PHASE 0 · GOVERNANCE CONTROL
운영 준비센터
공개 운영을 서두르지 않도록 현재 책임자, 실제 데이터 흐름, 사고대응과 통과하지 못한 하드 게이트를 한곳에 고정합니다.
EXTERNAL REVIEW HANDOFF · HISTORICAL V13 · UNREVIEWED
외부검토 전달팩 재검토 필요 · 운영 차단
세 서비스 v10 내부 증적·정책 v1.1 기준선, v11 정책 v1.2 변경, v12 통제 강화와 v13 로컬 반환 검증 후보의 redacted 증적 18건을 법률·Gmail·Sites 검토 질문 12개로 묶은 과거 후보 증거입니다. 현재 정책 v1.3의 테마 저장 변경은 이 전달팩 범위에 포함되지 않습니다. 전달팩이 준비됐다는 뜻일 뿐 전문가 의견, provider 답변, 계정 확인 또는 운영 승인을 받았다는 뜻은 아닙니다.
개인 운영 사실은 그대로, 자동 면제는 금지
제공할 수 없는 사업자 값과 개인 거주지를 새로 요구하지 않습니다.
- 운영 형태
- 개인·비사업자
- 법인·사업자
- 아님 · 관련 값 해당 없음
- 개인 거주지
- 비요청·비수집·비공개
- 책임정보
- 기존 Omnilude 공개 이름·이메일만 참조
개인·비사업자라는 이유로 법 적용을 자동 면제하거나 Google consumer로 자동 분류하지 않습니다.
Sites 계약 사실과 한국법 결론을 분리
2026-07-09 공개된 공식 Sites 문서를 새 기준선으로 반영했습니다.
- Sites Terms: OpenAI가 이용자를 대신해 사이트를 호스팅
- 개인용 Sites DPA: Hosted Data에 대해 OpenAI를 processor로 설명
- DPA 목적: 호스팅·유지보수·지원
- Hosted Data 범주: 제공 콘텐츠와 생성 로그·usage·device·cookie
- 보관: 계약 기간과 종료 후 의무·삭제에 필요한 기간
이 계약상 표현을 한국 개인정보 보호법상 처리위탁·국외이전 결론으로 자동 복사하지 않습니다. 현재 계정 적용성과 실제 필드·보관도 미확정입니다.
Google 약관 전환일에 자동으로 실패 폐쇄
2026-07-30 이후 또는 다른 출처의 revalidateAfter 경과 뒤 재수집·재검토 없이는 pack을 stale로 차단합니다.
- 현행
- 2024-05-22 시행
- 예정
- 2026-07-30 시행
- 계정 유형
- 미확정 · 실제 계정 확인 필요
- Gmail lifecycle
- 미승인 · 실왕복 미실시
반환 JSON은 선택한 기기 안에서만 판정
이용자가 명시적으로 선택한 최대 64 KiB의 redacted 외부검토 반환 JSON만 브라우저 메모리에서 구조·현재성을 한 번 확인합니다.
- 허용 범주: pack·result ID와 digest·유효시각, 3 track의 비식별 reviewer·provenance ref·자격 유형·관할·이해상충, 12문항의 판정·제한·adverse·unresolved·source/evidence ref, verification·declared status enum
- 실제 이름·이메일·주소·사업자 값·비밀은 허용하지 않음
- 업로드·네트워크 전송·영구저장·입력 로그 없음
- 원문·파일명 표시 없음
- 로컬 시스템 시계를 일회성 판정 기준으로 사용
- 초기화·새 파일 선택·화면 이탈 시 메모리 판정 폐기
- 원본 로컬 파일은 앱이 삭제하지 않음
- CLI는 일반 파일만 읽고 redacted 요약만 출력하며, 미검증 결과는 exit 3
구조·현재성 통과는 서명, 검토자 신원·자격 또는 법률 결론의 독립 검증이 아닙니다. 외부검토·운영·공개 gate는 계속 차단됩니다.
- LEGAL-01실제 처리 흐름상 개인정보처리자 해당 여부와 적용 범위는 무엇인가? 개인·비사업자를 자동 면제 근거로 쓰지 않는다.
- LEGAL-02서비스별 처리 항목·목적·법적 근거·최소수집·민감정보 제한은 충분한가?
- LEGAL-03처리방침·투명성·책임정보 요건과 기존 공개 이름·이메일의 충분성은 무엇인가?
- LEGAL-04열람·정정·삭제·처리정지, 비례적 본인확인, 법 적용 시 10일 결과통지와 예외를 어떻게 운영해야 하는가?
- LEGAL-05요청 종결 후 보유·파기·법적 보존·분쟁 예외와 최소 처리기록 기간은 무엇인가?
- LEGAL-06Gmail·Sites의 처리위탁·국외이전·안전조치와 법정 영향평가 적용 대상 여부는 무엇인가?
- GMAIL-01한국 Google 약관상 현재 계정 유형과 공식 권리요청 채널 이용 가능성은 무엇인가? 개인이라는 이유로 consumer로 자동 분류하지 않는다.
- GMAIL-02Gmail 처리 항목·주체·위치·하위처리자·권리·침해사고 지원 경계는 무엇인가?
- GMAIL-03Gmail UI 삭제·휴지통·백업·수신자 사본과 운영자 보유기간을 어떻게 분리하는가?
- SITES-01Sites Terms·개인용 DPA가 현재 계정과 owner-only 사이트에 적용되는가?
- SITES-02Hosted Data의 실제 항목과 역할은 무엇인가? 계약상 processor 표현과 한국법상 분류를 분리한다.
- SITES-03보관·내보내기·삭제·서비스 종료·하위처리자·국외처리·사고지원·민감정보 제한은 무엇인가?
출처 digest는 페이지 본문 아카이브가 아닌 source ID descriptor 표시이고, 증적 digest는 JSON route에 내장된 redacted payload의 SHA-256입니다. 외부검토자는 원문을 다시 열어 현재성·적용성을 확인해야 합니다. 어떤 attestation도 아직 없으며, 검토가 완료돼도 Gmail lifecycle, 계정보안, live 왕복과 실제 사고대응 gate가 남아 있으면 공개 운영은 차단됩니다.
