솔루션

회사 소개

블로그

EN

라이브 데모

로그인

KO

Live Demo

개인정보처리방침

시행일: 2026년 3월 11일

Wondermove Inc.(이하 "회사")는 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 등 관련 법령에 따라 이용자의 개인정보를 보호하고, 이와 관련한 고충을 신속하게 처리하기 위하여 다음과 같이 개인정보처리방침을 수립·공개합니다.

제1조 (수집하는 개인정보 항목 및 수집 방법)

이용자는 개인정보 수집·이용에 동의하지 않을 권리가 있으며, 아래 필수 항목 동의 거부 시 회원가입 또는 서비스 제공이 제한될 수 있습니다. 선택 항목 동의 거부 시에도 기본 서비스 이용은 가능합니다.

1. 필수 수집 항목

수집 시점

수집 항목

수집 목적

법적 근거

회원가입

이메일 주소, 비밀번호(bcrypt 해시), 이름(닉네임)

계정 생성, 본인 식별, 서비스 이용

정보통신망법 제22조

워크스페이스 생성

워크스페이스명, 조직명, 업종 정보

서비스 환경 구성, AI 에이전트 최적화

정보통신망법 제22조

서비스 이용

AI 대화 내용(이용자 입력 메시지 및 AI 에이전트 응답), 에이전트 설정 데이터(Soul.md), 업로드 파일

AI 서비스 제공, 대화 기록 관리

정보통신망법 제22조

자동 수집

접속 IP, 브라우저 정보(User-Agent), 접속 일시, 서비스 이용 기록, 디바이스 정보, 로그인 시도 횟수 및 계정 잠금 상태

보안 감사, 부정 이용 방지, 서비스 개선

정보통신망법 제22조, 통신비밀보호법

2. 선택 수집 항목

수집 시점

수집 항목

수집 목적

법적 근거

MFA 설정

TOTP 시크릿(AES-256-GCM 암호화), 복구 코드(bcrypt 해시)

2단계 인증, 계정 보안 강화

개인정보 보호법 제15조

SMS 인증

휴대전화 번호

SMS 알림 발송, 서비스 완료 통지

개인정보 보호법 제15조

API 키 생성

API 키 식별 정보(접두사, 해시 저장)

프로그래매틱 서비스 접근

개인정보 보호법 제15조

외부 LLM API 키 입력

API 키 암호화 저장값(AES-256-GCM), 연결된 LLM 제공사 식별자 (예: openai, anthropic, google, openrouter)

고객이 선택한 외부 LLM 서비스와 AI 에이전트 연결

개인정보 보호법 제15조

유료 결제

구독 식별 정보(구독 ID, 플랜 유형) — 카드 정보는 Polar.sh가 직접 처리

구독 상태 관리, 서비스 제공

전자상거래법 제6조

🔑 외부 LLM API 키 처리 원칙

고객은 에이전트 구매 후 서비스 내 설정 화면에서 ChatGPT(OpenAI), Claude(Anthropic), Gemini(Google), OpenRouter 등 외부 LLM 서비스의 API 키를 직접 입력합니다.  • 입력된 API 키는 즉시 AES-256-GCM으로 암호화되어 회사 서버에 저장되며, 복호화는 에이전트 실행 시에만 이루어집니다. • 회사는 API 키 자체를 평문으로 열람하거나 외부에 전달하지 않습니다. • API 키는 해당 고객의 에이전트 실행 목적으로만 사용되며, 제3자에게 공유되지 않습니다. • API 키의 유효성, 사용 한도, 비용은 해당 LLM 제공사와 고객 간의 계약에 따르며, 회사는 해당 사항에 대해 책임을 지지 않습니다.

3. 수집 방법

  • 회원가입 및 서비스 이용 과정에서 이용자가 직접 입력
  • 서비스 이용 과정에서 자동 생성·수집 (쿠키, 접속 로그, 감사 로그 등)
  • 에이전트 설정 화면에서 이용자가 직접 외부 LLM API 키 입력 (선택)
  • 고객센터 문의 과정에서 이메일 등을 통해 수집

제3조 (개인정보의 제3자 제공)

회사는 원칙적으로 이용자의 동의 없이 개인정보를 외부에 제공하지 않습니다. 다만, 다음의 경우에 한하여 제공됩니다:

1. AI 모델 서비스 제공사 — 회사가 직접 운영하는 연동 (서비스 제공에 필수)

회사가 기본 제공하는 AI 기능 운영을 위해 아래 제공사에 대화 내용이 전송됩니다.

제공받는 자

소재국

제공 항목

제공 목적

보유 기간

학습 이용

Anthropic, PBC

미국

AI 대화 입력 내용 (이용자 메시지, 대화 컨텍스트)

Claude 모델 AI 응답 생성

API 처리 후 30일 이내 삭제

API 이용 시 학습 제외(opt-out 적용)

OpenAI, Inc.

미국

AI 대화 입력 내용

GPT 모델 AI 응답 생성

API 처리 후 30일 이내 삭제

API 이용 시 학습 제외(opt-out 적용)

Google LLC

미국

AI 대화 입력 내용 (이용자 메시지, 대화 컨텍스트)

Gemini 모델 AI 응답 생성

API 처리 후 삭제

API 이용 시 학습 제외(opt-out 적용)

2. 고객이 직접 입력한 외부 LLM API 키를 통한 데이터 전송

⚠️ 고객 선택에 의한 제3자 전송

고객이 에이전트에 외부 LLM API 키를 직접 입력하여 에이전트를 실행하는 경우, 해당 에이전트의 대화 내용(이용자 메시지, 시스템 프롬프트 등)은 고객이 선택한 LLM 제공사 서버로 전송됩니다. 이는 고객의 명시적 선택 및 서비스 이용계약에 근거한 처리입니다. 회사는 해당 LLM 제공사의 데이터 처리 방침에 대해 책임을 지지 않으며, 이용자는 해당 LLM 제공사의 개인정보처리방침을 반드시 확인하시기 바랍니다.

LLM 제공사

소재국

전송 항목

전송 목적

참고 약관 URL

OpenAI, Inc. (ChatGPT)

미국

에이전트 대화 입력 내용, 시스템 프롬프트

GPT 계열 모델 응답 생성

openai.com/policies/terms-of-use

Anthropic, PBC (Claude)

미국

에이전트 대화 입력 내용, 시스템 프롬프트

Claude 계열 모델 응답 생성

anthropic.com/legal/commercial-terms

Google LLC (Gemini)

미국

에이전트 대화 입력 내용, 시스템 프롬프트

Gemini 계열 모델 응답 생성

ai.google.dev/gemini-api/terms

OpenRouter, Inc.

미국

에이전트 대화 입력 내용, 시스템 프롬프트, 선택한 모델 ID

다양한 LLM 라우팅 및 응답 생성

openrouter.ai/privacy

기타 고객 선택 LLM

고객 선택에 따라 상이

에이전트 대화 입력 내용, 시스템 프롬프트

해당 LLM 서비스 응답 생성

각 제공사 정책 참조

※ 고객이 API 키를 입력하지 않은 경우, 해당 LLM 제공사로의 데이터 전송은 발생하지 않습니다.

※ 고객은 에이전트 설정 화면에서 API 키를 삭제하여 해당 LLM 제공사로의 데이터 전송을 언제든지 중단할 수 있습니다.

3. 개인정보 처리 위탁

회사는 서비스 제공을 위해 다음과 같이 개인정보 처리를 위탁합니다:

수탁자

소재국

위탁 항목

위탁 업무

보호 조치

Amazon Web Services, Inc.

미국 (서울 리전 우선)

서비스 데이터 전반 (DB, 파일, 로그)

클라우드 인프라 운영

SCC, AES-256 암호화, SOC 2, ISO 27001

Resend, Inc.

미국

이메일 주소

이메일 알림 발송 (가입 확인, 비밀번호 재설정 등)

DPA, TLS

Solapi (주식회사 누리고)

대한민국

휴대전화 번호

SMS 알림 발송

개인정보 처리위탁 계약

Polar Software, Inc.

미국

결제 정보 (카드 정보, 청구 이메일, 구독 정보)

결제 처리, 세금 계산 및 청구서 발행 (MoR)

PCI DSS, DPA, SCC

회사는 위탁 계약 시 「개인정보 보호법」 제26조에 따라 위탁 업무 수행 목적 외 개인정보 처리 금지, 기술적·관리적 보호 조치, 위탁 업무의 목적 및 범위 등을 문서로 명시하고, 수탁자가 개인정보를 안전하게 처리하는지 관리·감독합니다.

