공무톡 보안 정책

검증된 공직자만,
익명성은 기본값

공무톡 매칭은 출발선부터 끝까지 안전을 우선합니다. 가입 단계에서 일반인을 구조적으로 차단하고, 프로필·채팅·사진을 다층으로 보호하며, 신고가 들어오면 자동으로 증거를 보전하고 양방향 차단합니다.

7단계 인증최소 정보사진 보호채팅 암호화신고 시스템구조적 방어

§1 검증

검증된 공직자만 입장 — 7단계 인증

정부·공공기관 도메인 보유자만 가입할 수 있습니다. 7단계 검증을 모두 통과해야 매칭에 진입할 수 있어 일반인은 구조적으로 이용이 불가합니다.

01
도메인 화이트리스트
정부·공공기관 도메인 103개+ 보유 여부 확인
02
도메인 형식 검증
이메일 형식·구문 유효성
03
DNS 조회
도메인 실재 여부
04
MX 레코드 조회
메일 수신 가능 도메인 확인
05
SMTP 검증
실제 메일 서버 응답 확인
06
인증 메일 발송
24시간 유효 토큰 + 1회용 링크
07
본인 클릭 인증
메일 수신·클릭 후 매칭 진입 허용

교사는 NEIS 급여명세서 OCR 인증도 가능 — 공직 이메일이 없어도 재직증명을 통한 진입.

§2 데이터 최소화

정보는 익명 단위로 가공됩니다

프로필에 노출되는 모든 항목은 개인 특정이 불가능한 수준으로 가공됩니다. 실명·기관명·세부 주소는 어디에도 표시되지 않습니다.

노출되는 항목 — 모두 가공된 형태

나이
출생년도 비공개
만 나이만
키
예: 170cm 초반
5cm 단위 범위
지역
동·세부주소 비공개
시·군 단위
직렬
예: 교육공무원
카테고리만
근무기관명
학교·관청명 노출 X
완전 비공개
이름
실명 비공개
닉네임

아예 수집하지 않는 정보

×주민등록번호
×상세 주소
×금융정보·계좌
×신용카드
×가족관계증명서

비밀번호는 단방향 해시 처리되어 운영자도 원본을 알 수 없습니다.

§3 사진 보호

프로필 사진 다층 보호

기본은 블러 처리, 쌍방 동의가 있어야만 원본이 공개됩니다. 공개 후에도 OS 단계에서 캡처와 녹화를 차단합니다.

Android — 스크린샷 차단

FLAG_SECURE 적용 — 전체 화면으로 사진을 볼 때 시스템 단계에서 스크린샷이 막힙니다. 녹화 시도도 즉시 감지해 사진을 가립니다.

iOS — 검은 화면 대체

스크린샷·화면 녹화가 시도되면 사진 영역이 검은 화면으로 자동 대체됩니다. 캡처본을 저장해도 사진은 남지 않습니다.

상시 안내 — 사진 화면에는 “사진이 보호되고 있어요” 인디케이터가 항상 노출됩니다.

§4 신고 시스템

부적절 행위 실시간 차단 +
5단계 자동 보호

비속어와 성적 표현은 한·영 정규식 + 변형·우회 패턴 감지로 실시간 차단됩니다. 신고가 접수되면 다섯 단계 보호 조치가 자동으로 작동합니다.

①

최근 500건 채팅 자동 백업

신고 직후 양방향 메시지 증거 보존

②

매칭 즉시 종료

진행 중 매칭 자동 해제

③

양방향 자동 차단

재연결·검색 노출 차단

④

채팅 전량 삭제

백업본 보전 후 사용자 측 메시지 제거

⑤

운영자 즉시 전달

신고 내용 + 백업 자동 큐잉

영구 정지 + 이메일 블랙리스트

악성 사용자는 인증 이메일이 영구 블랙리스트로 등록되어 같은 이메일로 재가입할 수 없습니다.

여성 피해자 우선 보호

신고 즉시 차단 → 증거 자동 보전 → 운영자 우선 검토. 회복 절차에서 반복 노출이 없게 설계.

§5 채팅 암호화

채팅은 봉투+금고로 이중 잠금

전송 중과 저장 시점 모두 암호화됩니다. 대화 당사자 본인 외에는 운영자도 메시지 원문에 접근할 수 없도록 Firebase Security Rules로 강제됩니다.

전송 중 — TLS 1.2+

클라이언트 ↔ 서버 통신 모두 TLS 암호화. 중간 가로채기(MITM) 차단.

저장 시 — AES-256

구글 클라우드 자동 디스크 암호화. 서버 디스크가 분실되어도 평문 노출 X.

본인만 접근

Firebase Security Rules로 대화 당사자 외 모든 접근을 차단. 운영자도 신고 케이스 외에는 조회 불가.

매칭 종료·탈퇴 시 즉시 삭제

관계 종료 트리거 시 백엔드에서 채팅 전량 삭제. 보관 기간 옵션 없음.