01 · POLICY STATE
정책은 남아 있지만 법정 방침은 아닙니다
- 정책
- 실증 정책 v1.3
- 성격
- 실증 투명성 정책
- 시행일
- 2026-07-13
- 법적 상태
- 법정 개인정보 처리방침 아님
정책 공개만으로 법률 검토·개인정보 보호법 준수 인증·KAMIS 운영 이용 승인이 끝난 것은 아닙니다.
책임정보·호스팅 근거와 남은 빈칸
Omnilude 공개 한국어 이용약관·개인정보 처리방침의 책임정보를 이 실증 서비스 운영 책임정보로 참조 반영했습니다. 공개 Omnilude 근거와 운영자 확인은 책임 주체·운영 형태를 기록하는 자료일 뿐, 전문 법률 검토 완료나 공개 서비스 운영 적격성을 입증하지 않습니다.
- Omnilude 한국어 이용약관서비스 운영자를 ‘옴니루드 운영자(김종민 대표)’로 정의새 창
- Omnilude 한국어 개인정보 처리방침CPO 김종민 대표, 담당 부서 없음(1인 운영), 권리행사 이메일 omnilude@gmail.com과 본인 확인 후 법령상 기간·방식에 따른 처리를 공개새 창
2026-07-09 Sites Terms·개인용 DPA는 OpenAI가 이용자를 대신해 사이트를 호스팅하고 Hosted Data에 대해 processor로 처리한다는 계약 기준선을 제공합니다. 현재 계정 적용성, 실제 필드·보관·삭제와 한국법상 처리위탁·국외이전 분류는 여전히 미확정이며 자동 결론으로 확대하지 않습니다.
- OpenAI ChatGPT Sites Terms2026-07-09 시행 · OpenAI가 이용자를 대신해 사이트를 호스팅한다는 계약 기준선새 창
- OpenAI Sites 개인용 DPA2026-07-09 시행 · Hosted Data에 대한 OpenAI의 processor 역할을 설명하는 계약 기준선새 창
- OpenAI Sites 공식 문서Sites-managed hosting·production deployment·workspace identity와 공유 옵션 범위새 창
- OpenAI 개인정보 처리방침일반 Services 로그 항목과 목적에 따른 가변 보관 기준새 창
- OpenAI Privacy Portal적용 대상과 본인 확인을 거치는 OpenAI 권리 요청 경로새 창
- OpenAI 일반 권리 요청 이메일OpenAI 개인정보 처리방침이 안내하는 dsar@openai.com이메일 앱
02 · ACCOUNTABILITY
개인·1인 운영 형태와 책임 주체를 확인했습니다
서비스 운영자
옴니루드 운영자(김종민 대표)서비스 운영 결정, 처리 목적 승인, 사고 총괄과 공개 전환 최종 승인
- 현재 영향
- 운영자 확인(2026-07-12)으로 개인 운영, 법인·개인사업자·상호·사업자등록·통신판매업 신고·사업장 주소 해당 없음과 개인 거주지 비수집·비공개를 기록
- 다음 행동
- 운영 형태가 바뀌면 즉시 재검토하며, 이 확인을 법률 검토 완료나 공개 운영 적격성의 근거로 사용하지 않음
개인정보 보호책임자(CPO)
김종민 대표 · 해당 없음(1인 운영)처리방침 승인, 권리행사·침해사고 판단, 위탁·제3자 처리 검토
- 현재 영향
- CPO 김종민 대표와 담당 부서 없음·1인 운영·대리 없음을 확인하고, 부재 시 중단·성급한 재개 거부·합성 복구 검토의 연속성 훈련 3건을 PASS했습니다. 실제 부재 대응 성공은 별도입니다.
- 다음 행동
- 대리 없이 합성 연속성 절차를 정기 재실행하고 Gmail 위탁·국외 이전 판단은 전문 검토 전 미확정으로 유지
공식 문의·권리행사 채널
omnilude@gmail.com열람·정정·삭제·처리정지 요청, 사고 문의와 답변 이력 접수
- 현재 영향
- 합성 오프라인 탁상훈련 3건은 rubric PASS지만 웹 폼·자동 모니터링·접수번호·처리 추적·자율 응답 SLA가 없고 실 Gmail 접수·본인확인·결과 통지·응답시간 측정은 미실시
- 다음 행동
- 명시적 권한·연결자·통제 수신자·계정 보안·수명주기·전문검토·높은 잔여위험 해소가 모두 충족된 뒤에만 무실데이터 합성 Gmail 왕복훈련을 수행
- 운영자 결정
- 운영자 확인(2026-07-12) · 개인 운영
- 법인·개인사업자
- 해당 없음 · 법인이 아님 · 해당 없음 · 개인사업자가 아님
- 사업 필드
- 상호 해당 없음 · 사업자등록 해당 없음 · 통신판매업 신고 해당 없음 · 사업장 주소 해당 없음
- 거주지·대리·SLA
- 개인 거주지는 서비스 운영에 불필요하며 최소화 원칙상 수집·공개하지 않음 · 대리 해당 없음 · 1인 운영 · 자율 최초응답 SLA 해당 없음
비사업자 개인 운영이라는 결정은 전문 법률 검토 완료, 법률 준수 인증 또는 공개 서비스 운영 적격성을 증명하지 않음 대리 없음에 따른 부재 시 연속성과 실 Gmail 왕복훈련은 별도 게이트로 남습니다.
03 · MANUAL RIGHTS RUNBOOK
합성 오프라인 탁상훈련 3건 PASS · 실 Gmail 미실시
omnilude@gmail.com 한 곳에서 실제 요청을 수동 처리하도록 설계했지만 이번 훈련은 외부 메일 발송 없이 진행했습니다. 웹 폼·자동 접수·자동 모니터링·접수번호·처리 추적·자율 응답 SLA 없음. 합성 PASS는 문서·템플릿 품질 근거일 뿐 실 운영 역량이 아니므로 권리 채널 게이트는 부분 구현입니다.
최초 요청 최소화
- 서비스명: 안전알뜰 장바구니
- 요청 유형: 열람·정정·삭제·처리정지·문의 중 하나
발신 주소로 회신 가능하면 별도 회신 주소를 적지 않습니다. 다른 주소가 꼭 필요한 경우에만 최소 주소를 안내합니다.
