gottrix의 보안
gottrix.app은 파일을 귀하의 브라우저에서 100% 로컬로 처리합니다: 변환 코드는 어떠한 외부 서버에도 접근할 수 없으며(Content-Security-Policy에 의해 강제됨), 이로 인해 업로드는 기술적으로 불가능합니다. 전송은 HSTS(2년)를 사용하는 TLS 1.2/1.3, 완전한 보안 헤더 세트, 그리고 독일 Hetzner에서의 호스팅을 통해 이루어집니다. 이 페이지의 모든 주장은 귀하가 직접 검증할 수 있습니다.
제로 업로드 아키텍처: 제거를 통한 보안
일반적인 온라인 변환 서비스는 귀하의 파일을 서버에 업로드하고, 그곳에서 처리한 뒤 결과를 돌려보냅니다 - 이 각 단계가 공격 표면이 됩니다. gottrix는 이 핵심 단계를 완전히 없앱니다: 엔진(이미지, PDF, 오디오, 비디오 등을 위한)은 WebAssembly로 귀하의 브라우저에서 직접 실행됩니다. 전혀 전송되지 않는 것은 도중에 가로챌 수도, 어떤 서버에서도 유출될 수도, 누구에게도 요구될 수도 없습니다.
이는 정책이 아니라 아키텍처로 강제됩니다. 엄격히 분리된 두 영역으로 구성됩니다: 귀하의 파일 바이트를 다루는 코드(엔진과 웹 워커)는 Content-Security-Policy에 의해 자체 출처로 제한되며 네트워크 호출을 전혀 포함하지 않습니다 - 이는 매 빌드마다 자동화된 테스트로 검증됩니다. 귀하의 파일을 전혀 보지 않는 페이지 계층은 문서화된 분석 허용 목록에만 접근할 수 있습니다.
- 엔진과 워커: 네트워크 기본 요소 0개, 외부 출처 없음 - 매 빌드마다 정적으로 검사됩니다.
- 페이지 계층: 외부 요청은 문서화된 분석 허용 목록에만, 파일 바이트는 절대 전송하지 않습니다.
- 업로드 대체 수단 없음: 로컬 처리가 실패하면 정직한 오류 메시지를 받게 됩니다 - 서버를 거치는 우회는 절대 없습니다.
- 오프라인 증거: 첫 방문 이후에는 비행기 모드에서도 도구가 계속 작동합니다 - 아무것도 전송되지 않는다는 가장 강력한 증거입니다.
전송: TLS와 HSTS
웹사이트는 오직 HTTPS로만 제공됩니다 - 최신 암호 스위트와 자동으로 관리되는 인증서를 사용하는 TLS 1.2 및 1.3입니다. HTTP Strict Transport Security(HSTS)는 서브도메인을 포함하여 max-age=63072000(2년)으로 설정되어 있습니다: 이를 통해 브라우저는 이후 모든 방문에서 스스로 HTTPS를 강제합니다. 참고로: 귀하의 파일 내용은 이 연결을 전혀 거치지 않습니다. 귀하의 기기를 벗어나지 않기 때문입니다 - 전송 암호화는 사이트 자체의 전송을 보호합니다.
HTTP 보안 헤더
서버의 모든 응답은 완전한 보안 헤더 세트를 포함합니다. 이 값들은 바람이 아니라 설정입니다: 자동화된 테스트가 헤더 중 하나라도 누락되거나 다를 경우 배포를 중단시킵니다.
| 헤더 및 값 | 효과 |
|---|---|
| Strict-Transport-Security: max-age=63072000; includeSubDomains | 모든 서브도메인을 포함하여 2년 동안 HTTPS를 강제합니다. |
| X-Frame-Options: DENY | 외부 프레임에 사이트를 삽입하는 것을 막습니다(클릭재킹 방지, CSP의 frame-ancestors를 통해 이중으로 보호됩니다). |
| X-Content-Type-Options: nosniff | 브라우저가 콘텐츠 유형을 추측하고 파일을 스크립트로 실행하는 것을 방지합니다. |
| Referrer-Policy: strict-origin-when-cross-origin | 외부 사이트에는 최대한 출처만 전달하며, 전체 URL은 절대 전달하지 않습니다. |
| Permissions-Policy: camera=(), microphone=(), geolocation=(), usb=(), ... | 사이트에 필요하지 않은 12개의 기기 및 센서 API(카메라, 마이크, 위치, USB 등)를 비활성화합니다. 전체 화면 모드만 자체 출처에 대해 허용됩니다. |
| Cross-Origin-Opener-Policy: same-origin | 브라우저 창을 이를 연 외부 사이트로부터 격리합니다. |
Content-Security-Policy 전문
CSP는 제로 업로드 보장 뒤에 있는 기술적 잠금장치입니다. 단일 소스 파일에서 생성되며 바로 그 소스로부터 여기에 실시간으로 표시됩니다 - 15개의 모든 지시문을, 생략 없이:
default-src 'self'script-src 'self' 'wasm-unsafe-eval' 'sha256-CV3S3HJKkjkhiOy3jcZlYxFFZn1MxVO6SmmGkiwHFBA=' https://www.googletagmanager.com https://challenges.cloudflare.comstyle-src 'self' 'unsafe-inline'img-src 'self' data: blob: https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.commedia-src 'self' blob:font-src 'self'connect-src 'self' https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.comworker-src 'self' blob:frame-src 'self' blob: https://challenges.cloudflare.comchild-src 'self' blob:object-src 'none'base-uri 'none'form-action 'self'frame-ancestors 'none'upgrade-insecure-requests
Google CSP Evaluator(2026년 7월 9일 확인): 심각도 높음(High) 발견 사항 0건. 자체 출처 외에 connect-src는 페이지 계층의 문서화된 분석 허용 목록만 허용합니다 - 메타데이터일 뿐, 파일 내용은 절대 아닙니다.