4. 법적 요구에 의한 제공

법원의 영장, 수사기관의 적법한 절차(「형사소송법」, 「통신비밀보호법」 등)에 따른 요청이 있는 경우, 관련 법령에 따라 최소한의 범위에서 제공할 수 있습니다. 이 경우 회사는 법적으로 허용되는 범위 내에서 이용자에게 통지합니다.

제4조 (개인정보의 보관 기간 및 파기)

법원의 영장, 수사기관의 적법한 절차(「형사소송법」, 「통신비밀보호법」 등)에 따른 요청이 있는 경우, 관련 법령에 따라 최소한의 범위에서 제공할 수 있습니다. 이 경우 회사는 법적으로 허용되는 범위 내에서 이용자에게 통지합니다.

1. 서비스 이용 기간 중 보관

항목

보관 기간

근거

계정 정보 (이메일, 이름)

회원 탈퇴 시까지

서비스 제공 계약

비밀번호 (bcrypt 해시)

회원 탈퇴 시까지

인증

AI 대화 기록

생성일로부터 1년 또는 이용자 삭제 시

서비스 제공

업로드 파일 (첨부파일)

이용자 삭제 시 또는 탈퇴 후 30일 내 삭제

서비스 제공

외부 LLM API 키 (암호화 저장)

이용자가 삭제하거나 회원 탈퇴 시까지. 탈퇴 후 30일 유예 후 영구 삭제

고객 선택에 의한 서비스 제공

감사 로그 (접속 기록 포함)

90일 (3개월)

보안 감사, 통신비밀보호법 제15조의2

서비스 운영 로그

90일

서비스 안정성

MFA 시크릿

MFA 해제 또는 회원 탈퇴 시

2단계 인증

로그인 시도 횟수/잠금 상태

잠금 해제 또는 회원 탈퇴 시

보안

2. 법정 의무 보관

항목

보관 기간

근거

계약·청약 철회 기록

5년

전자상거래법 제6조

결제·공급 기록

5년

전자상거래법 제6조

소비자 불만·분쟁 기록

3년

전자상거래법 제6조

접속 로그 (로그인 기록)

3개월 (90일)

통신비밀보호법 제15조의2

표시·광고 기록

6개월

전자상거래법 제6조

3. 파기 절차 및 방법

  1. 회원 탈퇴 시: 탈퇴 요청 후 30일간 복구 유예 기간 동안 데이터를 보관하며, 유예 기간 경과 후 영구 파기합니다. 이용자가 유예 기간 중 즉시 파기를 요청하는 경우 지체없이 파기합니다.
  2. 외부 LLM API 키: 이용자가 에이전트 설정에서 삭제 요청 시 즉시 파기(암호화된 저장값 삭제)합니다. 회원 탈퇴 시 30일 유예 후 자동 파기됩니다.
  3. 법정 의무 보관 정보는 별도의 데이터베이스로 이전하여 보관 후, 기간 만료 시 파기합니다.
  4. 전자적 파일: 복구 불가능한 방법(덮어쓰기, 암호화 키 폐기 등)으로 영구 삭제
  5. S3 파일: 버킷 내 해당 이용자의 파일 전수 삭제
  6. 자동 파기: 감사 로그, 운영 로그 등은 보관 기간 경과 시 자동 일괄 삭제됩니다.

제5조 (개인정보의 안전성 확보 조치)

회사는 「개인정보 보호법」 제29조 및 「개인정보의 안전성 확보조치 기준」(개인정보보호위원회 고시)에 따라 다음의 기술적·관리적·물리적 보호 조치를 취합니다:

1. 기술적 조치

조치 항목

세부 내용

비밀번호 암호화

bcrypt 단방향 해시 알고리즘으로 저장 (솔트 포함). 평문 비밀번호는 저장하지 않음

외부 LLM API 키 암호화

AES-256-GCM 대칭키 암호화 저장. 복호화는 에이전트 실행 시에만 수행되며, 실행 후 즉시 메모리에서 제거

MFA 시크릿 암호화

AES-256-GCM 대칭키 암호화 저장 (전용 키 관리)

전송 구간 암호화

TLS 1.2 이상을 통한 모든 데이터 전송 암호화

저장 데이터 암호화

데이터베이스 및 파일 스토리지 AES-256 암호화

접근 통제

역할 기반 접근 제어(RBAC), 최소 권한 원칙 적용

조직 간 데이터 격리

고객사별 데이터 완전 분리 — 다른 고객사 데이터에 접근 불가

감사 로그

관리자 활동 전수 기록, 민감정보 자동 마스킹 처리

API 키 보안

API 키 해시 저장, 접두사만 노출, 생성 시 1회만 표시

세션 관리

JWT 기반 인증, 토큰 만료 관리, 로그인 실패 시 계정 잠금

인프라 보안

복수 가용 영역 분산 운영, 고가용성 아키텍처

조직 간 데이터 격리

고객사별 데이터 완전 분리 — 다른 고객사 데이터에 접근 불가

2. 관리적 조치

  • 개인정보 접근 권한을 업무 수행에 필요한 최소한의 인원으로 제한
  • 개인정보 처리 직원에 대한 정기적인 보안 교육 실시
  • 개인정보 처리 시스템에 대한 접근 기록 보관 및 점검
  • 정기적인 보안 취약점 점검 및 침투 테스트 수행

3. 물리적 조치

  • 클라우드 인프라(AWS) 활용으로 물리적 서버에 대한 직접 접근 차단
  • AWS 데이터센터의 SOC 2, ISO 27001 등 국제 인증 기반 물리 보안

제6조 (이용자의 권리 및 행사 방법)

이용자(또는 법정대리인)는 언제든지 다음의 개인정보 열람, 정정, 삭제, 처리정지 요구 및 개인정보 전송요구 등의 권리를 행사할 수 있습니다:

  1. 열람 요구권: 본인의 개인정보 처리 현황 및 내역을 열람할 수 있습니다.
  2. 정정·삭제 요구권: 부정확하거나 불완전한 개인정보의 정정 또는 삭제를 요구할 수 있습니다. 외부 LLM API 키는 에이전트 설정 화면에서 직접 삭제할 수 있습니다.
  3. 처리 정지 요구권: 개인정보의 처리 정지를 요구할 수 있습니다.
  4. 동의 철회권: 개인정보 수집·이용에 대한 동의를 철회할 수 있습니다. 단, 필수 항목에 대한 동의를 철회하는 경우 서비스 이용이 제한되며, 이는 이용계약 해지로 처리될 수 있습니다.
  5. 이동권: 본인의 개인정보를 구조화되고 기계 판독 가능한 형태로 전송받을 수 있습니다 (서비스 내 내보내기 기능 제공).

행사 방법

  • 서비스 내 설정 메뉴: 프로필 수정, 계정 삭제, 데이터 내보내기(Export), 외부 LLM API 키 삭제
  • 이메일: privacy@wondermove.net
  • 회사는 요청 접수 후 10영업일 이내에 처리하고 결과를 통지합니다.
  • 본 서비스는 만 18세 이상 기업 고객 전용입니다. 만 18세 미만은 이용 대상이 아닙니다.

제7조 (개인정보의 자동 수집 장치 — 쿠키)

  1. 회사는 다음과 같이 쿠키를 사용합니다:

쿠키 유형

목적

만료 시간

속성

필수 여부

Access Token (JWT)

로그인 인증 및 세션 유지

15분

HttpOnly, Secure, SameSite=Strict

필수

Refresh Token

Access Token 갱신

7일

HttpOnly, Secure, SameSite=Strict

필수

CSRF Token

CSRF 공격 방지

세션 종료 시

Secure, SameSite=Strict

필수

  1. 회사는 광고·마케팅 목적의 제3자 추적 쿠키를 사용하지 않습니다. Google Analytics 등 외부 분석 도구는 사용하지 않습니다.
  2. 이용자는 웹 브라우저 설정을 통해 쿠키의 저장을 거부하거나 삭제할 수 있습니다. 다만, 인증 관련 필수 쿠키를 거부하는 경우 로그인이 불가능하여 서비스 이용에 제한이 있을 수 있습니다.

제8조 (개인정보의 국외 이전)

회사는 서비스 제공을 위해 이용자의 개인정보를 국외로 이전합니다. 「개인정보 보호법」 제28조의8에 따른 국외 이전 세부 사항은 다음과 같습니다:

※ 모든 국외 이전은 HTTPS(TLS 1.2 이상) 암호화 채널을 통한 실시간 전송 방식으로 이루어집니다.

