Notive Office 서버에 저장하지 않는 데이터
- 사용자 문서 원문
- AI API key
- 사용자별 문서 이력
- 중앙 DB 기반 계정 세션
브라우저에 저장될 수 있는 데이터
| 데이터 | 저장 위치 | 주의사항 |
|---|---|---|
| 문서 임시본 | 현재 브라우저 로컬 저장소 | 사이트 데이터 삭제 시 사라질 수 있음 |
| 프로필 이름 | 현재 브라우저 설정 | 공유 기기에서는 개인정보 노출 가능 |
| AI 제공자/모델 설정 | 현재 브라우저 설정 | 기기별로 다를 수 있음 |
| AI API key | 기본 sessionStorage, opt-in 시 localStorage | XSS와 브라우저 확장 프로그램에 주의 |
악성 문서와 XSS 위험
Notive Office는 Markdown, HTML 미리보기, 템플릿 XML을 다루므로 악성 HTML이나 링크가 들어온 문서를 주의해야 합니다.
위험한 스크립트가 실행되면 브라우저 저장소에 접근해 문서 원문이나 API key를 노출시킬 수 있으므로, 미리보기와 내보내기 과정에서 위험 태그와 속성은 제한되어야 합니다.
| 위험 패턴 | 예시 | 기준 |
|---|---|---|
| script 태그 | <script>...</script> | 허용하지 않음 |
| 이벤트 핸들러 | onerror, onclick | 허용하지 않음 |
| javascript 링크 | javascript:alert(1) | 허용하지 않음 |
| iframe/object/embed | 외부 페이지 삽입 | 기본적으로 허용하지 않음 |
| 출처 불명 링크 | 짧은 URL, 유사 도메인 | 공유 전 실제 주소 확인 |
복제 사이트와 피싱 주의
정적 웹사이트는 화면과 asset을 보고 비슷하게 복제될 수 있습니다. 다른 도메인에서 API key를 입력하도록 유도하는 사이트를 주의해야 합니다.
다른 도메인은 일반적으로 notiveoffice.com의 localStorage를 직접 읽을 수 없지만, 사용자가 가짜 사이트에 key를 입력하면 그 사이트가 key를 탈취할 수 있습니다.
AI 제공자 정책
AI assistant를 실행하면 문서 내용과 요청 문장이 선택한 AI 제공자로 전송됩니다.
Notive Office가 자체 서버에 저장하지 않더라도, 외부 AI 제공자의 API 처리 정책은 별도로 적용됩니다. 회사 문서라면 조직 보안 정책에 맞는지 먼저 확인해야 합니다.
의심스러운 상황 신고
공식 도메인과 다른 Notive Office 유사 사이트, API key 입력을 요구하는 피싱 페이지, 의도하지 않은 외부 링크를 발견하면 관리자에게 알려야 합니다.
신고할 때는 발견한 URL, 접속 시간, 화면 캡처, 입력한 정보 여부를 함께 전달하면 대응이 빨라집니다.
- 가짜 사이트에 API key를 입력했다면 즉시 제공자 콘솔에서 key를 폐기합니다.
- 문서 원문을 입력했다면 어떤 정보가 포함됐는지 확인합니다.
- 브라우저 저장소에 남은 key를 삭제합니다.
- 공식 도메인에서만 다시 작업합니다.
