user devices

If you are unsure whether something is in scope, please report it anyway and we will clarify.

3. Safe Harbor (Good-Faith Research)

We consider security research “good faith” when you:

  • Make a best effort to avoid privacy violations, data destruction, and service disruption
  • Only access data that is strictly necessary to demonstrate the issue
  • Stop testing and report promptly once you discover a vulnerability
  • Do not use the vulnerability for malicious purposes

Safe Harbor (Our Position)

When you comply with this policy’s scope and guidelines and act in good faith, we will treat your actions as authorized security testing and, as a general rule, we will not initiate legal action against you solely for the research activity.

Exceptions (Not Covered by Safe Harbor)

Safe harbor may not apply if you engage in, attempt, or cause any of the following:

  • Testing that clearly falls outside the scope defined in this policy
  • Accessing, viewing, modifying, or deleting other users’ data; or collecting/exfiltrating personal or confidential data
  • Service disruption (DoS/DDoS, load testing, excessive automated scanning/requests, or other availability impacts)
  • Brute force attacks, credential stuffing, spam, or generating malicious traffic
  • Installing or distributing malware, backdoors, or persistence mechanisms
  • Extortion, monetary demands, selling/reselling vulnerabilities, or any intent to exploit
  • Violations of applicable law or third-party rights

Important: This policy describes our position between you and us and cannot bind third parties. We cannot guarantee protection against claims by third parties. However, if you follow this policy in good faith, we may, where appropriate, confirm that your research was performed under this policy. We may also comply with lawful requests or obligations (including law enforcement requests) as required.

4. Testing Guidelines

  • Use only your own accounts and test data
  • Do not access, modify, or delete other users’ data
  • Do not share, publish, or disclose vulnerabilities publicly before we have fixed them (see Section 7)
  • Avoid automated scanning that impacts availability
  • Do not attempt DoS/DDoS, spam, or brute force attacks

5. How to Report

Please email us with:

  • Subject: [Security] AI-ERD Vulnerability Report
  • Description of the issue and potential impact
  • Reproduction steps / proof of concept (PoC)
  • Affected URLs/endpoints, request/response samples (redact secrets)
  • Your contact information and preferred method for follow-up

Report to: [email protected]

(Recommended: set up a dedicated mailbox like [email protected] and replace this line if you have it.)

6. Our Response Process

We will review reports and endeavor to respond and take action within a reasonable time (no guaranteed timelines). Response and remediation timing may vary depending on severity, reproducibility, and operational constraints.

We may request additional details to validate or reproduce the issue.

7. Coordinated Disclosure

Please do not publicly disclose details until:

  • We confirm a fix is deployed, or
  • We agree on a disclosure timeline in writing

We typically aim for coordinated disclosure within 90 days, but this may vary based on severity and operational constraints.

8. Acknowledgment (Optional)

If you request it, we may acknowledge your report privately (e.g., by email). We do not guarantee monetary rewards.

9. Legal Notes

Relationship to our Terms: This policy does not generally waive restrictions in the AI-ERD Terms of Service. Limited authorization is provided only for in-scope, good-faith testing that follows this policy and its guidelines.

This policy does not grant permission to act outside the scope of this policy or applicable law. Your testing must comply with all laws and regulations.

Company Contact: Codelive Inc. — [email protected]