1. 회사가 직접 운영하는 국외 이전

이전받는 자

소재국

이전 항목

이전 목적

보유 기간

보호 조치

Anthropic, PBC

privacy@anthropic.com

미국

AI 대화 입력 내용

Claude 모델 API 호출

API 처리 후 30일 이내

SCC, DPA

OpenAI, Inc. dpo@openai.com

미국

AI 대화 입력 내용

GPT 모델 API 호출

API 처리 후 30일 이내

SCC, DPA

Google LLC support.google.com/policies

미국

AI 대화 입력 내용

Gemini 모델 API 호출

API 처리 후 삭제

SCC, DPA

Amazon Web Services, Inc.

미국 (서울 리전 우선)

서비스 데이터 전반

클라우드 인프라

서비스 이용 기간

SCC, AES-256, SOC 2

Resend, Inc.

미국

이메일 주소

이메일 알림 발송

발송 완료 후 삭제

DPA, TLS

Polar Software, Inc.

미국

결제 관련 정보

결제 처리 (MoR)

결제 완료 후 법정 보관

PCI DSS, SCC

2. 고객이 선택한 외부 LLM API 키에 의한 국외 이전

⚠️ 고객 선택에 의한 국외 이전 안내

고객이 에이전트에 외부 LLM API 키를 직접 입력하여 에이전트를 실행하는 경우, 해당 LLM 제공사 서버(주로 미국 소재)로 대화 내용이 이전됩니다. 이는 고객의 명시적 선택 및 서비스 이용계약에 근거한 이전이며, 개인정보 보호법 제28조의8 제1항 제2호(계약의 체결 및 이행에 필요한 경우)에 해당합니다. 각 제공사 연락처: OpenAI(dpo@openai.com), Anthropic(privacy@anthropic.com), Google(support.google.com/policies), OpenRouter(privacy@openrouter.ai)

이전받는 자

소재국

이전 항목

이전 목적

보유 기간

OpenAI, Inc.

미국

에이전트 대화 입력, 시스템 프롬프트

GPT 계열 모델 응답 생성

각사 정책 참조 (최대 30일)

Anthropic, PBC

미국

에이전트 대화 입력, 시스템 프롬프트

Claude 계열 모델 응답 생성

각사 정책 참조 (최대 30일)

Google LLC

미국

에이전트 대화 입력, 시스템 프롬프트

Gemini 계열 모델 응답 생성

각사 정책 참조

OpenRouter, Inc.

미국

에이전트 대화 입력, 시스템 프롬프트, 선택한 모델 ID

다양한 LLM 라우팅 및 응답 생성

OpenRouter 정책 참조

기타 고객 선택 LLM

고객 선택에 따라 상이

에이전트 대화 입력, 시스템 프롬프트

해당 LLM 서비스 응답 생성

각사 정책 참조

※ 고객은 에이전트 설정 화면에서 API 키를 삭제함으로써 해당 LLM 제공사로의 국외 이전을 언제든지 중단할 수 있습니다.

※ 회사는 국외 이전 시 「개인정보 보호법」에서 요구하는 보호 조치(표준계약조항 체결, 암호화 등)를 취하며, 이전받는 자가 개인정보를 안전하게 처리하도록 관리·감독합니다.

제9조 (개인정보 보호책임자 및 담당 부서)

구분

개인정보 보호책임자

개인정보 보호 담당 부서

성명/부서

장재원

CA연구소

직위

연구소장

연락처

privacy@wondermove.net

privacy@wondermove.net

이용자는 서비스 이용 중 발생하는 모든 개인정보 보호 관련 문의, 불만 처리, 피해 구제 등에 관한 사항을 개인정보 보호책임자 및 담당 부서에 문의할 수 있습니다. 회사는 이용자의 문의에 대해 지체 없이(최대 10영업일 이내) 답변 및 처리합니다.

제10조 (개인정보처리방침의 변경)

  1. 본 개인정보처리방침은 법령, 정책, 보안 기술 또는 서비스 변경에 따라 수정될 수 있습니다.
  2. 변경 시 변경 내용, 변경 사유, 시행일을 서비스 내 공지사항 및 이메일을 통해 시행일 7일 전부터 공지합니다. 다만, 이용자의 권리에 중대한 변경이 있는 경우 30일 전부터 공지합니다.
  3. 이전 버전의 개인정보처리방침은 서비스 내에서 확인할 수 있도록 보관합니다.

제11조 (권익 침해 구제 방법)

이용자는 다음 기관에 개인정보 침해에 대한 피해 구제, 상담 등을 문의할 수 있습니다:

기관명

웹사이트

전화번호

개인정보침해 신고센터 (한국인터넷진흥원)

privacy.kisa.or.kr

118

개인정보 분쟁조정위원회

www.kopico.go.kr

1833-6972

대검찰청 사이버수사과

www.spo.go.kr

1301

경찰청 사이버안전국

ecrm.police.go.kr

182

부칙

1.   본 개인정보처리방침은 2026년 4월 9일부터 시행합니다.

Privacy Policy

Terms of Service

South Korea

Headquarters / Billing Entity / Engineering & Operations

4F, 7-21, Gangnam-daero 27-gil, Seocho-gu, Seoul, Republic of Korea (06752)

Business Registration Number: 518-81-01644

Online Sales Registration Numberer: 2026-서울서초-1251

CEO: TAEWON KIM

Phone Number: 02-579-0323

WONDERMOVE Inc.

Singapore

APAC Business Development

8 Marina view, #39-04, Asia Square Tower 1, Singapore (018960)

HYPERKUBE TECHNOLOGIES PTE. LTD.

ClawPod is operated by WONDERMOVE Inc., a company registered in the Republic of Korea (Business Registration Number: 518-81-01644). Payments and subscriptions are processed by WONDERMOVE Inc. through Polar Software, Inc. as the Merchant of Record.

© 2025 wondermove.

솔루션

회사 소개

블로그

EN

라이브 데모

로그인

개인정보처리방침

시행일: 2026년 3월 11일

Wondermove Inc.(이하 "회사")는 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 등 관련 법령에 따라 이용자의 개인정보를 보호하고, 이와 관련한 고충을 신속하게 처리하기 위하여 다음과 같이 개인정보처리방침을 수립·공개합니다.

제1조 (수집하는 개인정보 항목 및 수집 방법)

이용자는 개인정보 수집·이용에 동의하지 않을 권리가 있으며, 아래 필수 항목 동의 거부 시 회원가입 또는 서비스 제공이 제한될 수 있습니다. 선택 항목 동의 거부 시에도 기본 서비스 이용은 가능합니다.

1. 필수 수집 항목

수집 시점

수집 항목

수집 목적

법적 근거

회원가입

이메일 주소, 비밀번호(bcrypt 해시), 이름(닉네임)

계정 생성, 본인 식별, 서비스 이용

정보통신망법 제22조

워크스페이스 생성

워크스페이스명, 조직명, 업종 정보

서비스 환경 구성, AI 에이전트 최적화

정보통신망법 제22조

서비스 이용

AI 대화 내용(이용자 입력 메시지 및 AI 에이전트 응답), 에이전트 설정 데이터(Soul.md), 업로드 파일

AI 서비스 제공, 대화 기록 관리

정보통신망법 제22조

자동 수집

접속 IP, 브라우저 정보(User-Agent), 접속 일시, 서비스 이용 기록, 디바이스 정보, 로그인 시도 횟수 및 계정 잠금 상태

보안 감사, 부정 이용 방지, 서비스 개선

정보통신망법 제22조, 통신비밀보호법

2. 선택 수집 항목

수집 시점

수집 항목

수집 목적

법적 근거

MFA 설정

TOTP 시크릿(AES-256-GCM 암호화), 복구 코드(bcrypt 해시)

2단계 인증, 계정 보안 강화

개인정보 보호법 제15조

SMS 인증

휴대전화 번호

SMS 알림 발송, 서비스 완료 통지

개인정보 보호법 제15조

API 키 생성

API 키 식별 정보(접두사, 해시 저장)

프로그래매틱 서비스 접근

개인정보 보호법 제15조

외부 LLM API 키 입력

API 키 암호화 저장값(AES-256-GCM), 연결된 LLM 제공사 식별자 (예: openai, anthropic, google, openrouter)

고객이 선택한 외부 LLM 서비스와 AI 에이전트 연결

개인정보 보호법 제15조

유료 결제

구독 식별 정보(구독 ID, 플랜 유형) — 카드 정보는 Polar.sh가 직접 처리

구독 상태 관리, 서비스 제공

전자상거래법 제6조

🔑 외부 LLM API 키 처리 원칙

고객은 에이전트 구매 후 서비스 내 설정 화면에서 ChatGPT(OpenAI), Claude(Anthropic), Gemini(Google), OpenRouter 등 외부 LLM 서비스의 API 키를 직접 입력합니다.  • 입력된 API 키는 즉시 AES-256-GCM으로 암호화되어 회사 서버에 저장되며, 복호화는 에이전트 실행 시에만 이루어집니다. • 회사는 API 키 자체를 평문으로 열람하거나 외부에 전달하지 않습니다. • API 키는 해당 고객의 에이전트 실행 목적으로만 사용되며, 제3자에게 공유되지 않습니다. • API 키의 유효성, 사용 한도, 비용은 해당 LLM 제공사와 고객 간의 계약에 따르며, 회사는 해당 사항에 대해 책임을 지지 않습니다.

