책임 매트릭스
일반
| 영역 | 설명 | 책임 |
|---|---|---|
| 서비스 이용약관 | Replit의 서비스 이용약관 준수. | 사용자 |
| 사고 대응 및 침해 통지 | Replit은 Incident Response Policy와 계약에 따라 플랫폼 사고에 대응하고 영향을 받은 고객에게 통지합니다. 사용자는 자신의 프로젝트, 애플리케이션 코드, 데이터, 최종 사용자 계정에서 발생한 사고에 대응합니다. | Replit(플랫폼) 사용자(앱) |
| Replit에 취약점 보고하기 | 책임 있는 공개(responsible disclosure) 모델에 따라 플랫폼에서 발견한 문제를 Replit에 알리는 것. | Replit(분류 및 수정) 사용자(security@replit.com으로 보고) |
| 플랫폼의 컴플라이언스 인증 | 인증(예: SOC 2 Type II)을 유지하고 고객에게 증거를 제공하는 것. | Replit |
| 하위 처리자(Subprocessors) | Replit은 플랫폼에서 고객 데이터를 처리하는 하위 처리자를 검증하고 공개합니다. 사용자는 자신의 앱이 사용하는 하위 처리자를 검증하고 공개합니다. | Replit(플랫폼) 사용자(앱) |
Replit Agent
| 영역 | 설명 | 책임 |
|---|---|---|
| 코드 생성 | Replit Agent에 의한 애플리케이션 코드 생성. | Replit |
| 코드 검토 | Agent가 만든 결과물의 정확성, 보안성, 라이선스(그리고 도입한 서드파티 종속성 포함)를 확인하는 것. | 사용자 |
| Agent 하니스 | Replit Agent가 사용하는 에이전틱 프레임워크, 메모리 관리, 핵심 도구 등. | Replit |
| 인간 개입(Human-in-the-loop) | Agent가 제안하는 민감한 작업(배포, 시크릿 변경, 외부 호출)을 승인하는 것. | 사용자 |
| 프롬프팅 | Replit Agent에게 전달하는 프롬프트와 지시사항. | 사용자 |
| 프롬프트 인젝션 및 신뢰할 수 없는 입력 | Replit은 하니스를 강화하고 악의적인 프롬프트에 대한 완화책을 추가합니다(예방을 보장하지는 않음). 사용자는 검증되지 않은 외부 콘텐츠를 정제 없이 Agent에 입력하지 않고 출력을 검증해야 합니다. | Replit(가드레일) 사용자(입력 위생) |
| 프롬프트 처리 및 모델 상호작용 | 프롬프트와 생성된 코드가 어떻게 기록되고 보관되며, 학습에 사용되는지 여부. | Replit(서비스 이용약관 및 데이터 처리 계약을 준수) |
| Skills / MCP | Replit이 검증한 Skills와 MCP 도구는 Replit이 관리합니다. 사용자가 설치한 Skills와 MCP 도구는 검증, 구성, 취소를 사용자가 책임집니다. | Replit(자체 제공) 사용자(서드파티) |
개발 환경
| 영역 | 설명 | 책임 |
|---|---|---|
| 워크스페이스 신원 및 접근 관리(계정, MFA, SSO, SCIM) | Replit 조직과 워크스페이스에 대한 접근을 보호하는 것. | Replit(통제 기능) 사용자(구성) |
| 워크스페이스 감사 로그 | Replit 워크스페이스에서 누가 무엇을 했는지 기록하는 것. | Replit(제공) 사용자(검토) |
| 시크릿 관리 | 항상 Connectors와 Secrets 기능을 사용해 시크릿을 적절히 저장하는 것. | 사용자 |
| 시크릿 저장 | Replit은 시크릿을 평문으로 저장하거나 기록하지 않습니다. | Replit |
| 공유 및 협업 | Replit은 접근 제어를 시행할 수 있는 도구를 제공합니다. 사용자는 각 앱을 볼 수 있는 사람, 편집할 수 있는 사람, 리믹스할 수 있는 사람, Agent와 상호작용할 수 있는 사람, Connectors를 구성할 수 있는 사람, 시크릿을 볼 수 있는 사람 등을 선택할 책임이 있습니다. | Replit(역할 기반 접근 제어) 사용자(구성) |
| 데이터 거주지 | 애플리케이션 개발 데이터가 저장되고 처리되는 위치. | Replit(기능 제공) 사용자(선택) |
| 데이터 보관, 삭제, 내보내기 | 데이터가 보관되는 기간과 삭제 또는 내보내기 방식. | Replit(메커니즘) 사용자(구성) |
| 애플리케이션 기능 및 정확성 | 애플리케이션의 완성도와 기능성. Replit은 회귀 테스트를 제공할 책임이 있으며, 사용자는 원하는 비즈니스 로직을 명시할 책임이 있습니다. | Replit(코드 작성 및 테스트 인프라) 사용자(비즈니스 로직 결정) |
| Connectors | Replit은 다른 서비스에 연결할 수 있는 안전한 메커니즘을 제공합니다. 사용자는 서드파티 서비스에서 자신의 자격 증명을 승인, 교체, 취소할 책임이 있습니다. | Replit(메커니즘) 사용자(서드파티 자격 증명 및 접근) |
| 개발 런타임 | 운영 체제 및 런타임. | Replit |
| 네트워크 보안 | 개발 인스턴스 간 격리. | Replit |
