개인정보 처리방침
시행일: 2026년 3월 12일 | 최종 수정: 2026년 3월 12일
유투디아(이하 "회사")는 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 및 「전자상거래 등에서의 소비자보호에 관한 법률」 등 관련 법령을 준수하며, 정보주체의 개인정보를 보호하기 위하여 다음과 같이 개인정보 처리방침을 수립·공개합니다. 본 방침은 개인정보보호위원회 2025년 작성지침을 준거합니다.
제1조 (개인정보의 수집 항목 및 방법)
1. 수집 항목
| 구분 | 항목 |
|---|---|
| 필수 | 이메일, 이름, 비밀번호(해시 저장), 전화번호 |
| 선택 | 사업자등록번호, 사업장 주소, 업종, 대표자명, 선호 마켓플레이스 |
| 자동수집 | IP 주소, 접속기록(접속일시/접속한 URL/브라우저 정보), 쿠키, 서비스 이용기록 |
| 소셜 로그인 | 카카오/네이버/구글 계정 이메일, 프로필 닉네임 |
| 본인인증 | 이름, 생년월일, 성별, 휴대전화번호, CI/DI (포트원 경유) |
2. 수집 방법
- 회원가입 화면, 서비스 이용 중 직접 입력
- 포트원(PortOne) 본인인증 서비스를 통한 수집
- 소셜 로그인(OAuth 2.0)을 통한 수집
- 서비스 이용 과정에서 자동으로 생성·수집 (접속 로그, 쿠키 등)
제2조 (개인정보의 수집·이용 목적)
| 구분 | 이용 목적 |
|---|---|
| 계약이행 | 서비스 제공, 본인확인, 회원자격 유지·관리, 마켓플레이스 API 연동, 재고/주문 관리 |
| 결제/정산 | 유료 구독 서비스 결제 처리, 요금 정산, 환불 처리 |
| 법적 의무 | 접속기록 보관(정보통신망법), 전자상거래 기록 보관(전자상거래법) |
| 마케팅 (선택동의) | 이벤트 안내, 신규서비스 안내, 맞춤형 서비스 제공, 통계·분석 |
제3조 (개인정보의 보유 및 이용 기간)
회사는 법령에 따른 개인정보 보유·이용 기간 또는 정보주체로부터 개인정보를 수집 시에 동의받은 개인정보 보유·이용 기간 내에서 개인정보를 처리·보유합니다.
| 항목 | 보유 기간 | 근거 법령 |
|---|---|---|
| 회원정보 | 회원 탈퇴 시까지 | 개인정보 보호법 |
| 접속기록 | 6개월 | 정보통신망법, 개인정보보호법 시행령 제30조 |
| 전자상거래 거래기록 | 5년 | 전자상거래법 |
| 계약/청약철회 기록 | 5년 | 전자상거래법 |
| 대금결제/재화공급 기록 | 5년 | 전자상거래법 |
| 소비자 불만/분쟁처리 기록 | 3년 | 전자상거래법 |
제4조 (개인정보의 파기 절차 및 방법)
- 파기 절차: 보유 기간이 경과하거나 처리 목적이 달성된 개인정보는 지체 없이 파기합니다. 법령에 의해 보존이 필요한 경우, 별도의 데이터베이스(DB)로 옮겨 해당 기간 경과 후 파기합니다.
- 파기 방법:
- 전자적 파일: 복원이 불가능한 방법으로 영구 삭제
- 종이 문서: 분쇄기로 분쇄하거나 소각
- 암호화된 데이터: 암호키 파기를 통한 복원 불가 조치
- 접속기록 자동 파기: 6개월이 경과한 접속기록은 자동화된 배치 프로세스를 통해 주기적으로 파기합니다.
제5조 (개인정보의 제3자 제공)
회사는 정보주체의 개인정보를 제1조(수집·이용 목적)에서 명시한 범위 내에서만 처리하며, 정보주체의 동의, 법률의 특별한 규정 등 「개인정보 보호법」 제17조 및 제18조에 해당하는 경우에만 개인정보를 제3자에게 제공합니다.
현재 개인정보를 제3자에게 제공하고 있지 않습니다. 향후 제3자 제공이 필요한 경우, 별도의 동의를 받고 본 방침을 업데이트합니다.