3. 수집 방법

  • 회원가입 및 서비스 이용 과정에서 이용자가 직접 입력
  • 서비스 이용 과정에서 자동 생성·수집 (쿠키, 접속 로그, 감사 로그 등)
  • 에이전트 설정 화면에서 이용자가 직접 외부 LLM API 키 입력 (선택)
  • 고객센터 문의 과정에서 이메일 등을 통해 수집

제3조 (개인정보의 제3자 제공)

회사는 원칙적으로 이용자의 동의 없이 개인정보를 외부에 제공하지 않습니다. 다만, 다음의 경우에 한하여 제공됩니다:

1. AI 모델 서비스 제공사 — 회사가 직접 운영하는 연동 (서비스 제공에 필수)

회사가 기본 제공하는 AI 기능 운영을 위해 아래 제공사에 대화 내용이 전송됩니다.

제공받는 자

소재국

제공 항목

제공 목적

보유 기간

학습 이용

Anthropic, PBC

미국

AI 대화 입력 내용 (이용자 메시지, 대화 컨텍스트)

Claude 모델 AI 응답 생성

API 처리 후 30일 이내 삭제

API 이용 시 학습 제외(opt-out 적용)

OpenAI, Inc.

미국

AI 대화 입력 내용

GPT 모델 AI 응답 생성

API 처리 후 30일 이내 삭제

API 이용 시 학습 제외(opt-out 적용)

Google LLC

미국

AI 대화 입력 내용 (이용자 메시지, 대화 컨텍스트)

Gemini 모델 AI 응답 생성

API 처리 후 삭제

API 이용 시 학습 제외(opt-out 적용)

2. 고객이 직접 입력한 외부 LLM API 키를 통한 데이터 전송

⚠️ 고객 선택에 의한 제3자 전송

고객이 에이전트에 외부 LLM API 키를 직접 입력하여 에이전트를 실행하는 경우, 해당 에이전트의 대화 내용(이용자 메시지, 시스템 프롬프트 등)은 고객이 선택한 LLM 제공사 서버로 전송됩니다. 이는 고객의 명시적 선택 및 서비스 이용계약에 근거한 처리입니다. 회사는 해당 LLM 제공사의 데이터 처리 방침에 대해 책임을 지지 않으며, 이용자는 해당 LLM 제공사의 개인정보처리방침을 반드시 확인하시기 바랍니다.

LLM 제공사

소재국

전송 항목

전송 목적

참고 약관 URL

OpenAI, Inc. (ChatGPT)

미국

에이전트 대화 입력 내용, 시스템 프롬프트

GPT 계열 모델 응답 생성

openai.com/policies/terms-of-use

Anthropic, PBC (Claude)

미국

에이전트 대화 입력 내용, 시스템 프롬프트

Claude 계열 모델 응답 생성

anthropic.com/legal/commercial-terms

Google LLC (Gemini)

미국

에이전트 대화 입력 내용, 시스템 프롬프트

Gemini 계열 모델 응답 생성

ai.google.dev/gemini-api/terms

OpenRouter, Inc.

미국

에이전트 대화 입력 내용, 시스템 프롬프트, 선택한 모델 ID

다양한 LLM 라우팅 및 응답 생성

openrouter.ai/privacy

기타 고객 선택 LLM

고객 선택에 따라 상이

에이전트 대화 입력 내용, 시스템 프롬프트

해당 LLM 서비스 응답 생성

각 제공사 정책 참조

※ 고객이 API 키를 입력하지 않은 경우, 해당 LLM 제공사로의 데이터 전송은 발생하지 않습니다.

※ 고객은 에이전트 설정 화면에서 API 키를 삭제하여 해당 LLM 제공사로의 데이터 전송을 언제든지 중단할 수 있습니다.

3. 개인정보 처리 위탁

회사는 서비스 제공을 위해 다음과 같이 개인정보 처리를 위탁합니다:

수탁자

소재국

위탁 항목

위탁 업무

보호 조치

Amazon Web Services, Inc.

미국 (서울 리전 우선)

서비스 데이터 전반 (DB, 파일, 로그)

클라우드 인프라 운영

SCC, AES-256 암호화, SOC 2, ISO 27001

Resend, Inc.

미국

이메일 주소

이메일 알림 발송 (가입 확인, 비밀번호 재설정 등)

DPA, TLS

Solapi (주식회사 누리고)

대한민국

휴대전화 번호

SMS 알림 발송

개인정보 처리위탁 계약

Polar Software, Inc.

미국

결제 정보 (카드 정보, 청구 이메일, 구독 정보)

결제 처리, 세금 계산 및 청구서 발행 (MoR)

PCI DSS, DPA, SCC

회사는 위탁 계약 시 「개인정보 보호법」 제26조에 따라 위탁 업무 수행 목적 외 개인정보 처리 금지, 기술적·관리적 보호 조치, 위탁 업무의 목적 및 범위 등을 문서로 명시하고, 수탁자가 개인정보를 안전하게 처리하는지 관리·감독합니다.

4. 법적 요구에 의한 제공

법원의 영장, 수사기관의 적법한 절차(「형사소송법」, 「통신비밀보호법」 등)에 따른 요청이 있는 경우, 관련 법령에 따라 최소한의 범위에서 제공할 수 있습니다. 이 경우 회사는 법적으로 허용되는 범위 내에서 이용자에게 통지합니다.

제4조 (개인정보의 보관 기간 및 파기)

법원의 영장, 수사기관의 적법한 절차(「형사소송법」, 「통신비밀보호법」 등)에 따른 요청이 있는 경우, 관련 법령에 따라 최소한의 범위에서 제공할 수 있습니다. 이 경우 회사는 법적으로 허용되는 범위 내에서 이용자에게 통지합니다.

1. 서비스 이용 기간 중 보관

항목

보관 기간

근거

계정 정보 (이메일, 이름)

회원 탈퇴 시까지

서비스 제공 계약

비밀번호 (bcrypt 해시)

회원 탈퇴 시까지

인증

AI 대화 기록

생성일로부터 1년 또는 이용자 삭제 시

서비스 제공

업로드 파일 (첨부파일)

이용자 삭제 시 또는 탈퇴 후 30일 내 삭제

서비스 제공

외부 LLM API 키 (암호화 저장)

이용자가 삭제하거나 회원 탈퇴 시까지. 탈퇴 후 30일 유예 후 영구 삭제

고객 선택에 의한 서비스 제공

감사 로그 (접속 기록 포함)

90일 (3개월)

보안 감사, 통신비밀보호법 제15조의2

서비스 운영 로그

90일

서비스 안정성

MFA 시크릿

MFA 해제 또는 회원 탈퇴 시

2단계 인증

로그인 시도 횟수/잠금 상태

잠금 해제 또는 회원 탈퇴 시

보안

2. 법정 의무 보관

항목

보관 기간

근거

계약·청약 철회 기록

5년

전자상거래법 제6조

결제·공급 기록

5년

전자상거래법 제6조

소비자 불만·분쟁 기록

3년

전자상거래법 제6조

접속 로그 (로그인 기록)

3개월 (90일)

통신비밀보호법 제15조의2

표시·광고 기록

6개월

전자상거래법 제6조

3. 파기 절차 및 방법

  1. 회원 탈퇴 시: 탈퇴 요청 후 30일간 복구 유예 기간 동안 데이터를 보관하며, 유예 기간 경과 후 영구 파기합니다. 이용자가 유예 기간 중 즉시 파기를 요청하는 경우 지체없이 파기합니다.
  2. 외부 LLM API 키: 이용자가 에이전트 설정에서 삭제 요청 시 즉시 파기(암호화된 저장값 삭제)합니다. 회원 탈퇴 시 30일 유예 후 자동 파기됩니다.
  3. 법정 의무 보관 정보는 별도의 데이터베이스로 이전하여 보관 후, 기간 만료 시 파기합니다.
  4. 전자적 파일: 복구 불가능한 방법(덮어쓰기, 암호화 키 폐기 등)으로 영구 삭제
  5. S3 파일: 버킷 내 해당 이용자의 파일 전수 삭제
  6. 자동 파기: 감사 로그, 운영 로그 등은 보관 기간 경과 시 자동 일괄 삭제됩니다.

