Threat Model
이 공개 문서는 보안 세부값을 노출하지 않고, raw value leakage를 막는 검토 경계만 설명한다.
Threat boundary
Earswet threat model의 중심은 단순 데이터 탈취가 아니라, 부적격 candidate value가 actual biofluid value처럼 외부 시스템에 전달되는 것이다. 그러므로 공개 문서에서는 raw route bypass, policy downgrade, adapter spoofing, BLE misuse, evidence inconsistency를 범주 수준으로만 다룬다.
Threat matrix
| Threat | Public control principle | Review question |
|---|---|---|
| Raw route bypass | decision 이후 envelope만 외부 consumer가 사용 | raw access가 별도 권한 필드로 통제되는가? |
| Policy downgrade | marker policy와 rule graph 변경을 release gate로 관리 | 정책 변경 후 회귀 검증이 있는가? |
| Adapter spoofing | vendor, unit, calibration, quality flag semantics 검증 | 미검증 payload가 full value로 승격되지 않는가? |
| BLE misuse | actual characteristic과 non-value/evidence route 분리 | raw access false에서 actual characteristic이 갱신되지 않는가? |
| Evidence inconsistency | 결정 context와 replay context를 같은 review unit으로 유지 | 차단 결정이 사후 재현 가능한가? |
Public exclusion
공개 `/docs`에는 private key, operational credential, runtime evidence store, audit chain dump, partner-specific payload mapping, detailed exploit vector, raw schema dump를 두지 않는다. 해당 자료는 NDA 이후 보안실사 패키지로 분리한다.
이 문서는 “보안 정보를 보여주는 문서”가 아니라 “공개 가능한 보안 경계를 정리한 문서”이다. 따라서 검토자가 이해해야 할 leakage 방지 원칙은 제공하되, 재사용 가능한 내부 방어 상세는 공개하지 않는다.