계정을 안전하게 유지하는 방법
학습 내용
클라비요 계정과 데이터를 최대한 안전하게 보호하는 방법을 알아보세요.
커뮤니케이션을 구성하고 역할을 올바르게 할당하는 것은 특히 사이트 트래픽과 브랜드 메시징이 증가할 때 매우 중요합니다.
시작하기 전 안내 사항시작하기 전 안내 사항
검토해야 할 두 가지 중요한 보안 검사가 있습니다:
공개 및 비공개 API 키 보안 점검��공개 및 비공개 API 키 보안 점검
계정의 API 키에 액세스하려면 다음과 같이 하세요:
- 왼쪽 하단 모서리에 있는 조직 이름을 클릭합니다.
- 설정 > API 키를 선택합니다.
사이트 ID라고도 하는 공개 키는 이 페이지의 첫 번째 섹션에 있는 표에 있으며, 비공개 키는 비공개 API 키라고 표시된 두 번째 표에 나열되어 있습니다.
-
공개 API 키
다른 사람들과 공유할 수 있는 API로, 다른 사람들이 API에서 특정 정보를 얻을 수 있도록 합니다. 공개 API 키는 계정 식별자입니다. 클라비요 자바스크립트 라이브러리를 구��성하고 사용할 때는 비공개 API 키가 아닌 공개 API 키를 사용하세요. -
비공개 API 키
데이터를 읽고 민감한 개체(예: 클라비요의 목록)를 조작하는 API 키입니다. 비공개 API 키를 비공개로 유지하는 것이 중요합니다. 비밀번호처럼 취급하여 안전한 곳에 보관하고 절대 공개하지 마세요,
클라비요에서 비공개 API 키는 모두 접두사 "pk_"로 시작하고 그 뒤에 34개의 영숫자가 이어집니다. 예를 들어, 개인 키는 다음과 같이 표시됩니다: pk_abc123def456ghi789jkl0mno123pqrst4.
비공개 API 키를 생성한 후에는 해당 키를 볼 수 없습니다.
공개 API 키 대신 비공개 API 키를 사용할 수 없는 이유는 무엇인가요?
실수로 공개 키 대신 비공개 API 키를 사용하면 악의적인 공격자가 비공개 키를 알아낼 경우 계정이 악용될 수 있습니다. 자바스크립트 내에서 잘못된 API 키를 사용하면 해당 데이터를 성공적으로 수집하거나 활용할 수 없습니다.
모든 클라이언트 측 코드가 공개 API 키를 사용하는지 확인합니다.
클라이언트 측 API 엔드포인트를 호출하는 코드인 Learnq, klOnsite 또는 Klaviyo 객체를 사용하여 사용자 지정 코드를 작성했거나 Klaviyo.js를 수동으로 설치했나요? 위의 항목 중 하나라도 해당하는 경우, 이러한 경우에만 공개 API 키를 사용하고 있는지 확인하는 것이 중요합니다.
사이트의 각 페이지를 사용자 정의 코드로 확인하고 싶을 것입니다. 홈페이지부터 시작할 수 있습니다:
- 웹사이트를 엽니다.
- 마우스 오른쪽 버튼을 클릭하고 페이지 소스 보기를 선택합니다.
- 새 페이지가 열리면 편집 > 찾기 > 찾기...를 선택하고 "pk_" 을 검색합니다.
-
회사 아이디, "토큰" 값 또는 드물게 계정 값으로 개인키가 사용되지 않았는지 확인합니다.
-
비공개 API 키("pk_"로 시작하는 값)를 발견한 경우 아래 섹션에서 비공개 API 키가 노출되었을 때 해야 할 일을 검토하세요.
비공개 API 키가 노출된 경우 어떻게 해야 하나요?
공개 API 키 대신 비공개 API 키를 사용한 경우:
- 비공개 API 키(나중에 필요함)를 기록하고 공개 API 키로 바꿉니다. 이렇게 하면 클라비요 플랫폼 내에서 코드가 예상대로 작동할 수 있습니다.
- 노출된 키를 삭제하고 교체하여 회사 및 고객 데이터가 무단으로 노출되지 않도록 보호하세요.
- 사용자 지정 코드를 포함하여 보유하고 있는 모든 개인 키 통합 및 애플리케이션을 식별합니다.
- 노출된 비공개 API 키를 사용하는 각 통합 및 애플리케이션에 대해 계정 설정에서 비공개 API 키 생성을 선택하여 새 키를 생성합니다.
- 키에 빠른 식별을 위해 의미 있는 레이블을 지정하고 특정 범위를 지정하세요.
- 각 연동 서비스에 대해 고유한 비공개 API 키를 생성한 후 새 비공개 API 키로 연동 서비스를 업데이트합니다.
- 노출된 키를 사용한 모든 연동 서비스가 업데이트되면 노출된 키 위로 마우스를 가져간 다음 삭제를 클릭합니다.
- 삭제 버튼을 선택해도 확인이 이루어지지 않으므로 삭제할 키를 올바르게 선택해야 합니다.
삭제가 완료되면 노출된 개인 키를 통한 무단 액세스로부터 데이터를 보호할 수 있습니다.
API 키 보안에 대한 자세한 내용은 내 계정 API 키 관리에서 확인하세요.
사용자 관리 및 데이터 액세스 점검사용자 관리 및 데이터 액세스 점검
계정의 다양한 기능과 정보에 액세스할 수 있는 사람을 파악하는 것이 중요합니다. 내 계정에 액세스할 수 있는 모든 사용자를 확인합니다:
- 왼쪽 하단의 조직 이름으로 이동합니다.
-
설정을 선택합니다.
계정 내 사용자와 사용자의 액세스 수준을 주기적으로 검토하는 것은 중요한 보안 활동입니다. 계정 보안에 도움이 되는 세 가지 활동이 있습니다:
-
사용자 검토
계정의 모든 사용자를 검토하고 더 이상 액세스가 필요한 사용자를 식별하세요. 더 이상 활동하지 않아야 하는 사용자는 이메일 옆의 X를 선택하여 삭제합니다. 액세스 권한을 제거하는 일반적인 이유는 다음과 같습니다:- 회사 내 역할 변경
- 직원 해고
- 타사 공급업체의 계약 만료.
-
역할 검토
각 사용자에게 적절한 권한이 있는지 확인하고 업무를 수행하는 데 필요한 데이터와 기능에만 액세스할 수 있도록 하세요. 사용자 역할이 액세스할 수 있는 권한에 대한 자세한 내용은 사용자 관리 및 권한으로 이동하세요. -
다단계 인증
다단계인증은 표준 사용자 아이디와 비밀번호 외에 일회용 비밀번호를 요구하여 계정의 보안을 한층 더 강화합니다. 이는 비밀번호 추측 및 피싱 공격으로부터 보호하며 일반적인 보안 모범 사례입니다. 사용자 탭(설정 > 사용자)에서 모든 사용자에 대해 2단계 인증 필요 옵션을 켭니다. 그런 다음 사용자는 계정에 대한 다단계 인증을 아직 구성하지 않은 경우 이를 구성해야 합니다.