제5조 (개인정보의 안전성 확보 조치)

회사는 「개인정보 보호법」 제29조 및 「개인정보의 안전성 확보조치 기준」(개인정보보호위원회 고시)에 따라 다음의 기술적·관리적·물리적 보호 조치를 취합니다:

1. 기술적 조치

조치 항목

세부 내용

비밀번호 암호화

bcrypt 단방향 해시 알고리즘으로 저장 (솔트 포함). 평문 비밀번호는 저장하지 않음

외부 LLM API 키 암호화

AES-256-GCM 대칭키 암호화 저장. 복호화는 에이전트 실행 시에만 수행되며, 실행 후 즉시 메모리에서 제거

MFA 시크릿 암호화

AES-256-GCM 대칭키 암호화 저장 (전용 키 관리)

전송 구간 암호화

TLS 1.2 이상을 통한 모든 데이터 전송 암호화

저장 데이터 암호화

데이터베이스 및 파일 스토리지 AES-256 암호화

접근 통제

역할 기반 접근 제어(RBAC), 최소 권한 원칙 적용

조직 간 데이터 격리

고객사별 데이터 완전 분리 — 다른 고객사 데이터에 접근 불가

감사 로그

관리자 활동 전수 기록, 민감정보 자동 마스킹 처리

API 키 보안

API 키 해시 저장, 접두사만 노출, 생성 시 1회만 표시

세션 관리

JWT 기반 인증, 토큰 만료 관리, 로그인 실패 시 계정 잠금

인프라 보안

복수 가용 영역 분산 운영, 고가용성 아키텍처

조직 간 데이터 격리

고객사별 데이터 완전 분리 — 다른 고객사 데이터에 접근 불가

2. 관리적 조치

  • 개인정보 접근 권한을 업무 수행에 필요한 최소한의 인원으로 제한
  • 개인정보 처리 직원에 대한 정기적인 보안 교육 실시
  • 개인정보 처리 시스템에 대한 접근 기록 보관 및 점검
  • 정기적인 보안 취약점 점검 및 침투 테스트 수행

3. 물리적 조치

  • 클라우드 인프라(AWS) 활용으로 물리적 서버에 대한 직접 접근 차단
  • AWS 데이터센터의 SOC 2, ISO 27001 등 국제 인증 기반 물리 보안

제6조 (이용자의 권리 및 행사 방법)

이용자(또는 법정대리인)는 언제든지 다음의 개인정보 열람, 정정, 삭제, 처리정지 요구 및 개인정보 전송요구 등의 권리를 행사할 수 있습니다:

  1. 열람 요구권: 본인의 개인정보 처리 현황 및 내역을 열람할 수 있습니다.
  2. 정정·삭제 요구권: 부정확하거나 불완전한 개인정보의 정정 또는 삭제를 요구할 수 있습니다. 외부 LLM API 키는 에이전트 설정 화면에서 직접 삭제할 수 있습니다.
  3. 처리 정지 요구권: 개인정보의 처리 정지를 요구할 수 있습니다.
  4. 동의 철회권: 개인정보 수집·이용에 대한 동의를 철회할 수 있습니다. 단, 필수 항목에 대한 동의를 철회하는 경우 서비스 이용이 제한되며, 이는 이용계약 해지로 처리될 수 있습니다.
  5. 이동권: 본인의 개인정보를 구조화되고 기계 판독 가능한 형태로 전송받을 수 있습니다 (서비스 내 내보내기 기능 제공).

행사 방법

  • 서비스 내 설정 메뉴: 프로필 수정, 계정 삭제, 데이터 내보내기(Export), 외부 LLM API 키 삭제
  • 이메일: privacy@wondermove.net
  • 회사는 요청 접수 후 10영업일 이내에 처리하고 결과를 통지합니다.
  • 본 서비스는 만 18세 이상 기업 고객 전용입니다. 만 18세 미만은 이용 대상이 아닙니다.

제7조 (개인정보의 자동 수집 장치 — 쿠키)

  1. 회사는 다음과 같이 쿠키를 사용합니다:

쿠키 유형

목적

만료 시간

속성

필수 여부

Access Token (JWT)

로그인 인증 및 세션 유지

15분

HttpOnly, Secure, SameSite=Strict

필수

Refresh Token

Access Token 갱신

7일

HttpOnly, Secure, SameSite=Strict

필수

CSRF Token

CSRF 공격 방지

세션 종료 시

Secure, SameSite=Strict

필수

  1. 회사는 광고·마케팅 목적의 제3자 추적 쿠키를 사용하지 않습니다. Google Analytics 등 외부 분석 도구는 사용하지 않습니다.
  2. 이용자는 웹 브라우저 설정을 통해 쿠키의 저장을 거부하거나 삭제할 수 있습니다. 다만, 인증 관련 필수 쿠키를 거부하는 경우 로그인이 불가능하여 서비스 이용에 제한이 있을 수 있습니다.

제8조 (개인정보의 국외 이전)

회사는 서비스 제공을 위해 이용자의 개인정보를 국외로 이전합니다. 「개인정보 보호법」 제28조의8에 따른 국외 이전 세부 사항은 다음과 같습니다:

※ 모든 국외 이전은 HTTPS(TLS 1.2 이상) 암호화 채널을 통한 실시간 전송 방식으로 이루어집니다.

1. 회사가 직접 운영하는 국외 이전

이전받는 자

소재국

이전 항목

이전 목적

보유 기간

보호 조치

Anthropic, PBC

privacy@anthropic.com

미국

AI 대화 입력 내용

Claude 모델 API 호출

API 처리 후 30일 이내

SCC, DPA

OpenAI, Inc. dpo@openai.com

미국

AI 대화 입력 내용

GPT 모델 API 호출

API 처리 후 30일 이내

SCC, DPA

Google LLC support.google.com/policies

미국

AI 대화 입력 내용

Gemini 모델 API 호출

API 처리 후 삭제

SCC, DPA

Amazon Web Services, Inc.

미국 (서울 리전 우선)

서비스 데이터 전반

클라우드 인프라

서비스 이용 기간

SCC, AES-256, SOC 2

Resend, Inc.

미국

이메일 주소

이메일 알림 발송

발송 완료 후 삭제

DPA, TLS

Polar Software, Inc.

미국

결제 관련 정보

결제 처리 (MoR)

결제 완료 후 법정 보관

PCI DSS, SCC

2. 고객이 선택한 외부 LLM API 키에 의한 국외 이전

⚠️ 고객 선택에 의한 국외 이전 안내

고객이 에이전트에 외부 LLM API 키를 직접 입력하여 에이전트를 실행하는 경우, 해당 LLM 제공사 서버(주로 미국 소재)로 대화 내용이 이전됩니다. 이는 고객의 명시적 선택 및 서비스 이용계약에 근거한 이전이며, 개인정보 보호법 제28조의8 제1항 제2호(계약의 체결 및 이행에 필요한 경우)에 해당합니다. 각 제공사 연락처: OpenAI(dpo@openai.com), Anthropic(privacy@anthropic.com), Google(support.google.com/policies), OpenRouter(privacy@openrouter.ai)

이전받는 자

소재국

이전 항목

이전 목적

보유 기간

OpenAI, Inc.

미국

에이전트 대화 입력, 시스템 프롬프트

GPT 계열 모델 응답 생성

각사 정책 참조 (최대 30일)

Anthropic, PBC

미국

에이전트 대화 입력, 시스템 프롬프트

Claude 계열 모델 응답 생성

각사 정책 참조 (최대 30일)

Google LLC

미국

에이전트 대화 입력, 시스템 프롬프트

Gemini 계열 모델 응답 생성

각사 정책 참조

OpenRouter, Inc.