필요한 경우에만 비례 확인
요청 대상과 위험상 필요한 경우에만 최소 범위로 비례 확인하며, 이유와 방법을 별도로 먼저 안내합니다.
신분증·여권·주민등록번호·가족관계·금융·건강 증빙은 기본 본인확인 수단으로 요구하지 않습니다.
별도 처리대장 없음
같은 Gmail 이메일 thread 안의 최소 처리 메모 · 별도 DB·스프레드시트·CRM 처리대장을 만들지 않음
receivedAtservicerequestTypescopeverificationdecisionoutcomeclosedAt
처리 경계 분류
현재 기기의 로컬 전용 데이터
식단·장보기·테마 선택 localStorage와 저식별 실증 증적
추가 본인 증빙을 요구하지 않음화면의 자체 삭제와 브라우저 사이트 데이터 삭제 경로를 안내합니다. 중앙 보관 데이터의 삭제를 완료했다고 표현하지 않습니다.
Gmail 이메일 thread
발신 주소·본문·첨부·답신·송수신 메타데이터와 필요한 경우 별도 안내 후 받은 최소 본인확인 정보
같은 thread의 발신·회신 맥락을 우선 사용하고, 요청 대상과 위험상 필요한 경우에만 비례적으로 확인같은 thread에서 수동으로 결정과 결과를 회신합니다. 정확한 Gmail 보관·파기 일정은 전문 검토 전 확정하지 않습니다.
Sites·KAMIS·외부 제공자 메타데이터
Sites 접속·workspace 인증 로그, KAMIS·네트워크 요청 메타데이터와 제공자 시스템의 기록
운영자는 앱과 제공자 범위를 먼저 분리하며, 제공자가 자체 경로에서 별도 확인을 요구할 수 있음확인된 공식 제공자 경로와 제한을 안내하고 운영자가 제공자 기록의 삭제 완료를 보장하지 않습니다.
향후 계정·서버 앱 데이터
현재 서비스가 처리하지 않는 계정, 서버 저장 식단·장보기 또는 중앙 분석 데이터
현재 존재하는 데이터처럼 응답하지 않으며, 기능 도입 시 확정된 인증·권리 절차를 적용계정·서버 기능 공개 전에 정책·인벤토리·인증·삭제 runbook을 먼저 개정하고 시험합니다.
회신 필수 내용: 결정 · 조치 · 제한 사유 · 다음 경로 · 같은 이메일 thread에서 앱·Gmail·제공자 경계를 구분해 회신하며, 처리하지 못한 범위를 자동 완료로 표시하지 않습니다.
탁상훈련 증적 3건
로컬 삭제 요청
실행 경계 · synthetic-only · 실제 개인정보 없음 · 실제 첨부 없음 · 외부 발송 없음
draftedReply · 4요소
- 결정
- 요청 대상은 현재 기기의 local-only 데이터로 분류했습니다.
- 실제 조치
- ‘내 저장 데이터 지우기’와 브라우저 사이트 데이터 삭제 순서를 안내하는 답신 초안을 만들었습니다. 실제 삭제나 외부 발송은 하지 않았습니다.
- 제한 사유
- 운영자는 이용자 브라우저 저장소에 원격 접근할 수 없어 원격 삭제 완료를 주장하지 않습니다.
- 다음 경로
- 먼저 /#delete-local-data에서 자기삭제하고, 실패하면 브라우저 설정의 사이트 데이터 삭제 후 재접속해 확인합니다.
최소 record · 8필드
receivedAt- 2026-07-12 · 합성 입력
service- 안전알뜰 장바구니
requestType- 삭제
scope- local-only
verification- 본인증빙 없음 · local-only 자기삭제 안내
decision- 자기삭제 경로 안내 · 운영자 원격 삭제 완료 주장 금지
outcome- 문서·답신 템플릿·8필드 대조 완료 · 실 Gmail 미실시
closedAt- 2026-07-12 · 오프라인 탁상훈련 종결
rubric · 입력·초안·record 재평가
- synthetic-only · 실제 개인정보·첨부·외부 발송 없음PASS
- 케이스별 필수 처리 경계PASS
- 원격 삭제·제공자 삭제·첨부 파기 완료 금지PASS
- 8필드 최소 처리기록PASS
- 결정·실제 조치·제한 사유·다음 경로PASS
잔여 gap
- 실제 Gmail 요청·회신 왕복과 이용자 이해도 미검증
- 지원 브라우저별 삭제 성공·실패 복구 실훈련 미실시
Sites·KAMIS 제공자 메타데이터 요청
실행 경계 · synthetic-only · 실제 개인정보 없음 · 실제 첨부 없음 · 외부 발송 없음
draftedReply · 4요소
- 결정
- 요청 대상을 앱 local-only 데이터와 Sites·KAMIS 제공자 메타데이터로 분리했습니다.
- 실제 조치
- 확인된 OpenAI·Sites·KAMIS 공식 경로와 현재 미확정 항목을 나눈 답신 초안을 만들었으며 제공자에게 실제 요청을 보내지 않았습니다.
- 제한 사유
- 운영자가 제공자 로그의 항목·보관·삭제를 통제하지 않으므로 제공자 기록의 삭제를 보장하지 않습니다.
- 다음 경로
- 앱 로컬 데이터는 자체 삭제하고, 제공자 범위는 OpenAI Privacy Portal·Sites 문서·KAMIS 공식 문의 경로에서 별도 확인합니다.
최소 record · 8필드
receivedAt- 2026-07-12 · 합성 입력
service- 안전알뜰 장바구니
requestType- 열람·삭제
scope- sites-provider
verification- 합성 단계 본인확인 없음 · 실제 제공자 요청 시 제공자 절차를 별도 안내
decision- 앱 local-only와 Sites·KAMIS 제공자 경계 분리 · 삭제 보장 금지
outcome- 문서·답신 템플릿·8필드 대조 완료 · 실 제공자·Gmail 요청 미실시
closedAt- 2026-07-12 · 오프라인 탁상훈련 종결
rubric · 입력·초안·record 재평가
- synthetic-only · 실제 개인정보·첨부·외부 발송 없음PASS
- 케이스별 필수 처리 경계PASS
- 원격 삭제·제공자 삭제·첨부 파기 완료 금지PASS
- 8필드 최소 처리기록PASS
- 결정·실제 조치·제한 사유·다음 경로PASS
잔여 gap
- Sites·KAMIS 실제 메타데이터 항목·보관·권리 경로 미확정
- 제공자 본인확인·응답·삭제 결과와 실 Gmail 왕복 미검증
민감 첨부 유입 요청
실행 경계 · synthetic-only · 실제 개인정보 없음 · 실제 첨부 없음 · 외부 발송 없음
draftedReply · 4요소
- 결정
- 불필요한 민감 첨부 가능성이 있는 요청으로 분류하고 추가 처리를 제한했습니다.