제6조 (개인정보 처리 위탁)
회사는 원활한 서비스 제공을 위해 다음과 같이 개인정보 처리업무를 위탁하고 있습니다.
| 수탁업체 | 위탁 업무 |
|---|---|
| Supabase Inc. | 데이터베이스 호스팅 및 인증 서비스 |
| Vercel Inc. | 웹 애플리케이션 호스팅 |
| 토스페이먼츠 | 결제 처리 |
| 포트원(PortOne) | 본인인증 서비스 |
| Resend Inc. | 이메일 발송 (인증번호, 알림) |
| CoolSMS (주식회사 누리고) | SMS/LMS 발송 (인증번호) |
위탁 계약 시 개인정보가 안전하게 관리될 수 있도록 관련 법령에 따른 필요한 사항을 규정하고 있습니다.
제7조 (정보주체의 권리·의무)
정보주체는 회사에 대해 언제든지 다음 각 호의 개인정보 보호 관련 권리를 행사할 수 있습니다.
- 개인정보 열람 요구
- 오류 등이 있을 경우 정정 요구
- 개인정보 삭제 요구
- 개인정보 처리 정지 요구
- 개인정보 이동 요구 (개인정보 보호법 제35조의2)
권리 행사는 서비스 내 설정 메뉴, 이메일(support@u2dia.com), 또는 고객센터를 통해 할 수 있으며, 회사는 지체 없이 조치합니다.
정보주체가 개인정보의 오류 등에 대한 정정 또는 삭제를 요구한 경우, 회사는 정정 또는 삭제를 완료할 때까지 당해 개인정보를 이용하거나 제공하지 않습니다.
제8조 (개인정보의 안전성 확보조치)
회사는 개인정보의 안전성 확보를 위해 다음과 같은 기술적·관리적·물리적 조치를 취하고 있습니다.
1. 기술적 조치
- 비밀번호: bcrypt (salt factor 12)로 단방향 해시 저장 — 원문 복원 불가
- 전화번호, 사업자등록번호, 주소: AES-256-GCM 알고리즘으로 양방향 암호화 저장 — 매 암호화마다 랜덤 IV 생성, Auth Tag로 무결성 검증
- 검색용 해시: 전화번호/사업자등록번호 검색 시 SHA-256 해시값으로 비교 (원문 노출 없이 검색 가능)
- 접근 통제: JWT 기반 인증 + 2중 보안 미들웨어 (Edge Middleware + API Route 검증)
- 마켓플레이스 API 키: AES-256-GCM으로 필드별 개별 암호화, 마스터 키는 환경변수에서 로드
- 전송 구간 암호화: TLS 1.2+ (HTTPS) 적용, HSTS 헤더 설정
- 보안 헤더: CSP, X-Frame-Options(frame-ancestors none), Permissions-Policy 적용
2. 관리적 조치
- 개인정보 접근 권한을 최소한으로 제한 (역할 기반 접근 통제 — RBAC)
- 접속기록 최소 6개월 보관 및 위·변조 방지
- 암호화 마스터 키 주기적 로테이션 정책 운영
3. 물리적 조치
- 클라우드 인프라(Supabase, Vercel)의 SOC 2 Type II 인증 데이터센터 활용
- 데이터베이스 접근은 서비스 서버를 통해서만 가능 (직접 접근 차단)
제9조 (개인정보 보호책임자)
회사는 개인정보 처리에 관한 업무를 총괄해서 책임지고, 개인정보 처리와 관련한 정보주체의 불만처리 및 피해구제를 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.
- 상호: U2DIA (유투디아)
- 성명: 유투디아 대표
- 직책: 개인정보 보호책임자 (CPO)
- 이메일: support@u2dia.com
- 통신판매업신고번호: 제2026-인천서구-1080호
정보주체는 서비스를 이용하면서 발생한 모든 개인정보 보호 관련 문의, 불만처리, 피해구제 등에 관한 사항을 개인정보 보호책임자에게 문의할 수 있습니다. 회사는 정보주체의 문의에 대해 지체 없이 답변 및 처리해드리겠습니다.
권익 침해 구제 기관
- 개인정보 침해신고센터 (한국인터넷진흥원): privacy.kisa.or.kr / (국번없이) 118
- 개인정보 분쟁조정위원회: www.kopico.go.kr / 1833-6972
- 대검찰청 사이버수사과: www.spo.go.kr / (국번없이) 1301
- 경찰청 사이버수사국: ecrm.police.go.kr / (국번없이) 182
제10조 (고지의 의무)
이 개인정보 처리방침은 2026년 3월 12일부터 적용됩니다. 법령, 정책 또는 보안 기술의 변경에 따라 내용의 추가, 삭제 및 수정이 있을 경우에는 변경사항의 시행 7일 전부터 서비스 공지사항을 통하여 고지할 것입니다.