미국

에이전트 대화 입력, 시스템 프롬프트, 선택한 모델 ID

다양한 LLM 라우팅 및 응답 생성

OpenRouter 정책 참조

기타 고객 선택 LLM

고객 선택에 따라 상이

에이전트 대화 입력, 시스템 프롬프트

해당 LLM 서비스 응답 생성

각사 정책 참조

※ 고객은 에이전트 설정 화면에서 API 키를 삭제함으로써 해당 LLM 제공사로의 국외 이전을 언제든지 중단할 수 있습니다.

※ 회사는 국외 이전 시 「개인정보 보호법」에서 요구하는 보호 조치(표준계약조항 체결, 암호화 등)를 취하며, 이전받는 자가 개인정보를 안전하게 처리하도록 관리·감독합니다.

제9조 (개인정보 보호책임자 및 담당 부서)

구분

개인정보 보호책임자

개인정보 보호 담당 부서

성명/부서

장재원

CA연구소

직위

연구소장

연락처

privacy@wondermove.net

privacy@wondermove.net

이용자는 서비스 이용 중 발생하는 모든 개인정보 보호 관련 문의, 불만 처리, 피해 구제 등에 관한 사항을 개인정보 보호책임자 및 담당 부서에 문의할 수 있습니다. 회사는 이용자의 문의에 대해 지체 없이(최대 10영업일 이내) 답변 및 처리합니다.

제10조 (개인정보처리방침의 변경)

  1. 본 개인정보처리방침은 법령, 정책, 보안 기술 또는 서비스 변경에 따라 수정될 수 있습니다.
  2. 변경 시 변경 내용, 변경 사유, 시행일을 서비스 내 공지사항 및 이메일을 통해 시행일 7일 전부터 공지합니다. 다만, 이용자의 권리에 중대한 변경이 있는 경우 30일 전부터 공지합니다.
  3. 이전 버전의 개인정보처리방침은 서비스 내에서 확인할 수 있도록 보관합니다.

제11조 (권익 침해 구제 방법)

이용자는 다음 기관에 개인정보 침해에 대한 피해 구제, 상담 등을 문의할 수 있습니다:

기관명

웹사이트

전화번호

개인정보침해 신고센터 (한국인터넷진흥원)

privacy.kisa.or.kr

118

개인정보 분쟁조정위원회

www.kopico.go.kr

1833-6972

대검찰청 사이버수사과

www.spo.go.kr

1301

경찰청 사이버안전국

ecrm.police.go.kr

182

부칙

1.   본 개인정보처리방침은 2026년 4월 9일부터 시행합니다.

Privacy Policy

Terms of Service

South Korea

Headquarters / Billing Entity / Engineering & Operations

4F, 7-21, Gangnam-daero 27-gil, Seocho-gu, Seoul, Republic of Korea (06752)

Business Registration Number: 518-81-01644

Online Sales Registration Numberer: 2026-서울서초-1251

CEO: TAEWON KIM

Phone Number: 02-579-0323

주식회사 원더무브 (WONDERMOVE Inc.)

Singapore

APAC Business Development

8 Marina view, #39-04, Asia Square Tower 1, Singapore (018960)

HYPERKUBE TECHNOLOGIES PTE. LTD.

ClawPod is operated by WONDERMOVE Inc., a company registered in the Republic of Korea (Business Registration Number: 518-81-01644). Payments and subscriptions are processed by WONDERMOVE Inc. through Polar Software, Inc. as the Merchant of Record.

© 2025 wondermove.

솔루션

회사 소개

블로그

EN

라이브 데모

로그인

개인정보처리방침

시행일: 2026년 3월 11일

Wondermove Inc.(이하 "회사")는 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 등 관련 법령에 따라 이용자의 개인정보를 보호하고, 이와 관련한 고충을 신속하게 처리하기 위하여 다음과 같이 개인정보처리방침을 수립·공개합니다.

제1조 (수집하는 개인정보 항목 및 수집 방법)

이용자는 개인정보 수집·이용에 동의하지 않을 권리가 있으며, 아래 필수 항목 동의 거부 시 회원가입 또는 서비스 제공이 제한될 수 있습니다. 선택 항목 동의 거부 시에도 기본 서비스 이용은 가능합니다.

1. 필수 수집 항목

수집 시점

수집 항목

수집 목적

법적 근거

회원가입

이메일 주소, 비밀번호(bcrypt 해시), 이름(닉네임)

계정 생성, 본인 식별, 서비스 이용

정보통신망법 제22조

워크스페이스 생성

워크스페이스명, 조직명, 업종 정보

서비스 환경 구성, AI 에이전트 최적화

정보통신망법 제22조

서비스 이용

AI 대화 내용(이용자 입력 메시지 및 AI 에이전트 응답), 에이전트 설정 데이터(Soul.md), 업로드 파일

AI 서비스 제공, 대화 기록 관리

정보통신망법 제22조

자동 수집

접속 IP, 브라우저 정보(User-Agent), 접속 일시, 서비스 이용 기록, 디바이스 정보, 로그인 시도 횟수 및 계정 잠금 상태

보안 감사, 부정 이용 방지, 서비스 개선

정보통신망법 제22조, 통신비밀보호법

2. 선택 수집 항목

수집 시점

수집 항목

수집 목적

법적 근거

MFA 설정

TOTP 시크릿(AES-256-GCM 암호화), 복구 코드(bcrypt 해시)

2단계 인증, 계정 보안 강화

개인정보 보호법 제15조

SMS 인증

휴대전화 번호

SMS 알림 발송, 서비스 완료 통지

개인정보 보호법 제15조

API 키 생성

API 키 식별 정보(접두사, 해시 저장)

프로그래매틱 서비스 접근

개인정보 보호법 제15조

외부 LLM API 키 입력

API 키 암호화 저장값(AES-256-GCM), 연결된 LLM 제공사 식별자 (예: openai, anthropic, google, openrouter)

고객이 선택한 외부 LLM 서비스와 AI 에이전트 연결

개인정보 보호법 제15조

유료 결제

구독 식별 정보(구독 ID, 플랜 유형) — 카드 정보는 Polar.sh가 직접 처리

구독 상태 관리, 서비스 제공

전자상거래법 제6조

🔑 외부 LLM API 키 처리 원칙

고객은 에이전트 구매 후 서비스 내 설정 화면에서 ChatGPT(OpenAI), Claude(Anthropic), Gemini(Google), OpenRouter 등 외부 LLM 서비스의 API 키를 직접 입력합니다.  • 입력된 API 키는 즉시 AES-256-GCM으로 암호화되어 회사 서버에 저장되며, 복호화는 에이전트 실행 시에만 이루어집니다. • 회사는 API 키 자체를 평문으로 열람하거나 외부에 전달하지 않습니다. • API 키는 해당 고객의 에이전트 실행 목적으로만 사용되며, 제3자에게 공유되지 않습니다. • API 키의 유효성, 사용 한도, 비용은 해당 LLM 제공사와 고객 간의 계약에 따르며, 회사는 해당 사항에 대해 책임을 지지 않습니다.

3. 수집 방법

  • 회원가입 및 서비스 이용 과정에서 이용자가 직접 입력
  • 서비스 이용 과정에서 자동 생성·수집 (쿠키, 접속 로그, 감사 로그 등)
  • 에이전트 설정 화면에서 이용자가 직접 외부 LLM API 키 입력 (선택)
  • 고객센터 문의 과정에서 이메일 등을 통해 수집

제3조 (개인정보의 제3자 제공)

회사는 원칙적으로 이용자의 동의 없이 개인정보를 외부에 제공하지 않습니다. 다만, 다음의 경우에 한하여 제공됩니다:

1. AI 모델 서비스 제공사 — 회사가 직접 운영하는 연동 (서비스 제공에 필수)

회사가 기본 제공하는 AI 기능 운영을 위해 아래 제공사에 대화 내용이 전송됩니다.

제공받는 자

소재국

제공 항목

제공 목적

보유 기간

학습 이용

Anthropic, PBC

미국

AI 대화 입력 내용 (이용자 메시지, 대화 컨텍스트)

Claude 모델 AI 응답 생성

API 처리 후 30일 이내 삭제

API 이용 시 학습 제외(opt-out 적용)

OpenAI, Inc.

