# Security
LangChain은 로컬 및 원격 파일 시스템, API, 데이터베이스와 같은 다양한 외부 리소스와의 통합을 지원하는 대규모 생태계를 가지고 있습니다. 이러한 통합을 통해 개발자들은 LLM의 힘과 외부 리소스에 접근, 상호 작용, 조작하는 능력을 결합한 다양한 애플리케이션을 만들 수 있습니다.

### Best Practices
이러한 애플리케이션을 구축할 때 개발자들은 좋은 보안 관행을 따라야 합니다:

- 권한 제한: 애플리케이션의 필요에 특화된 범위로 권한을 제한하세요. 너무 광범위하거나 과도한 권한을 부여하면 심각한 보안 취약점을 초래할 수 있습니다. 이러한 취약점을 피하기 위해, 읽기 전용 자격증명을 사용하거나 민감한 리소스에 대한 접근을 금지하고, 적절한 경우 샌드박싱 기술(예: 컨테이너 내부에서 실행)을 사용하는 등의 조치를 고려하세요.

- 잠재적 오용 예상: 인간이 실수할 수 있는 것처럼 대형 언어 모델(LLM)도 실수할 수 있습니다. 할당된 권한에 의해 허용되는 모든 방식으로 시스템 접근이나 자격증명이 사용될 수 있다고 항상 가정하세요. 예를 들어, 데이터베이스 자격증명이 데이터 삭제를 허용하는 경우, 해당 자격증명을 사용할 수 있는 LLM이 실제로 데이터를 삭제할 수 있다고 가정하는 것이 가장 안전합니다.

- 깊이 있는 방어: 어떤 보안 기술도 완벽하지 않습니다. 세심한 조정과 좋은 체인 설계는 LLM이 실수할 확률을 줄일 수 있지만 완전히 제거할 수는 없습니다. 보안을 보장하기 위해 단일 방어층에 의존하기보다는 여러 계층의 보안 접근 방식을 결합하는 것이 가장 좋습니다. 

예를 들어, 읽기 전용 권한과 샌드박싱을 함께 사용하여 LLM이 명시적으로 사용하도록 의도된 데이터에만 접근할 수 있도록 합니다.
이러한 관행은 데이터 손실, 무단 접근, 중요 리소스의 성능이나 가용성 손상 등 다양한 보안 위협으로부터 애플리케이션을 보호하는 데 중요합니다. 따라서, 보안은 개발의 초기 단계부터 고려되어야 하며, 애플리케이션의 전체 생명주기 동안 지속적인 관심이 필요합니다.

위와 같이 조치하지 않을 경우의 위험에는 다음이 포함되지만 이에 국한되지 않습니다:

- 데이터 손상 또는 손실.
- 기밀 정보에 대한 무단 접근.
- 중요 리소스의 성능 또는 가용성 저하.

완화 전략이 포함된 예제 시나리오:

- 사용자가 파일 시스템에 접근 권한을 가진 에이전트에게 삭제되어서는 안 되는 파일을 삭제하거나 민감한 정보를 포함한 파일의 내용을 읽도록 요청할 수 있습니다. 완화하기 위해, 에이전트가 특정 디렉토리만 사용하도록 제한하고 읽거나 쓸 수 있는 파일을 안전한 파일로만 제한하세요. 또한, 에이전트를 컨테이너에서 실행하여 추가로 샌드박싱하는 것을 고려하세요.

- 사용자가 외부 API에 쓰기 권한을 가진 에이전트에게 API에 악의적인 데이터를 쓰거나 해당 API에서 데이터를 삭제하도록 요청할 수 있습니다. 완화하기 위해, 에이전트에게 읽기 전용 API 키를 제공하거나, 이미 그러한 오용에 대해 내성이 있는 엔드포인트만 사용하도록 제한하세요.

- 사용자가 데이터베이스에 접근 권한을 가진 에이전트에게 테이블을 삭제하거나 스키마를 변경하도록 요청할 수 있습니다. 완화하기 위해, 에이전트가 접근해야 하는 테이블에만 자격증명의 범위를 제한하고 읽기 전용 자격증명을 발급하는 것을 고려하세요.

파일 시스템, API, 또는 데이터베이스와 같은 외부 리소스에 접근하는 애플리케이션을 구축하는 경우, 애플리케이션을 어떻게 최선으로 설계하고 보호할 수 있을지 결정하기 위해 회사의 보안 팀과 상의하는 것을 고려하세요. 보안 전략은 단순히 기술적 조치를 넘어서 조직의 정책과 절차에도 일관성 있게 적용되어야 합니다.

취약점 보고
보안 취약점은 security@langchain.dev로 이메일을 통해 보고해 주세요. 이렇게 하면 문제가 신속하게 분류되어 필요에 따라 적절한 조치가 취해질 것입니다. 보안 문제를 효과적으로 관리하는 것은 조직의 정보 보호 능력을 강화하고, 잠재적인 위험을 최소화하는 데 중요한 역할을 합니다. 이메일을 통한 취약점 보고 절차는 문제의 심각성을 평가하고, 필요한 조치를 결정하며, 관련 당사자들에게 적절한 피드백을 제공하는 효율적인 방법을 제공합니다.