- 실제 조치
- 첨부를 재전달·복제하지 않고 접근 최소화·추가 전송 중단 안내를 담은 답신 초안만 만들었습니다. 실제 첨부나 외부 발송은 없었습니다.
- 제한 사유
- Gmail 보관·삭제와 전문 법률 검토가 끝나지 않았고 자율 위험 register의 높은 잔여위험도 해소되지 않아 첨부 파기 완료를 주장하지 않습니다.
- 다음 경로
- 첨부 없이 서비스명과 요청 유형만 다시 보내고, 추가 확인이 꼭 필요하면 운영자의 별도 최소정보 안내를 기다립니다.
최소 record · 8필드
receivedAt- 2026-07-12 · 합성 입력
service- 안전알뜰 장바구니
requestType- 민감 첨부 안전 처리 문의
scope- gmail-thread
verification- 본인확인 미실시 · 민감정보 추가 수집 중단과 최소정보 재요청 우선
decision- 재전달·복제 금지 · 접근 최소화 · 첨부 파기 완료 주장 금지
outcome- 문서·답신 템플릿·8필드 대조 완료 · 실제 첨부·Gmail 처리 미실시
closedAt- 2026-07-12 · 오프라인 탁상훈련 종결
rubric · 입력·초안·record 재평가
- synthetic-only · 실제 개인정보·첨부·외부 발송 없음PASS
- 케이스별 필수 처리 경계PASS
- 원격 삭제·제공자 삭제·첨부 파기 완료 금지PASS
- 8필드 최소 처리기록PASS
- 결정·실제 조치·제한 사유·다음 경로PASS
잔여 gap
- 실제 Gmail 첨부 접근제어·보관·파기 절차 미승인
- 민감정보 사고 대응 전문 검토·높은 잔여위험 해소와 실훈련 미실시 · 법정 개인정보 영향평가 대상 여부는 전문가 확인 전 미판정
실 운영 검증 · 별도 미실시/차단
실 Gmail 접수·회신 왕복
외부 메일을 보내거나 받지 않았으며 실제 Gmail thread를 만들지 않음
운영자 실제 응답시간
자율 SLA가 없고 실제 접수 시각·답신 시각 측정도 없음
Gmail 보관·파기 운영정책
Google 제공자 기준선은 확인했지만 안전알뜰 보유·파기 일정은 미승인
전문 법률 검토
위탁·국외이전·권리처리·보유기간의 법적 판단을 완료하지 않음
자율 개인정보 위험평가(법정 개인정보 영향평가 아님)
자율 위험 register 6건을 계산 완료했지만 모두 높은 잔여위험이며 해소·수용되지 않아 NO-GO · 법정 개인정보 영향평가와 분리하며 대상 여부는 전문가 확인 전 미판정
Gmail 계정 보안 설정
Google 공식 보안 체크리스트 12항목은 정의했지만 실제 계정 접근 없이 모두 미점검
Google 제공자 공개 기준선 · 운영자 정책 아님
아래 내용은 Google이 공개한 일반·제품별 기준선입니다. 범위가 서로 다르므로 단순 합산해 파기 완료 시점으로 쓰지 않으며, 안전알뜰의 보유기간·위탁·국외이전 법적 결론으로 사용하지 않습니다.
- Gmail 고객센터 · 메일 삭제Gmail UI에서 삭제한 메일은 휴지통으로 이동하며 최대 30일 동안 복구하거나 조기 영구 삭제할 수 있고, 30일 뒤에는 Gmail UI에서 영구 삭제되어 사용자가 복구할 수 없다고 안내 · Gmail UI 동작 기준이며 안전알뜰의 승인된 보유기간이나 Google 전체 시스템 삭제 완료 시점을 뜻하지 않음새 창
- Google · 수집 데이터 보관과 삭제 절차일반 Google 삭제 절차는 최대 1개월의 복구 기간을 포함해 보통 삭제 시점부터 약 2개월이 걸리고 암호화 백업에는 최대 6개월 남을 수 있으며, 법적·보안 목적의 장기 보관과 수신자 사본은 별도라고 설명 · 일반 Google 기준선으로 Gmail thread별 실제 파기 시점이나 안전알뜰 운영자의 보유·파기 일정을 확정하지 않음새 창
- Google 개인정보처리방침 · 데이터 이전Google은 전 세계에 서버를 두며 사용자 정보가 거주 국가 밖 서버에서 처리될 수 있다고 설명 · 제공자 공개 사실일 뿐 안전알뜰의 위탁·국외이전 법적 분류나 적법성 판단이 아님새 창
- Google 계정 고객센터 · 휴면계정 정책개인 Google 계정은 최소 2년간 휴면이면 계정·활동·데이터가 삭제될 수 있으며 예외와 사전 알림이 있다고 안내 · 실제 omnilude@gmail.com 계정의 활동·복구 설정·정책 적용 결과를 확인한 근거가 아님새 창
- 운영자 승인
- 미승인
- 보유·파기
- 미승인 · 안전알뜰 Gmail thread 보유·파기 일정 미확정
- 법적 분류
- 미검토 · 위탁·국외이전 법적 분류 미확정
- 계정 보안
- 미검증 · 실제 계정의 Google 보안진단·2단계 인증·복구 이메일·복구 전화 설정을 확인하지 않음
첫 이메일에는 서비스명 ‘안전알뜰 장바구니’와 요청 유형만 적어 주세요. 발신 주소로 회신받을 수 있으면 별도 회신 주소도 적지 마세요. 직장·직무·선택 지역·소득·주거 정보와 관련 증빙, 주민등록번호, 신분증 사본, 계좌·카드정보, 집주소, 비밀번호·인증자료, 식단·알레르기·질환 등 건강정보와 불필요한 첨부는 보내지 마세요. Gmail thread의 정확한 보관·파기 일정은 적용 법령과 Google/Gmail 제공자 조건을 전문 검토하기 전까지 미확정입니다. 자율적인 최초 응답 SLA나 특정 최초응답 일수를 약속하지 않습니다. 법 적용 시 개인정보 보호법 시행령 제41·43·44조의 요구일로부터 10일 이내 결과 통지 기준은 자율 SLA와 분리하며 실제 적용·예외는 전문 검토 전 미판정입니다.