미국

AI 대화 입력 내용

GPT 모델 AI 응답 생성

API 처리 후 30일 이내 삭제

API 이용 시 학습 제외(opt-out 적용)

Google LLC

미국

AI 대화 입력 내용 (이용자 메시지, 대화 컨텍스트)

Gemini 모델 AI 응답 생성

API 처리 후 삭제

API 이용 시 학습 제외(opt-out 적용)

2. 고객이 직접 입력한 외부 LLM API 키를 통한 데이터 전송

⚠️ 고객 선택에 의한 제3자 전송

고객이 에이전트에 외부 LLM API 키를 직접 입력하여 에이전트를 실행하는 경우, 해당 에이전트의 대화 내용(이용자 메시지, 시스템 프롬프트 등)은 고객이 선택한 LLM 제공사 서버로 전송됩니다. 이는 고객의 명시적 선택 및 서비스 이용계약에 근거한 처리입니다. 회사는 해당 LLM 제공사의 데이터 처리 방침에 대해 책임을 지지 않으며, 이용자는 해당 LLM 제공사의 개인정보처리방침을 반드시 확인하시기 바랍니다.

LLM 제공사

소재국

전송 항목

전송 목적

참고 약관 URL

OpenAI, Inc. (ChatGPT)

미국

에이전트 대화 입력 내용, 시스템 프롬프트

GPT 계열 모델 응답 생성

openai.com/policies/terms-of-use

Anthropic, PBC (Claude)

미국

에이전트 대화 입력 내용, 시스템 프롬프트

Claude 계열 모델 응답 생성

anthropic.com/legal/commercial-terms

Google LLC (Gemini)

미국

에이전트 대화 입력 내용, 시스템 프롬프트

Gemini 계열 모델 응답 생성

ai.google.dev/gemini-api/terms

OpenRouter, Inc.

미국

에이전트 대화 입력 내용, 시스템 프롬프트, 선택한 모델 ID

다양한 LLM 라우팅 및 응답 생성

openrouter.ai/privacy

기타 고객 선택 LLM

고객 선택에 따라 상이

에이전트 대화 입력 내용, 시스템 프롬프트

해당 LLM 서비스 응답 생성

각 제공사 정책 참조

※ 고객이 API 키를 입력하지 않은 경우, 해당 LLM 제공사로의 데이터 전송은 발생하지 않습니다.

※ 고객은 에이전트 설정 화면에서 API 키를 삭제하여 해당 LLM 제공사로의 데이터 전송을 언제든지 중단할 수 있습니다.

3. 개인정보 처리 위탁

회사는 서비스 제공을 위해 다음과 같이 개인정보 처리를 위탁합니다:

수탁자

소재국

위탁 항목

위탁 업무

보호 조치

Amazon Web Services, Inc.

미국 (서울 리전 우선)

서비스 데이터 전반 (DB, 파일, 로그)

클라우드 인프라 운영

SCC, AES-256 암호화, SOC 2, ISO 27001

Resend, Inc.

미국

이메일 주소

이메일 알림 발송 (가입 확인, 비밀번호 재설정 등)

DPA, TLS

Solapi (주식회사 누리고)

대한민국

휴대전화 번호

SMS 알림 발송

개인정보 처리위탁 계약

Polar Software, Inc.

미국

결제 정보 (카드 정보, 청구 이메일, 구독 정보)

결제 처리, 세금 계산 및 청구서 발행 (MoR)

PCI DSS, DPA, SCC

회사는 위탁 계약 시 「개인정보 보호법」 제26조에 따라 위탁 업무 수행 목적 외 개인정보 처리 금지, 기술적·관리적 보호 조치, 위탁 업무의 목적 및 범위 등을 문서로 명시하고, 수탁자가 개인정보를 안전하게 처리하는지 관리·감독합니다.

4. 법적 요구에 의한 제공

법원의 영장, 수사기관의 적법한 절차(「형사소송법」, 「통신비밀보호법」 등)에 따른 요청이 있는 경우, 관련 법령에 따라 최소한의 범위에서 제공할 수 있습니다. 이 경우 회사는 법적으로 허용되는 범위 내에서 이용자에게 통지합니다.

제4조 (개인정보의 보관 기간 및 파기)

법원의 영장, 수사기관의 적법한 절차(「형사소송법」, 「통신비밀보호법」 등)에 따른 요청이 있는 경우, 관련 법령에 따라 최소한의 범위에서 제공할 수 있습니다. 이 경우 회사는 법적으로 허용되는 범위 내에서 이용자에게 통지합니다.

1. 서비스 이용 기간 중 보관

항목

보관 기간

근거

계정 정보 (이메일, 이름)

회원 탈퇴 시까지

서비스 제공 계약

비밀번호 (bcrypt 해시)

회원 탈퇴 시까지

인증

AI 대화 기록

생성일로부터 1년 또는 이용자 삭제 시

서비스 제공

업로드 파일 (첨부파일)

이용자 삭제 시 또는 탈퇴 후 30일 내 삭제

서비스 제공

외부 LLM API 키 (암호화 저장)

이용자가 삭제하거나 회원 탈퇴 시까지. 탈퇴 후 30일 유예 후 영구 삭제

고객 선택에 의한 서비스 제공

감사 로그 (접속 기록 포함)

90일 (3개월)

보안 감사, 통신비밀보호법 제15조의2

서비스 운영 로그

90일

서비스 안정성

MFA 시크릿

MFA 해제 또는 회원 탈퇴 시

2단계 인증

로그인 시도 횟수/잠금 상태

잠금 해제 또는 회원 탈퇴 시

보안

2. 법정 의무 보관

항목

보관 기간

근거

계약·청약 철회 기록

5년

전자상거래법 제6조

결제·공급 기록

5년

전자상거래법 제6조

소비자 불만·분쟁 기록

3년

전자상거래법 제6조

접속 로그 (로그인 기록)

3개월 (90일)

통신비밀보호법 제15조의2

표시·광고 기록

6개월

전자상거래법 제6조

3. 파기 절차 및 방법

  1. 회원 탈퇴 시: 탈퇴 요청 후 30일간 복구 유예 기간 동안 데이터를 보관하며, 유예 기간 경과 후 영구 파기합니다. 이용자가 유예 기간 중 즉시 파기를 요청하는 경우 지체없이 파기합니다.
  2. 외부 LLM API 키: 이용자가 에이전트 설정에서 삭제 요청 시 즉시 파기(암호화된 저장값 삭제)합니다. 회원 탈퇴 시 30일 유예 후 자동 파기됩니다.
  3. 법정 의무 보관 정보는 별도의 데이터베이스로 이전하여 보관 후, 기간 만료 시 파기합니다.
  4. 전자적 파일: 복구 불가능한 방법(덮어쓰기, 암호화 키 폐기 등)으로 영구 삭제
  5. S3 파일: 버킷 내 해당 이용자의 파일 전수 삭제
  6. 자동 파기: 감사 로그, 운영 로그 등은 보관 기간 경과 시 자동 일괄 삭제됩니다.

제5조 (개인정보의 안전성 확보 조치)

회사는 「개인정보 보호법」 제29조 및 「개인정보의 안전성 확보조치 기준」(개인정보보호위원회 고시)에 따라 다음의 기술적·관리적·물리적 보호 조치를 취합니다:

1. 기술적 조치

조치 항목

세부 내용

비밀번호 암호화

bcrypt 단방향 해시 알고리즘으로 저장 (솔트 포함). 평문 비밀번호는 저장하지 않음

외부 LLM API 키 암호화

AES-256-GCM 대칭키 암호화 저장. 복호화는 에이전트 실행 시에만 수행되며, 실행 후 즉시 메모리에서 제거

MFA 시크릿 암호화

AES-256-GCM 대칭키 암호화 저장 (전용 키 관리)

전송 구간 암호화

TLS 1.2 이상을 통한 모든 데이터 전송 암호화

저장 데이터 암호화

데이터베이스 및 파일 스토리지 AES-256 암호화

접근 통제

역할 기반 접근 제어(RBAC), 최소 권한 원칙 적용

조직 간 데이터 격리

고객사별 데이터 완전 분리 — 다른 고객사 데이터에 접근 불가

감사 로그

관리자 활동 전수 기록, 민감정보 자동 마스킹 처리

API 키 보안

API 키 해시 저장, 접두사만 노출, 생성 시 1회만 표시

세션 관리

JWT 기반 인증, 토큰 만료 관리, 로그인 실패 시 계정 잠금

인프라 보안

복수 가용 영역 분산 운영, 고가용성 아키텍처

조직 간 데이터 격리

고객사별 데이터 완전 분리 — 다른 고객사 데이터에 접근 불가

2. 관리적 조치

  • 개인정보 접근 권한을 업무 수행에 필요한 최소한의 인원으로 제한
  • 개인정보 처리 직원에 대한 정기적인 보안 교육 실시
  • 개인정보 처리 시스템에 대한 접근 기록 보관 및 점검
  • 정기적인 보안 취약점 점검 및 침투 테스트 수행

