메인 콘텐츠로 건너뛰기
Replit에서 앱을 안전하게 빌드하고 게시하는 것은 공동 책임입니다. Replit은 Replit Agent, 플랫폼, 그리고 고객 워크로드가 실행되는 인프라의 보안을 책임집니다. Replit은 합리적인 통제와 안전한 기본값으로 이를 운영하기 위한 조치를 취하며, 애플리케이션과 데이터를 보호하는 데 사용할 수 있는 도구를 제공합니다. 여러분은 애플리케이션의 내용과 Replit이 제공하는 도구를 사용하고 구성하는 것에 대해 책임을 집니다. 이는 의도된 균형입니다. Replit은 여러분이 상상할 수 있는 무엇이든 만들 수 있기를 원하며, 그러한 자유는 특정 결정을 여러분의 손에 맡긴다는 것을 의미합니다. 다음 표는 기존의 클라우드 및 AI 공동 책임 패턴(Microsoft AI SRM, CSA AICM)을 따르는 구조로, ISO/IEC 42001NIST AI RMF를 기반으로 Replit의 공동 책임 모델을 정리한 것입니다.

책임 매트릭스

일반

영역설명책임
서비스 이용약관Replit의 서비스 이용약관 준수.사용자
사고 대응 및 침해 통지Replit은 Incident Response Policy와 계약에 따라 플랫폼 사고에 대응하고 영향을 받은 고객에게 통지합니다. 사용자는 자신의 프로젝트, 애플리케이션 코드, 데이터, 최종 사용자 계정에서 발생한 사고에 대응합니다.Replit(플랫폼)
사용자(앱)
Replit에 취약점 보고하기책임 있는 공개(responsible disclosure) 모델에 따라 플랫폼에서 발견한 문제를 Replit에 알리는 것.Replit(분류 및 수정)
사용자(security@replit.com으로 보고)
플랫폼의 컴플라이언스 인증인증(예: SOC 2 Type II)을 유지하고 고객에게 증거를 제공하는 것.Replit
하위 처리자(Subprocessors)Replit은 플랫폼에서 고객 데이터를 처리하는 하위 처리자를 검증하고 공개합니다. 사용자는 자신의 앱이 사용하는 하위 처리자를 검증하고 공개합니다.Replit(플랫폼)
사용자(앱)

Replit Agent

영역설명책임
코드 생성Replit Agent에 의한 애플리케이션 코드 생성.Replit
코드 검토Agent가 만든 결과물의 정확성, 보안성, 라이선스(그리고 도입한 서드파티 종속성 포함)를 확인하는 것.사용자
Agent 하니스Replit Agent가 사용하는 에이전틱 프레임워크, 메모리 관리, 핵심 도구 등.Replit
인간 개입(Human-in-the-loop)Agent가 제안하는 민감한 작업(배포, 시크릿 변경, 외부 호출)을 승인하는 것.사용자
프롬프팅Replit Agent에게 전달하는 프롬프트와 지시사항.사용자
프롬프트 인젝션 및 신뢰할 수 없는 입력Replit은 하니스를 강화하고 악의적인 프롬프트에 대한 완화책을 추가합니다(예방을 보장하지는 않음). 사용자는 검증되지 않은 외부 콘텐츠를 정제 없이 Agent에 입력하지 않고 출력을 검증해야 합니다.Replit(가드레일)
사용자(입력 위생)
프롬프트 처리 및 모델 상호작용프롬프트와 생성된 코드가 어떻게 기록되고 보관되며, 학습에 사용되는지 여부.Replit(서비스 이용약관데이터 처리 계약을 준수)
Skills / MCPReplit이 검증한 Skills와 MCP 도구는 Replit이 관리합니다. 사용자가 설치한 Skills와 MCP 도구는 검증, 구성, 취소를 사용자가 책임집니다.Replit(자체 제공)
사용자(서드파티)