- 개인정보보호위원회 · 개인정보 처리방침 작성지침(2026.4. 개정)2026-04-23 게시된 현재 안내서와 원문 PDF의 공식 게시 페이지새 창
- 개인정보보호위원회 · 2026 개인정보 처리방침 작성지침 개정 공개온디바이스 처리·권리행사·민감정보 입력 주의 등을 설명하는 공식 개정 공개 페이지새 창
- 국가법령정보센터 · 개인정보 보호법적용 법령의 현행 본문을 확인하는 공식 경로 · 개별 의무 충족 여부는 전문 검토 필요새 창
04 · DATA INVENTORY
처리·보관·삭제 경계를 실제 동작대로 기록합니다
로컬 데이터와 공개 가격 공유 캐시를 분리합니다. 아래의 차단·부분 구현 표시는 데이터가 곧 개인정보라는 뜻이 아니라 운영 경계나 수명주기가 아직 완결되지 않았다는 뜻입니다.
식단·장보기 도메인 상태
처리 항목예산, 광역 지역, 가구 인원, 식사 수, 조리시간, 선택형 제외 재료, 생성 식단·계산값, 선택·잠금 상태, 장보기 체크와 구매 수량 칸에 입력한 최대 80자 문자열, fixture 시나리오
- 목적
- 새로고침과 재방문 뒤 같은 계획 복원
- 위치
- 현재 브라우저 localStorage · safe-budget-grocery:v2 (이전 버전 safe-budget-grocery:v1)
- 전송
- 앱 코드가 운영 서버나 중앙 분석 도구로 자동 전송하지 않음
- 보관
- 사용자가 전체 삭제하거나 브라우저 사이트 데이터를 지울 때까지
- 삭제
- ‘내 저장 데이터 지우기’가 현재·이전 키를 제거합니다. 브라우저가 삭제를 막으면 새로고침 뒤 남은 값이 복원될 수 있습니다.
화면 테마 선택
처리 항목밝은 테마 또는 어두운 테마 선택값만 저장합니다. 시스템 설정을 선택하면 별도 값을 저장하지 않습니다.
- 목적
- 새로고침과 재방문 뒤 사용자가 선택한 화면 대비를 복원
- 위치
- 현재 브라우저 localStorage · safe-budget-grocery:theme:v1
- 전송
- 앱 코드가 운영 서버, 외부검토 파일 처리 또는 중앙 분석 도구로 전송하지 않음
- 보관
- 밝은·어두운 테마를 선택한 뒤 시스템 설정으로 되돌리거나 전체 삭제·브라우저 사이트 데이터 삭제를 실행할 때까지
- 삭제
- 테마 메뉴에서 ‘시스템 설정’을 선택하거나 ‘내 저장 데이터 지우기’를 실행하면 키 제거를 시도합니다. 전체 삭제 직후 현재 문서의 색상은 유지될 수 있고 다음 문서 로드부터 시스템 설정을 따릅니다.
저식별 실증 증적
처리 항목고정 피드백, 일별 action 합계(plan_recalculated, swap_applied, shopping_check_toggled, shopping_csv_exported, provider_fixture_refreshed, provider_kamis_checked), 공급자 상태 구간(fixture_kamis, consumer_price, food_safety, nutrition, recipes, live_kamis)
- 목적
- 기능 사용과 공급자 신뢰 상태를 입력값 없이 실증
- 위치
- 현재 브라우저 localStorage · safe-budget-grocery:pilot-evidence:v1
- 전송
- 자동 원격 전송 없음. 사용자가 JSON 내보내기를 누를 때만 파일 생성
- 보관
- KST 기준 최근 30일. 저장용량 복구 시 최근 7일로 축소될 수 있음
- 삭제
- ‘피드백·진단만 지우기’ 또는 전체 삭제로 해당 키 제거
KAMIS 공식 가격 조회
처리 항목브라우저는 서울·부산·대전·제주 중 선택한 지역 slug만 동일 출처 게이트웨이에 보냅니다. Next.js Route Handler는 이를 KAMIS 광역 코드로 바꾸고 고정 채소류 코드·최근 영업일·서버 보관 서비스 인증정보를 KAMIS 요청 query에 포함합니다. 식단·예산·제외 재료·장바구니는 보내지 않습니다.
- 목적
- KAMIS 공개 조사 참고가 확인
- 위치
- 브라우저 → 동일 출처 /api/provider-gateway/kamis/prices → Next.js Route Handler → https://www.kamis.or.kr/service/price/xml.do?action=dailyPriceByCategoryList
- 전송
- ‘공식 가격 확인’을 명시적으로 누른 경우에만 요청합니다. 서비스 인증정보는 브라우저 응답·저장 스냅샷의 출처 URL에서 제거하지만 KAMIS 서버 간 query에는 필요합니다.
- 보관
- 앱은 개별 조회 상세를 사용자 기록으로 저장하지 않고 로컬 증적에 일별 확인 횟수만 집계합니다. KAMIS·호스팅·네트워크 계층의 요청 메타데이터 보관기간은 이 앱 소스에서 확인되지 않습니다.
- 삭제
- ‘내 저장 데이터 지우기’는 KAMIS·호스팅 계층의 요청 메타데이터를 지우지 않습니다. 외부 보관·권리행사 절차 확인이 필요하며 공개 가격 결과는 아래 공유 캐시 정책을 적용합니다.
Next.js 서버 메모리 공개 가격 스냅샷 캐시
처리 항목공급자, 지역·채소류 범위 키, 확인·관측·갱신 시각, 항목 수, 정규화 가격 payload, 인증정보가 제거된 출처 URL
- 목적
- 공식 조회 장애 때 검증된 마지막 정상 공개 가격 제공
- 위치
- native Next.js Route Handler는 서버 프로세스의 공유 메모리 저장소만 사용합니다. D1 구현은 현재 런타임에서 import하지 않는 이관 참고용 비활성 어댑터로 격리되어 있습니다.