3. 물리적 조치

  • 클라우드 인프라(AWS) 활용으로 물리적 서버에 대한 직접 접근 차단
  • AWS 데이터센터의 SOC 2, ISO 27001 등 국제 인증 기반 물리 보안

제6조 (이용자의 권리 및 행사 방법)

이용자(또는 법정대리인)는 언제든지 다음의 개인정보 열람, 정정, 삭제, 처리정지 요구 및 개인정보 전송요구 등의 권리를 행사할 수 있습니다:

  1. 열람 요구권: 본인의 개인정보 처리 현황 및 내역을 열람할 수 있습니다.
  2. 정정·삭제 요구권: 부정확하거나 불완전한 개인정보의 정정 또는 삭제를 요구할 수 있습니다. 외부 LLM API 키는 에이전트 설정 화면에서 직접 삭제할 수 있습니다.
  3. 처리 정지 요구권: 개인정보의 처리 정지를 요구할 수 있습니다.
  4. 동의 철회권: 개인정보 수집·이용에 대한 동의를 철회할 수 있습니다. 단, 필수 항목에 대한 동의를 철회하는 경우 서비스 이용이 제한되며, 이는 이용계약 해지로 처리될 수 있습니다.
  5. 이동권: 본인의 개인정보를 구조화되고 기계 판독 가능한 형태로 전송받을 수 있습니다 (서비스 내 내보내기 기능 제공).

행사 방법

  • 서비스 내 설정 메뉴: 프로필 수정, 계정 삭제, 데이터 내보내기(Export), 외부 LLM API 키 삭제
  • 이메일: privacy@wondermove.net
  • 회사는 요청 접수 후 10영업일 이내에 처리하고 결과를 통지합니다.
  • 본 서비스는 만 18세 이상 기업 고객 전용입니다. 만 18세 미만은 이용 대상이 아닙니다.

제7조 (개인정보의 자동 수집 장치 — 쿠키)

  1. 회사는 다음과 같이 쿠키를 사용합니다:

쿠키 유형

목적

만료 시간

속성

필수 여부

Access Token (JWT)

로그인 인증 및 세션 유지

15분

HttpOnly, Secure, SameSite=Strict

필수

Refresh Token

Access Token 갱신

7일

HttpOnly, Secure, SameSite=Strict

필수

CSRF Token

CSRF 공격 방지

세션 종료 시

Secure, SameSite=Strict

필수

  1. 회사는 광고·마케팅 목적의 제3자 추적 쿠키를 사용하지 않습니다. Google Analytics 등 외부 분석 도구는 사용하지 않습니다.
  2. 이용자는 웹 브라우저 설정을 통해 쿠키의 저장을 거부하거나 삭제할 수 있습니다. 다만, 인증 관련 필수 쿠키를 거부하는 경우 로그인이 불가능하여 서비스 이용에 제한이 있을 수 있습니다.

제8조 (개인정보의 국외 이전)

회사는 서비스 제공을 위해 이용자의 개인정보를 국외로 이전합니다. 「개인정보 보호법」 제28조의8에 따른 국외 이전 세부 사항은 다음과 같습니다:

※ 모든 국외 이전은 HTTPS(TLS 1.2 이상) 암호화 채널을 통한 실시간 전송 방식으로 이루어집니다.

1. 회사가 직접 운영하는 국외 이전

이전받는 자

소재국

이전 항목

이전 목적

보유 기간

보호 조치

Anthropic, PBC

privacy@anthropic.com

미국

AI 대화 입력 내용

Claude 모델 API 호출

API 처리 후 30일 이내

SCC, DPA

OpenAI, Inc. dpo@openai.com

미국

AI 대화 입력 내용

GPT 모델 API 호출

API 처리 후 30일 이내

SCC, DPA

Google LLC support.google.com/policies

미국

AI 대화 입력 내용

Gemini 모델 API 호출

API 처리 후 삭제

SCC, DPA

Amazon Web Services, Inc.

미국 (서울 리전 우선)

서비스 데이터 전반

클라우드 인프라

서비스 이용 기간

SCC, AES-256, SOC 2

Resend, Inc.

미국

이메일 주소

이메일 알림 발송

발송 완료 후 삭제

DPA, TLS

Polar Software, Inc.

미국

결제 관련 정보

결제 처리 (MoR)

결제 완료 후 법정 보관

PCI DSS, SCC

2. 고객이 선택한 외부 LLM API 키에 의한 국외 이전

⚠️ 고객 선택에 의한 국외 이전 안내

고객이 에이전트에 외부 LLM API 키를 직접 입력하여 에이전트를 실행하는 경우, 해당 LLM 제공사 서버(주로 미국 소재)로 대화 내용이 이전됩니다. 이는 고객의 명시적 선택 및 서비스 이용계약에 근거한 이전이며, 개인정보 보호법 제28조의8 제1항 제2호(계약의 체결 및 이행에 필요한 경우)에 해당합니다. 각 제공사 연락처: OpenAI(dpo@openai.com), Anthropic(privacy@anthropic.com), Google(support.google.com/policies), OpenRouter(privacy@openrouter.ai)

이전받는 자

소재국

이전 항목

이전 목적

보유 기간

OpenAI, Inc.

미국

에이전트 대화 입력, 시스템 프롬프트

GPT 계열 모델 응답 생성

각사 정책 참조 (최대 30일)

Anthropic, PBC

미국

에이전트 대화 입력, 시스템 프롬프트

Claude 계열 모델 응답 생성

각사 정책 참조 (최대 30일)

Google LLC

미국

에이전트 대화 입력, 시스템 프롬프트

Gemini 계열 모델 응답 생성

각사 정책 참조

OpenRouter, Inc.

미국

에이전트 대화 입력, 시스템 프롬프트, 선택한 모델 ID

다양한 LLM 라우팅 및 응답 생성

OpenRouter 정책 참조

기타 고객 선택 LLM

고객 선택에 따라 상이

에이전트 대화 입력, 시스템 프롬프트

해당 LLM 서비스 응답 생성

각사 정책 참조

※ 고객은 에이전트 설정 화면에서 API 키를 삭제함으로써 해당 LLM 제공사로의 국외 이전을 언제든지 중단할 수 있습니다.

※ 회사는 국외 이전 시 「개인정보 보호법」에서 요구하는 보호 조치(표준계약조항 체결, 암호화 등)를 취하며, 이전받는 자가 개인정보를 안전하게 처리하도록 관리·감독합니다.

제9조 (개인정보 보호책임자 및 담당 부서)

구분

개인정보 보호책임자

개인정보 보호 담당 부서

성명/부서

장재원

CA연구소

직위

연구소장

연락처

privacy@wondermove.net

privacy@wondermove.net

이용자는 서비스 이용 중 발생하는 모든 개인정보 보호 관련 문의, 불만 처리, 피해 구제 등에 관한 사항을 개인정보 보호책임자 및 담당 부서에 문의할 수 있습니다. 회사는 이용자의 문의에 대해 지체 없이(최대 10영업일 이내) 답변 및 처리합니다.

제10조 (개인정보처리방침의 변경)

  1. 본 개인정보처리방침은 법령, 정책, 보안 기술 또는 서비스 변경에 따라 수정될 수 있습니다.
  2. 변경 시 변경 내용, 변경 사유, 시행일을 서비스 내 공지사항 및 이메일을 통해 시행일 7일 전부터 공지합니다. 다만, 이용자의 권리에 중대한 변경이 있는 경우 30일 전부터 공지합니다.
  3. 이전 버전의 개인정보처리방침은 서비스 내에서 확인할 수 있도록 보관합니다.

제11조 (권익 침해 구제 방법)

이용자는 다음 기관에 개인정보 침해에 대한 피해 구제, 상담 등을 문의할 수 있습니다:

기관명

웹사이트

전화번호

개인정보침해 신고센터 (한국인터넷진흥원)

privacy.kisa.or.kr

118

개인정보 분쟁조정위원회

www.kopico.go.kr

1833-6972

대검찰청 사이버수사과

www.spo.go.kr

1301

경찰청 사이버안전국

ecrm.police.go.kr

182

부칙

1.   본 개인정보처리방침은 2026년 4월 9일부터 시행합니다.