Notive OfficeDocs
Platform documentation
Docs/보안과 개인정보
보안

보안과 개인정보

Notive Office는 정적 배포와 로컬 중심 구조를 사용합니다. 서버 저장 위험은 낮지만 브라우저 저장소, XSS, API key, 복제 사이트 피싱에는 주의해야 합니다.

최근 업데이트
2026-07-05
예상 읽기 시간
11분

Notive Office 서버에 저장하지 않는 데이터

  • 사용자 문서 원문
  • AI API key
  • 사용자별 문서 이력
  • 중앙 DB 기반 계정 세션

브라우저에 저장될 수 있는 데이터

데이터저장 위치주의사항
문서 임시본현재 브라우저 로컬 저장소사이트 데이터 삭제 시 사라질 수 있음
프로필 이름현재 브라우저 설정공유 기기에서는 개인정보 노출 가능
AI 제공자/모델 설정현재 브라우저 설정기기별로 다를 수 있음
AI API key기본 sessionStorage, opt-in 시 localStorageXSS와 브라우저 확장 프로그램에 주의

악성 문서와 XSS 위험

Notive Office는 Markdown, HTML 미리보기, 템플릿 XML을 다루므로 악성 HTML이나 링크가 들어온 문서를 주의해야 합니다.

위험한 스크립트가 실행되면 브라우저 저장소에 접근해 문서 원문이나 API key를 노출시킬 수 있으므로, 미리보기와 내보내기 과정에서 위험 태그와 속성은 제한되어야 합니다.

위험 패턴예시기준
script 태그<script>...</script>허용하지 않음
이벤트 핸들러onerror, onclick허용하지 않음
javascript 링크javascript:alert(1)허용하지 않음
iframe/object/embed외부 페이지 삽입기본적으로 허용하지 않음
출처 불명 링크짧은 URL, 유사 도메인공유 전 실제 주소 확인

복제 사이트와 피싱 주의

정적 웹사이트는 화면과 asset을 보고 비슷하게 복제될 수 있습니다. 다른 도메인에서 API key를 입력하도록 유도하는 사이트를 주의해야 합니다.

다른 도메인은 일반적으로 notiveoffice.com의 localStorage를 직접 읽을 수 없지만, 사용자가 가짜 사이트에 key를 입력하면 그 사이트가 key를 탈취할 수 있습니다.

공유 기기에서 사용할 때

  • API key 로컬 저장을 선택하지 않습니다.
  • 작업이 끝나면 API key 삭제를 실행합니다.
  • 중요 문서를 내보낸 뒤 브라우저 다운로드 기록과 사이트 데이터를 정리할지 판단합니다.
  • 시크릿 모드는 탭을 닫으면 데이터가 사라질 수 있으므로 임시 작업에만 사용합니다.
  • 조직 보안 정책이 있는 기기에서는 정책을 우선합니다.

AI 제공자 정책

AI assistant를 실행하면 문서 내용과 요청 문장이 선택한 AI 제공자로 전송됩니다.

Notive Office가 자체 서버에 저장하지 않더라도, 외부 AI 제공자의 API 처리 정책은 별도로 적용됩니다. 회사 문서라면 조직 보안 정책에 맞는지 먼저 확인해야 합니다.

의심스러운 상황 신고

공식 도메인과 다른 Notive Office 유사 사이트, API key 입력을 요구하는 피싱 페이지, 의도하지 않은 외부 링크를 발견하면 관리자에게 알려야 합니다.

신고할 때는 발견한 URL, 접속 시간, 화면 캡처, 입력한 정보 여부를 함께 전달하면 대응이 빨라집니다.

  • 가짜 사이트에 API key를 입력했다면 즉시 제공자 콘솔에서 key를 폐기합니다.
  • 문서 원문을 입력했다면 어떤 정보가 포함됐는지 확인합니다.
  • 브라우저 저장소에 남은 key를 삭제합니다.
  • 공식 도메인에서만 다시 작업합니다.