- 전송
- 사용자 식단·장바구니·저식별 증적과 결합하지 않음
- 보관
- 마지막 정상값은 갱신 시각 기준 72시간 이내만 제공합니다. 각 유효한 게이트웨이 요청은 72시간을 초과한 메모리 행을 오래된 순으로 최대 50건 물리 삭제합니다. 무트래픽 동안에는 정리가 실행되지 않고, 50건 초과 적체·정리 실패는 후속 요청 전까지 남을 수 있습니다. 전체 캐시는 Next.js 서버 프로세스 수명에 따릅니다.
- 삭제
- 사용자 비연결 공유 공개 데이터이므로 ‘내 저장 데이터 지우기’와 개인별 삭제 대상이 아닙니다. 요청 기반 bounded cleanup은 구현됐지만 무트래픽 정리·실패 감시·운영 담당·긴급 전체 정리 절차는 미확정입니다.
사용자 생성 다운로드
처리 항목장보기 CSV에는 품목명, 구매 수량 칸의 문자열, 기본 포장단위, 체크 상태, 사용 메뉴·횟수, 가격 출처·조사일·신뢰도가 들어갑니다. 저식별 JSON에는 날짜, 허용 action 합계, 고정 피드백, 정규화된 공급자 상태·fallback·연령·오류·저장 모드가 들어갑니다.
- 목적
- 장보기 실행과 사용자가 승인한 실증 자료 전달
- 위치
- 브라우저 다운로드 폴더, 동기화 드라이브 또는 사용자가 선택한 외부 앱
- 전송
- 사용자 클릭으로 기기에서 파일을 생성한 뒤 사용자가 직접 이동·공유
- 보관
- 사이트가 제어하지 않음
- 삭제
- 사이트 데이터 삭제와 무관하며 사용자가 파일과 복사본을 직접 삭제
공식 권리행사 이메일
처리 항목발신 이메일 주소, 제목·본문, 사용자가 임의로 넣은 첨부, 답신·본인확인 내용과 송수신 시각·주소 등 메일 메타데이터
- 목적
- 열람·정정·삭제·처리정지 요청과 개인정보 문의를 접수하고 답신
- 위치
- 이용자의 이메일 제공자 → Google/Gmail 환경의 omnilude@gmail.com 메일함과 답신 경로
- 전송
- 사용자가 mailto 링크 또는 이메일 앱에서 보내기를 실행할 때만 이동합니다. 이 사이트에는 자동 전송 폼·자동 접수번호·추적 기능이 없습니다.
- 보관
- Google이 공개한 Gmail UI·일반 삭제 기준선은 확인했지만 안전알뜰의 정확한 보관·파기 일정과 위탁·국외 이전 해당 여부는 운영자 승인·법률 및 Google/Gmail 제공자 검토 전 미확정입니다.
- 삭제
- 앱의 ‘내 저장 데이터 지우기’로 메일·첨부·답신·제공자 메타데이터를 지울 수 없습니다. 합성 오프라인 탁상훈련만 PASS했으며 실 Gmail에서 본인확인·처리기록·결과 통지·파기를 시험하지 않았습니다.
Sites 접속·인증 메타데이터
처리 항목2026-07-09 Sites Terms는 OpenAI가 이용자를 대신해 사이트를 호스팅한다고 설명하고, 개인용 Sites DPA는 Hosted Data에 대해 OpenAI를 processor로 설명합니다. DPA Schedule은 user-provided content와 생성 로그·usage·device·cookie 범주를 언급하지만 현재 계정에 적용되는 Sites 실제 필드는 확인되지 않았습니다.
- 목적
- 계약상 사이트 호스팅·유지보수·지원과 접근 제어
- 위치
- Sites 호스팅 계층 · 앱의 로컬 식단 저장과 분리
- 전송
- 계약 문서상 Hosted Data의 processor 처리를 기준선으로 기록합니다. 이를 한국 개인정보 보호법상 처리위탁·국외이전 결론으로 자동 확정하지 않습니다.
- 보관
- 개인용 Sites DPA는 계약 기간과 종료 뒤 의무 이행·삭제에 필요한 기간을 설명하지만, 현재 계정 적용성과 Sites 실제 필드별 정확한 보관·삭제 일정은 확인되지 않았습니다.
- 삭제
- 이 앱의 삭제 버튼 대상이 아닙니다. OpenAI Privacy Portal은 일반 권리 경로이며 적용 범위·본인 확인이 따릅니다. 안전알뜰 공식 이메일로 문의할 수 있지만 Sites 전용 삭제 가능 여부와 처리 결과는 제공자 확인 전 보장하지 않습니다.
05 · INCIDENT RESPONSE DRAFT
대리 없음 확정 · 합성 연속성 실행 완료
1인 운영 주 담당과 대리 없음, 부재 시 중단·복구 상태전이를 합성훈련으로 확인했습니다. 실제 사고·계정 잠금·제공자 조치·법률 판단·실 Gmail 대응을 수행한 것은 아니므로 실행 가능한 실운영 대응체계로 간주하지 않습니다.