개발 환경

영역설명책임
워크스페이스 신원 및 접근 관리(계정, MFA, SSO, SCIM)Replit 조직과 워크스페이스에 대한 접근을 보호하는 것.Replit(통제 기능)
사용자(구성)
워크스페이스 감사 로그Replit 워크스페이스에서 누가 무엇을 했는지 기록하는 것.Replit(제공)
사용자(검토)
시크릿 관리항상 Connectors와 Secrets 기능을 사용해 시크릿을 적절히 저장하는 것.사용자
시크릿 저장Replit은 시크릿을 평문으로 저장하거나 기록하지 않습니다.Replit
공유 및 협업Replit은 접근 제어를 시행할 수 있는 도구를 제공합니다. 사용자는 각 앱을 볼 수 있는 사람, 편집할 수 있는 사람, 리믹스할 수 있는 사람, Agent와 상호작용할 수 있는 사람, Connectors를 구성할 수 있는 사람, 시크릿을 볼 수 있는 사람 등을 선택할 책임이 있습니다.Replit(역할 기반 접근 제어)
사용자(구성)
데이터 거주지애플리케이션 개발 데이터가 저장되고 처리되는 위치.Replit(기능 제공)
사용자(선택)
데이터 보관, 삭제, 내보내기데이터가 보관되는 기간과 삭제 또는 내보내기 방식.Replit(메커니즘)
사용자(구성)
애플리케이션 기능 및 정확성애플리케이션의 완성도와 기능성. Replit은 회귀 테스트를 제공할 책임이 있으며, 사용자는 원하는 비즈니스 로직을 명시할 책임이 있습니다.Replit(코드 작성 및 테스트 인프라)
사용자(비즈니스 로직 결정)
ConnectorsReplit은 다른 서비스에 연결할 수 있는 안전한 메커니즘을 제공합니다. 사용자는 서드파티 서비스에서 자신의 자격 증명을 승인, 교체, 취소할 책임이 있습니다.Replit(메커니즘)
사용자(서드파티 자격 증명 및 접근)
개발 런타임운영 체제 및 런타임.Replit
네트워크 보안개발 인스턴스 간 격리.Replit
플랫폼 모니터링Replit 인프라 플릿 모니터링.Replit

게시된 앱

영역설명책임
사용자 관리게시된 앱에 사용자가 로그인하는 방식을 제어하는 것.사용자
사용 정책 / 접근 제어권한에 따라 어떤 사용자가 어떤 리소스나 앱의 부분에 접근할 수 있는지 제어하는 것.사용자
지식재산 / 저작권Agent의 결과물과 애플리케이션이 지식재산권과 저작권을 준수하는지 검토할 책임.사용자
정보 / 데이터애플리케이션이 소비하거나 생성하거나 표시하는 데이터.사용자
개인정보 보호 고지 및 최종 사용자 동의최종 사용자에게 표시되는 개인정보 공개, 쿠키 배너, 동의.사용자
애플리케이션의 규제 준수앱에 적용되는 법률과 규정 준수(예: GDPR, CCPA, PHI, PCI DSS, HIPAA, SOC 2).사용자
앱의 침투 테스트빌드한 애플리케이션에 대한 보안 테스트.사용자
앱에 대한 취약점 공개연구자로부터 앱에 대한 보안 보고를 받고 분류하는 것.사용자
엣지 보호(DDoS 방지 및 WAF)플랫폼 엣지에서의 대규모 및 애플리케이션 계층 공격 완화.Replit
게시된 앱 인프라게시된 앱이 실행되는 위치, 인프라 유지 관리, 플랫폼 취약점 패치 등.Replit
전송 중 및 저장 시 암호화트래픽에 대한 TLS, 플랫폼에 저장된 데이터의 암호화.Replit
애플리케이션 계층 암호화앱 수준 또는 필드 수준 암호화 요구 사항과 연결된 모든 외부 데이터 저장소.사용자
게시 생애주기Replit은 게시된 앱의 공개 범위(Private, Password-protected, Public)를 선택하는 도구를 제공합니다. 사용자는 올바른 공개 범위를 선택할 책임이 있습니다.Replit(메커니즘)
사용자(구성)
취약점 관리Replit은 이미 게시된 앱의 종속성에서 취약점을 탐지하고 알립니다. 사용자는 이를 완화하고 해결합니다.Replit(탐지)
사용자(해결)
로깅 및 모니터링Replit은 플랫폼 가용성과 남용 신호를 모니터링합니다. 사용자는 애플리케이션 수준의 로깅과 모니터링(오류, 비즈니스 이벤트, 사용자 활동)을 책임집니다.Replit(플랫폼)
사용자(앱)
백업 및 복구게시된 앱의 코드와 Replit이 관리하는 데이터베이스 내용의 백업.Replit