§6 해킹 방어

해킹 — 구조적으로 막는다

대형 유출 사고의 4가지 원인 모두 공무톡 구조에 해당하지 않습니다. 보안은 운영 정책이 아니라 시스템 구조로 강제됩니다.

유출 원인	대표 사례	공무톡
자체 서버 취약점	여기어때 · KT · 아이스크림	자체 서버 없음 — 구글 클라우드 위에서 운영, 24시간 보안팀 관리
내부자 유출	카드사 3사 · 쿠팡	1인 운영 — 직원·외주·퇴사자 자체가 없음
직원 PC 감염·피싱	네이트 · 인터파크	사내 네트워크 없음 + 관리자 계정 2단계 인증 필수
API 설계 결함	메타	Firebase Security Rules로 본인 데이터만 접근 — 대량 추출 구조적 차단

자체 서버 취약점

대표 사례 · 여기어때 · KT · 아이스크림

공무톡 · 자체 서버 없음 — 구글 클라우드 위에서 운영, 24시간 보안팀 관리

내부자 유출

대표 사례 · 카드사 3사 · 쿠팡

공무톡 · 1인 운영 — 직원·외주·퇴사자 자체가 없음

직원 PC 감염·피싱

대표 사례 · 네이트 · 인터파크

공무톡 · 사내 네트워크 없음 + 관리자 계정 2단계 인증 필수

API 설계 결함

대표 사례 · 메타

공무톡 · Firebase Security Rules로 본인 데이터만 접근 — 대량 추출 구조적 차단

모든 데이터는 AES-256으로 암호화되어 저장되며, 비밀번호는 단방향 해시 처리되어 운영자도 원본을 알 수 없습니다.

§7 유출 발생 시

만약의 경우, 투명하게

구조적으로 차단했더라도 만일의 경우는 항상 가정합니다. 법정 절차를 명확히 정해두고 알림을 사전 자동화했습니다.

24시간 이내

기관 신고

KISA(한국인터넷진흥원) · 개인정보보호위원회로 자동 통보 절차 수립.

72시간 이내

이용자 통보

영향 받은 이용자 전원에게 사고 내용·범위·대응 조치 직접 안내.

지금 안전하게 시작하기

신원 인증된 공직자만 입장. 완전 무료.

App Store Google Play

공무톡 보안 정책

검증된 공직자만,
익명성은 기본값

7단계 인증최소 정보사진 보호채팅 암호화신고 시스템구조적 방어

§1 검증

검증된 공직자만 입장 — 7단계 인증

정부·공공기관 도메인 보유자만 가입할 수 있습니다. 7단계 검증을 모두 통과해야 매칭에 진입할 수 있어 일반인은 구조적으로 이용이 불가합니다.

01
도메인 화이트리스트
정부·공공기관 도메인 103개+ 보유 여부 확인
02
도메인 형식 검증
이메일 형식·구문 유효성
03
DNS 조회
도메인 실재 여부
04
MX 레코드 조회
메일 수신 가능 도메인 확인
05
SMTP 검증
실제 메일 서버 응답 확인
06
인증 메일 발송
24시간 유효 토큰 + 1회용 링크
07
본인 클릭 인증
메일 수신·클릭 후 매칭 진입 허용

교사는 NEIS 급여명세서 OCR 인증도 가능 — 공직 이메일이 없어도 재직증명을 통한 진입.

§2 데이터 최소화

정보는 익명 단위로 가공됩니다

프로필에 노출되는 모든 항목은 개인 특정이 불가능한 수준으로 가공됩니다. 실명·기관명·세부 주소는 어디에도 표시되지 않습니다.

노출되는 항목 — 모두 가공된 형태

나이
출생년도 비공개
만 나이만
키
예: 170cm 초반
5cm 단위 범위
지역
동·세부주소 비공개
시·군 단위
직렬
예: 교육공무원
카테고리만
근무기관명
학교·관청명 노출 X
완전 비공개
이름
실명 비공개
닉네임

아예 수집하지 않는 정보

×주민등록번호
×상세 주소
×금융정보·계좌
×신용카드
×가족관계증명서

비밀번호는 단방향 해시 처리되어 운영자도 원본을 알 수 없습니다.

§3 사진 보호

프로필 사진 다층 보호

기본은 블러 처리, 쌍방 동의가 있어야만 원본이 공개됩니다. 공개 후에도 OS 단계에서 캡처와 녹화를 차단합니다.

Android — 스크린샷 차단

FLAG_SECURE 적용 — 전체 화면으로 사진을 볼 때 시스템 단계에서 스크린샷이 막힙니다. 녹화 시도도 즉시 감지해 사진을 가립니다.

iOS — 검은 화면 대체

스크린샷·화면 녹화가 시도되면 사진 영역이 검은 화면으로 자동 대체됩니다. 캡처본을 저장해도 사진은 남지 않습니다.

상시 안내 — 사진 화면에는 “사진이 보호되고 있어요” 인디케이터가 항상 노출됩니다.

§4 신고 시스템

부적절 행위 실시간 차단 +
5단계 자동 보호

비속어와 성적 표현은 한·영 정규식 + 변형·우회 패턴 감지로 실시간 차단됩니다. 신고가 접수되면 다섯 단계 보호 조치가 자동으로 작동합니다.