사고 총괄
옴니루드 운영자(김종민 대표) · 주 담당 · 대리 없음사고 선언, 영향 기능 중단, 의사결정 기록과 복구 승인
개인정보 판단
김종민 대표 · CPO 주 담당 · 대리 없음영향 범위·법적 의무·통지 필요성 판단
기술 대응
김종민 대표 · 1인 운영 기술 대응 · 대리 없음영향 기능 격리, 로그·데이터 경계 확인, 수정과 재발 방지 검증
이용자 소통
김종민 대표 · omnilude@gmail.com · 대리 없음접수 확인, 권리행사와 사고 안내, 답변 이력 관리
- 01
탐지·접수
정책 불일치, 오전송, 삭제 실패, 비인가 접근 의심을 사고 후보로 등록
종료 근거사고 총괄이 심각도와 대응 시작 시각을 기록 - 02
격리
영향 기능·게이트웨이·내보내기를 우선 중단하고 추가 처리를 막음
종료 근거새로운 영향이 발생하지 않는다는 기술 확인 - 03
평가
데이터 항목, 저장 위치, 당사자 범위, 외부 전송과 복구 가능성을 확인
종료 근거CPO와 법률 검토가 통지·권리조치·보존 필요성을 승인 - 04
통지·권리조치
확정된 공식 채널로 필요한 안내와 열람·삭제·처리정지 절차를 제공
종료 근거요청 처리 결과와 미해결 항목을 추적 가능하게 기록 - 05
복구·회고
수정 검증 후 단계적으로 복구하고 원인·영향·정책 변경을 기록
종료 근거운영자와 CPO가 재발 방지 근거를 검토한 뒤 재개 승인
06 · CHANGE CONTROL CHECKLIST
v10 첫 변경통제를 실행하고 NO-GO를 유지했습니다
네 항목을 소스·정책·회귀 결과와 대조했지만 Gmail·법률·Sites·KAMIS 중단 조건이 남았습니다. 변경통제 실행 PASS는 공개 GO가 아니라 retain NO-GO 결정의 근거입니다.
- 012026-07-12 · v10 합성 검토 실행
처리 경계 변경 탐지
- 담당
- 김종민 대표 · 서비스 운영자
- 확인
- localStorage 키·필드, 다운로드, 외부 요청 query, 서버 저장소, 호스팅·인증·분석 도구의 추가·변경·삭제를 코드 diff와 데이터 인벤토리로 대조
- 필수 증적
- 변경 전후 데이터 흐름, 영향 항목·주체·위치와 검토자 기록
- 중단 조건
- 정책·인벤토리에 없는 새 처리 또는 민감정보 경로가 발견되면 배포 중단
- 실행 결과
- 검토 완료 · 새 처리 경계 없음
- 증적 참조
SBG-CC-V10-01-BOUNDARY
- 022026-07-12 · v10 합성 검토 실행
목적·최소화·보관·권리 검토
- 담당
- 김종민 대표 · CPO
- 확인
- 각 항목의 필요성, 목적, 법적 근거, 보관·정리·삭제, 자체 내보내기와 공식 권리 경로를 함께 검토
- 필수 증적
- 승인된 처리 목록, 보관표, 삭제 시험과 권리센터 문구
- 중단 조건
- 목적·보관기간·삭제 담당 또는 공식 권리 책임자가 비어 있으면 공개 전환 중단
- 실행 결과
- 검토 완료 · 중단 조건 발동 · NO-GO 유지
- 증적 참조
SBG-CC-V10-01-RIGHTS
- 032026-07-12 · v10 합성 검토 실행
제공자·비밀·오전송 방어
- 담당
- 김종민 대표 · 서비스 운영자·기술 대응
- 확인
- KAMIS·Sites·다운로드 대상과 이용조건, 인증정보 비노출, allowlist, 최소 응답, 파일명·내용·수신자 확인 절차를 검토
- 필수 증적
- 제공자 조건 캡처, 비밀정보 검사, 실패·오전송 모의훈련 결과
- 중단 조건
- 제공자 범위나 수신자를 확인하지 못하면 연동·전송 기능 중단
- 실행 결과
- 검토 완료 · 중단 조건 발동 · NO-GO 유지
- 증적 참조
SBG-CC-V10-01-PROVIDER
- 042026-07-12 · v10 합성 검토 실행
검증·승인·복구 가능성
- 담당
- 김종민 대표 · 서비스 운영자·CPO
- 확인
- 단위·렌더·접근성·모바일·삭제·복구 시험 후 운영자·CPO·기술 담당이 잔여 위험과 rollback을 승인
- 필수 증적
- 검증 결과, 승인자·시각, rollback·중단 기준과 정책 버전
- 중단 조건
- 실행 증적·승인자·복구 절차 중 하나라도 없으면 변경을 완료로 표시하지 않음
- 실행 결과
- 검토 완료 · 회귀·rollback 확인 · NO-GO 유지
- 증적 참조
SBG-CC-V10-01-VERIFY
07 · INCIDENT DRILL SCENARIOS
세 기술사고 합성 tabletop을 실행했습니다
로컬 삭제 실패, CSV·JSON 오전송, Sites 접근사고를 실제 개인정보·메일·계정· 제공자 mutation 없이 3/3 PASS했습니다. 실제 사고대응 성공이나 제공자 협조를 검증한 것이 아니므로 부분 준비로만 표시합니다.
브라우저 로컬 삭제 실패
합성 tabletop PASS · 실제 사고 대응 미검증- 담당
- 김종민 대표 · 서비스 운영자·기술 대응
- 상황
- removeItem 실패 뒤 이번 탭은 초기화되지만 새로고침하면 도메인 또는 저식별 키가 복원되는 상황
- 기대 대응
- 추가 저장 중단, 사용자에게 실패와 브라우저 사이트 데이터 직접 삭제 경로 안내, 잔존 키 재확인, 원인·정책 불일치 기록
- 완료에 필요한 증적
- 지원 브라우저별 재현 기록, 안내 화면 캡처, 세 키 제거 확인, 담당자·소요시간·개선 조치
- 합성 증적
SBG-IR-TT-20260712-01-EVIDENCE- 잔여 한계
- 실제 지원 브라우저별 삭제 성공과 이용자 복구 이해도는 검증하지 않음
CSV·JSON 외부 파일 오전송
합성 tabletop PASS · 실제 사고 대응 미검증- 담당
- 김종민 대표 · CPO·이용자 소통
- 상황
- 사용자가 내려받은 장보기 CSV 또는 저식별 JSON을 잘못된 메신저·메일·동기화 폴더로 전달한 상황
- 기대 대응
- 사이트 통제 밖임을 확인하되 추가 공유 중단, 수신자·복사본·동기화 범위 파악, 가능한 회수·삭제 요청과 CPO 통지 판단
- 완료에 필요한 증적
- 가상 수신자 회수 기록, 외부 사본 위치 목록, 통지 판단·한계·재발 방지 체크리스트
- 합성 증적
SBG-IR-TT-20260712-02-EVIDENCE- 잔여 한계
- 실제 수신자 회수·외부 사본 삭제·통지 판단 성공은 검증하지 않음
Sites 호스팅 접근 사고
합성 tabletop PASS · 실제 제공자 조치 미검증- 담당
- 김종민 대표 · 서비스 운영자·CPO
- 상황
- 허가되지 않은 workspace identity의 접근 또는 인증·접속 기록 노출이 의심되는 상황
- 기대 대응
- 공개·공유 범위 축소, 영향 URL과 시간대 격리, Sites/OpenAI 공식 지원·권리 경로와 협조, 앱 로컬 데이터와 호스팅 로그 영향 분리
- 완료에 필요한 증적
- 접근 회수 시각, 영향 범위, 제공자 문의·응답, 이용자 통지 판단과 재개 승인 기록
- 합성 증적
SBG-IR-TT-20260712-03-EVIDENCE- 잔여 한계
- 실제 Sites 접근 회수·로그 확인·제공자 문의와 응답은 검증하지 않음
08 · INTERNAL P0 EVIDENCE
내부 합성 운영증적은 완료했지만 실운영은 NO-GO입니다
v10 첫 변경통제 1건, 대리 없는 1인 연속성 3건, 기술사고 tabletop 3건을 계산형 기준으로 다시 평가했습니다. 합성 PASS는 실제 계정·메일·사고·제공자 조치나 법률 판단의 성공 증거가 아닙니다.