책임이 나뉘는 방식

표의 대부분 행은 세 가지 패턴 중 하나를 따릅니다.
  • 메커니즘 대 구성. Replit은 RBAC, 공개 범위 설정, MFA, SSO, 데이터 거주지, 보관 기간과 같은 통제 기능을 제공합니다. 사용자는 어떤 것을 활성화하고 어떻게 구성할지 결정합니다.
  • 탐지 대 해결. Replit은 플랫폼을 감시하며 취약한 종속성, 남용 신호, 플랫폼 이상 징후처럼 볼 수 있는 것을 표시합니다. 사용자는 애플리케이션 내부의 문제를 모니터링하고 해결합니다. 왜냐하면 사용자만이 자신의 맥락에서 “해결됨”이 무엇을 의미하는지 알기 때문입니다.
  • 자체 제공 대 서드파티. Replit이 검증한 Skills, MCP 도구, Connectors는 Replit이 검토합니다. 사용자가 직접 연결하거나 설치하거나 구성하는 것은 무엇이든 사용자가 검증, 구성, 교체, 취소할 책임이 있습니다.
몇몇 행은 오직 사용자의 책임입니다: 사용 정책, 접근 제어, 지식재산권 검토, 최종 사용자 개인정보 보호 고지, 애플리케이션 수준의 침투 테스트. 이들은 오직 사용자만이 알고 있는 맥락에 따라 달라집니다. 다른 행들은 Replit이 관리합니다. 이들은 여러분의 앱이 빌드되고 실행되는 플랫폼 그 자체이기 때문입니다. 이러한 패턴은 의도적으로 반복됩니다. 무엇이든 만들 수 있는 자유가 핵심인 플랫폼에서 책임을 나누는 유일하게 정직한 방법이기 때문입니다.

Replit Agent와 함께 작업하기

Agent가 생성한 코드의 소유자는 여러분이며, 그에 대한 책임도 여러분에게 있습니다. 실제로 이는 몇 가지 습관을 의미합니다.
  1. 배포하기 전에 검토하세요. Agent는 동작하는 코드를 만들지만, “동작한다”와 “정확하다”는 다른 문제입니다. 특히 인증, 데이터 처리, 신뢰 경계를 넘는 모든 것과 관련해 Agent가 작성한 코드를 읽어보세요. Agent에게 테스트를 작성하고 추론 과정을 설명하도록 요청하는 것은 반복 작업 중 회귀를 발견하는 좋은 방법입니다.
  2. 시크릿을 프롬프트에 넣지 마세요. Secrets 기능과 Connectors를 사용하세요. API 키, 토큰, 자격 증명을 채팅창에 붙여넣지 마세요. Agent는 그것들을 사용하기 위해 평문으로 볼 필요가 없으며, 붙여넣는 순간 관리되던 시크릿이 관리되지 않는 시크릿이 됩니다.
  3. 비즈니스 로직과 접근 제어 모델을 설명하세요. 앱의 어떤 기능에 누가 접근할 수 있어야 하는지 Replit Agent에게 알려주세요. 애플리케이션이 전 세계 누구에게나 공개되어서는 안 된다면 Replit의 Private 또는 Password-protected 게시 옵션 중 하나를 선택하세요.
  4. 민감한 작업을 신중하게 승인하세요. Agent가 앱 게시, 시크릿 변경, 외부 호출을 제안할 때, 인간 개입(human-in-the-loop) 단계는 여러분의 몫입니다. 형식적인 클릭이 아니라 실제 검토로 다루세요.

컴플라이언스 및 사고 대응

여러분은 Replit의 서비스 이용약관을 준수할 책임이 있습니다. 또한 자신의 컴플라이언스 및 법적 요구 사항을 이해할 책임도 있습니다. Replit이 컴플라이언스 관점에서 제공하거나 제공하지 않는 것(SOC 2 Type II, 하위 처리자, 인증 등)을 이해하려면 replit.com/security를 방문하세요. Replit 플랫폼에서 취약점을 발견하면 Replit의 책임 있는 공개(responsible disclosure) 프로세스에 따라 security@replit.com으로 보고하세요. 직접 만든 앱에서 취약점을 발견했다면 그것은 여러분이 분류해야 할 문제입니다. 플랫폼 사고는 Replit의 Incident Response Policy에 따라 처리됩니다. 여러분의 애플리케이션, 데이터, 최종 사용자 계정에서 발생한 사고는 여러분이 주도적으로 대응해야 합니다.