①

최근 500건 채팅 자동 백업

신고 직후 양방향 메시지 증거 보존

②

매칭 즉시 종료

진행 중 매칭 자동 해제

③

양방향 자동 차단

재연결·검색 노출 차단

④

채팅 전량 삭제

백업본 보전 후 사용자 측 메시지 제거

⑤

운영자 즉시 전달

신고 내용 + 백업 자동 큐잉

영구 정지 + 이메일 블랙리스트

악성 사용자는 인증 이메일이 영구 블랙리스트로 등록되어 같은 이메일로 재가입할 수 없습니다.

여성 피해자 우선 보호

신고 즉시 차단 → 증거 자동 보전 → 운영자 우선 검토. 회복 절차에서 반복 노출이 없게 설계.

§5 채팅 암호화

채팅은 봉투+금고로 이중 잠금

전송 중과 저장 시점 모두 암호화됩니다. 대화 당사자 본인 외에는 운영자도 메시지 원문에 접근할 수 없도록 Firebase Security Rules로 강제됩니다.

전송 중 — TLS 1.2+

클라이언트 ↔ 서버 통신 모두 TLS 암호화. 중간 가로채기(MITM) 차단.

저장 시 — AES-256

구글 클라우드 자동 디스크 암호화. 서버 디스크가 분실되어도 평문 노출 X.

본인만 접근

Firebase Security Rules로 대화 당사자 외 모든 접근을 차단. 운영자도 신고 케이스 외에는 조회 불가.

매칭 종료·탈퇴 시 즉시 삭제

관계 종료 트리거 시 백엔드에서 채팅 전량 삭제. 보관 기간 옵션 없음.

§6 해킹 방어

해킹 — 구조적으로 막는다

대형 유출 사고의 4가지 원인 모두 공무톡 구조에 해당하지 않습니다. 보안은 운영 정책이 아니라 시스템 구조로 강제됩니다.

유출 원인	대표 사례	공무톡
자체 서버 취약점	여기어때 · KT · 아이스크림	자체 서버 없음 — 구글 클라우드 위에서 운영, 24시간 보안팀 관리
내부자 유출	카드사 3사 · 쿠팡	1인 운영 — 직원·외주·퇴사자 자체가 없음
직원 PC 감염·피싱	네이트 · 인터파크	사내 네트워크 없음 + 관리자 계정 2단계 인증 필수
API 설계 결함	메타	Firebase Security Rules로 본인 데이터만 접근 — 대량 추출 구조적 차단

자체 서버 취약점

대표 사례 · 여기어때 · KT · 아이스크림

공무톡 · 자체 서버 없음 — 구글 클라우드 위에서 운영, 24시간 보안팀 관리

내부자 유출

대표 사례 · 카드사 3사 · 쿠팡

공무톡 · 1인 운영 — 직원·외주·퇴사자 자체가 없음

직원 PC 감염·피싱

대표 사례 · 네이트 · 인터파크

공무톡 · 사내 네트워크 없음 + 관리자 계정 2단계 인증 필수

API 설계 결함

대표 사례 · 메타

공무톡 · Firebase Security Rules로 본인 데이터만 접근 — 대량 추출 구조적 차단

모든 데이터는 AES-256으로 암호화되어 저장되며, 비밀번호는 단방향 해시 처리되어 운영자도 원본을 알 수 없습니다.

§7 유출 발생 시

만약의 경우, 투명하게

구조적으로 차단했더라도 만일의 경우는 항상 가정합니다. 법정 절차를 명확히 정해두고 알림을 사전 자동화했습니다.

24시간 이내

기관 신고

KISA(한국인터넷진흥원) · 개인정보보호위원회로 자동 통보 절차 수립.

72시간 이내

이용자 통보

영향 받은 이용자 전원에게 사고 내용·범위·대응 조치 직접 안내.

지금 안전하게 시작하기

신원 인증된 공직자만 입장. 완전 무료.

App Store Google Play

검증된 공직자만,익명성은 기본값

검증된 공직자만 입장 — 7단계 인증

정보는 익명 단위로 가공됩니다

프로필 사진 다층 보호

부적절 행위 실시간 차단 + 5단계 자동 보호

채팅은 봉투+금고로 이중 잠금

해킹 — 구조적으로 막는다

만약의 경우, 투명하게

지금 안전하게 시작하기

검증된 공직자만,익명성은 기본값

검증된 공직자만 입장 — 7단계 인증

정보는 익명 단위로 가공됩니다

프로필 사진 다층 보호

부적절 행위 실시간 차단 + 5단계 자동 보호

채팅은 봉투+금고로 이중 잠금

해킹 — 구조적으로 막는다

만약의 경우, 투명하게

지금 안전하게 시작하기

검증된 공직자만,
익명성은 기본값

부적절 행위 실시간 차단 +
5단계 자동 보호

검증된 공직자만,
익명성은 기본값

부적절 행위 실시간 차단 +
5단계 자동 보호