독립적인 검증
공개 출시 시점에 실제 도메인을 대상으로 실행될 세 가지 외부 검토가 확정적으로 계획되어 있습니다: SSL Labs(TLS 구성), Mozilla Observatory(HTTP 보안 상태), securityheaders.com(헤더 완전성). 결과는 스캔이 실제로 실행된 후에만 표시되고 링크됩니다 - gottrix는 원칙적으로 검증되지 않은 인증마크나 등급을 표시하지 않으며, 매 빌드마다 자동화된 테스트가 이를 강제합니다.
호스팅과 데이터 소재지
원본 서버는 독일의 Hetzner Online GmbH가 운영하며 GDPR의 적용을 받습니다. 서버에는 정적 웹사이트만 존재합니다: 사용자 계정도, 파일 내용도, 콘텐츠 데이터베이스도 없습니다. 서버 로그에는 짧은 보관 기간을 가진, 기술적으로 필요한 접근 데이터만 포함되며, Hetzner와의 데이터 처리 계약이 체결되어 있습니다. 파일 처리가 귀하의 브라우저에서 로컬로 이루어지므로, 귀하의 파일 내용은 어차피 이 소재지에 도달하지 않습니다.
통계 및 동의
익명 사용 통계(Consent Mode v2 Advanced를 사용하는 Google Analytics 4)는 모든 신호가 거부로 설정된 상태로 시작됩니다: 귀하의 동의 없이는 통계 쿠키가 설정되지 않으며 식별자도 생성되지 않습니다. 동의하시면 최대 페이지 조회수와 사용된 도구의 식별자만 측정됩니다 - 파일 이름, 파일 크기, 파일 내용은 절대 아닙니다. 모든 세부 사항과 법적 근거는 개인정보 처리방침에 나와 있습니다.
보안에 관한 자주 묻는 질문
gottrix.app은 안전한가요?
그 보안성은 약속이 아니라 아키텍처에 기반합니다: 파일은 오직 귀하의 브라우저에서만 로컬로 처리되며 서버로 전송되는 일이 절대 없습니다 - 엄격한 Content-Security-Policy가 변환 코드의 모든 외부 연결을 금지합니다. 여기에 더해 HSTS를 사용하는 TLS 1.2/1.3, 완전한 보안 헤더 세트, 독일에서의 호스팅이 있습니다. 이 각 항목은 소스 코드, 네트워크 탭, 또는 비행기 모드 테스트를 통해 귀하가 직접 검증할 수 있습니다.
제 파일이 어딘가에 업로드되거나 저장되나요?
아니요. 변환은 전적으로 귀하의 브라우저 메모리 내에서 이루어집니다. 파일 내용을 위한 업로드 엔드포인트도, 서버 측 저장소도 존재하지 않습니다. Content-Security-Policy는 엔진 및 워커 코드가 외부 서버와 연결하는 것을 거부하며, 매 빌드마다 자동화된 테스트가 이를 검증합니다. 탭을 닫으면 데이터가 사라집니다 - 서버 측에서 삭제해야 할 것은 아무것도 없습니다.
gottrix.app은 어떤 암호화를 사용하나요?
웹사이트는 오직 최신 암호 스위트를 사용하는 TLS 1.2 및 1.3을 갖춘 HTTPS로만 제공됩니다. HSTS는 서브도메인을 포함하여 2년 동안 HTTPS를 강제합니다. 귀하의 파일 내용 자체는 어떤 연결도 거치지 않습니다. 귀하의 기기를 절대 벗어나지 않기 때문입니다 - 전송 암호화는 사이트의 전송과 동의 기반의 선택적 사용 메타데이터를 보호합니다.
서버는 어디에서 호스팅되나요?
원본 서버는 GDPR에 따라 독일의 Hetzner Online GmbH가 운영합니다. 서버에는 정적 웹사이트만 존재합니다: 사용자 계정도, 파일 내용도, 콘텐츠 데이터베이스도 없습니다. 처리가 귀하의 브라우저에서 로컬로 이루어지므로, 서버 위치는 귀하의 파일 내용에 있어 아무런 의미가 없습니다 - 어떤 시점에도 도달하지 않습니다.
이 보안 주장을 제가 직접 어떻게 검증할 수 있나요?
전문 지식이 필요 없는 세 가지 방법이 있습니다: 비행기 모드 테스트(도구를 열고, 연결을 끊고, 변환해 보세요 - 계속 작동합니다), 개발자 도구의 네트워크 탭(F12: 변환 중 파일 요청이 없음), 그리고 모든 브라우저가 표시할 수 있는 응답 헤더입니다. 단계별 안내는 검증 페이지에 있습니다. 공개 출시 시점에는 SSL Labs, Mozilla Observatory, securityheaders.com의 외부 스캔이 추가됩니다.
gottrix는 도대체 어떤 데이터를 수집하나요?
귀하의 동의 없이는: 통계 쿠키도, 식별자도 전혀 없으며, 짧은 보관 기간을 가진 기술적으로 필요한 서버 로그만 있습니다. 동의하시면 Google Analytics 4가 페이지 조회수와 사용된 도구의 식별자 같은 집계된 사용량을 측정합니다. 파일 이름, 파일 크기, 파일 내용은 절대 기록되지 않습니다. 완전한 법적 근거와 동의 철회 방법은 개인정보 처리방침에 나와 있습니다.