| 플랫폼 모니터링 | Replit 인프라 플릿 모니터링. | Replit |
게시된 앱
| 영역 | 설명 | 책임 |
|---|---|---|
| 사용자 관리 | 게시된 앱에 사용자가 로그인하는 방식을 제어하는 것. | 사용자 |
| 사용 정책 / 접근 제어 | 권한에 따라 어떤 사용자가 어떤 리소스나 앱의 부분에 접근할 수 있는지 제어하는 것. | 사용자 |
| 지식재산 / 저작권 | Agent의 결과물과 애플리케이션이 지식재산권과 저작권을 준수하는지 검토할 책임. | 사용자 |
| 정보 / 데이터 | 애플리케이션이 소비하거나 생성하거나 표시하는 데이터. | 사용자 |
| 개인정보 보호 고지 및 최종 사용자 동의 | 최종 사용자에게 표시되는 개인정보 공개, 쿠키 배너, 동의. | 사용자 |
| 애플리케이션의 규제 준수 | 앱에 적용되는 법률과 규정 준수(예: GDPR, CCPA, PHI, PCI DSS, HIPAA, SOC 2). | 사용자 |
| 앱의 침투 테스트 | 빌드한 애플리케이션에 대한 보안 테스트. | 사용자 |
| 앱에 대한 취약점 공개 | 연구자로부터 앱에 대한 보안 보고를 받고 분류하는 것. | 사용자 |
| 엣지 보호(DDoS 방지 및 WAF) | 플랫폼 엣지에서의 대규모 및 애플리케이션 계층 공격 완화. | Replit |
| 게시된 앱 인프라 | 게시된 앱이 실행되는 위치, 인프라 유지 관리, 플랫폼 취약점 패치 등. | Replit |
| 전송 중 및 저장 시 암호화 | 트래픽에 대한 TLS, 플랫폼에 저장된 데이터의 암호화. | Replit |
| 애플리케이션 계층 암호화 | 앱 수준 또는 필드 수준 암호화 요구 사항과 연결된 모든 외부 데이터 저장소. | 사용자 |
| 게시 생애주기 | Replit은 게시된 앱의 공개 범위(Private, Password-protected, Public)를 선택하는 도구를 제공합니다. 사용자는 올바른 공개 범위를 선택할 책임이 있습니다. | Replit(메커니즘) 사용자(구성) |
| 취약점 관리 | Replit은 이미 게시된 앱의 종속성에서 취약점을 탐지하고 알립니다. 사용자는 이를 완화하고 해결합니다. | Replit(탐지) 사용자(해결) |
| 로깅 및 모니터링 | Replit은 플랫폼 가용성과 남용 신호를 모니터링합니다. 사용자는 애플리케이션 수준의 로깅과 모니터링(오류, 비즈니스 이벤트, 사용자 활동)을 책임집니다. | Replit(플랫폼) 사용자(앱) |
| 백업 및 복구 | 게시된 앱의 코드와 Replit이 관리하는 데이터베이스 내용의 백업. | Replit |
책임이 나뉘는 방식
표의 대부분 행은 세 가지 패턴 중 하나를 따릅니다.- 메커니즘 대 구성. Replit은 RBAC, 공개 범위 설정, MFA, SSO, 데이터 거주지, 보관 기간과 같은 통제 기능을 제공합니다. 사용자는 어떤 것을 활성화하고 어떻게 구성할지 결정합니다.
- 탐지 대 해결. Replit은 플랫폼을 감시하며 취약한 종속성, 남용 신호, 플랫폼 이상 징후처럼 볼 수 있는 것을 표시합니다. 사용자는 애플리케이션 내부의 문제를 모니터링하고 해결합니다. 왜냐하면 사용자만이 자신의 맥락에서 “해결됨”이 무엇을 의미하는지 알기 때문입니다.
- 자체 제공 대 서드파티. Replit이 검증한 Skills, MCP 도구, Connectors는 Replit이 검토합니다. 사용자가 직접 연결하거나 설치하거나 구성하는 것은 무엇이든 사용자가 검증, 구성, 교체, 취소할 책임이 있습니다.
Replit Agent와 함께 작업하기
Agent가 생성한 코드의 소유자는 여러분이며, 그에 대한 책임도 여러분에게 있습니다. 실제로 이는 몇 가지 습관을 의미합니다.- 배포하기 전에 검토하세요. Agent는 동작하는 코드를 만들지만, “동작한다”와 “정확하다”는 다른 문제입니다. 특히 인증, 데이터 처리, 신뢰 경계를 넘는 모든 것과 관련해 Agent가 작성한 코드를 읽어보세요. Agent에게 테스트를 작성하고 추론 과정을 설명하도록 요청하는 것은 반복 작업 중 회귀를 발견하는 좋은 방법입니다.
- 시크릿을 프롬프트에 넣지 마세요. Secrets 기능과 Connectors를 사용하세요. API 키, 토큰, 자격 증명을 채팅창에 붙여넣지 마세요. Agent는 그것들을 사용하기 위해 평문으로 볼 필요가 없으며, 붙여넣는 순간 관리되던 시크릿이 관리되지 않는 시크릿이 됩니다.
- 비즈니스 로직과 접근 제어 모델을 설명하세요. 앱의 어떤 기능에 누가 접근할 수 있어야 하는지 Replit Agent에게 알려주세요. 애플리케이션이 전 세계 누구에게나 공개되어서는 안 된다면 Replit의 Private 또는 Password-protected 게시 옵션 중 하나를 선택하세요.
- 민감한 작업을 신중하게 승인하세요. Agent가 앱 게시, 시크릿 변경, 외부 호출을 제안할 때, 인간 개입(human-in-the-loop) 단계는 여러분의 몫입니다. 형식적인 클릭이 아니라 실제 검토로 다루세요.