- v10 변경통제
- 1/1 PASS
- 1인 연속성
- 3/3 PASS
- 기술사고 tabletop
- 3/3 PASS
- 운영 결정
- NO-GO 유지
v10·정책 v1.1 첫 변경통제 실행
- 범위
- v10 owner-only 소스, 실증 정책 v1.1, 데이터 인벤토리, 권리센터, 사고대응과 하드 게이트
- 실행
- 2026-07-12T18:00:00+09:00 → 2026-07-12T18:40:00+09:00
- 결정
- 내부 합성 통제는 실행했지만 Gmail·법률·Sites·KAMIS 외부 게이트가 남아 공개 운영 NO-GO를 유지
- rollback
- v9-owner-only · 실제 rollback 미실행
boundary-diff검토 완료새 서버 개인화·계정·텔레메트리 경로 없이 내부 합성 증적 모델과 읽기 전용 보드만 추가
증적 SBG-CC-V10-01-BOUNDARYpurpose-retention-rights중단 조건 유지Gmail 수명주기와 법적 근거가 미승인이라 실 권리메일 처리와 공개 운영 중단 조건을 유지
증적 SBG-CC-V10-01-RIGHTSprovider-security중단 조건 유지Gmail·Sites·KAMIS 실 설정과 이용 승인이 미확정이므로 외부 전송·provider mutation을 실행하지 않음
증적 SBG-CC-V10-01-PROVIDERverification-approval검토 완료회귀 검증과 v9 owner-only rollback을 확인하고 최종 결정은 공개 GO가 아닌 retain NO-GO로 기록
증적 SBG-CC-V10-01-VERIFY
검증 명령 5개가 통과했어도 공개 GO가 되지 않습니다. rollback은 문서화만 했으며 실제 전환·철회는 수행하지 않았습니다.
대리 없는 연속성 합성훈련 3/3 PASS
세 시나리오는 같은 6단계 상태전이를 사용합니다. 마지막 단계는 합성 절차의 전이만 승인하며 실제 서비스 재개·계정 복구·메일 처리를 승인하지 않습니다.
operator-unavailable개인 운영자 부재
synthetic PASS개인 운영자 역할이 계획 또는 예고 없이 일정 시간 대응할 수 없는 합성 상황
- 01트리거 기록
운영자 부재 합성 트리거와 최초 발견시각을 기록
합성 run ID와 트리거 유형만 기록하고 실제 개인정보는 사용하지 않음 - 02중단 선언
개인 운영자 부재 동안 공개 전환과 신규 실데이터 처리를 중단한다고 선언
대리자를 만들지 않고 owner-only·NO-GO 유지 결정을 기록 - 03위험 행동 동결
메일 발송·계정 접근·제공자 변경·실데이터 입력·공개 공유를 동결
외부 발송·계정 접근·제공자 mutation이 모두 false인지 대조 - 04성급한 재개 거부
담당자 복귀 주장만으로 재개하지 않고 미확정 Gmail·법률·제공자 게이트를 재확인
실운영 재개 거부와 미해결 외부 게이트 목록을 기록 - 05복구 fixture 검토
합성 복구 fixture로 정책 버전·중단 조건·rollback·잔여위험을 재검토
실계정·실메일·실제 제공자 조치 없이 문서와 계산 결과만 대조 - 06합성 상태전이 승인
합성 절차의 상태전이만 승인하고 실제 서비스 재개는 NO-GO로 유지
synthetic 승인과 actual resume false를 분리해 기록
잔여 한계실운영 부재·실제 권리요청 기한 대응 성공을 증명하지 않음
identity-account-locked운영 계정 잠금
synthetic PASSworkspace identity 또는 운영 계정에 접근할 수 없다는 합성 잠금 징후
- 01트리거 기록
계정 잠금 합성 트리거와 최초 발견시각을 기록
합성 run ID와 트리거 유형만 기록하고 실제 개인정보는 사용하지 않음 - 02중단 선언
개인 운영자 부재 동안 공개 전환과 신규 실데이터 처리를 중단한다고 선언
대리자를 만들지 않고 owner-only·NO-GO 유지 결정을 기록 - 03위험 행동 동결
메일 발송·계정 접근·제공자 변경·실데이터 입력·공개 공유를 동결
외부 발송·계정 접근·제공자 mutation이 모두 false인지 대조 - 04성급한 재개 거부
담당자 복귀 주장만으로 재개하지 않고 미확정 Gmail·법률·제공자 게이트를 재확인
실운영 재개 거부와 미해결 외부 게이트 목록을 기록 - 05복구 fixture 검토
합성 복구 fixture로 정책 버전·중단 조건·rollback·잔여위험을 재검토
실계정·실메일·실제 제공자 조치 없이 문서와 계산 결과만 대조 - 06합성 상태전이 승인
합성 절차의 상태전이만 승인하고 실제 서비스 재개는 NO-GO로 유지
synthetic 승인과 actual resume false를 분리해 기록
잔여 한계실운영 계정 복구·실제 Sites 접근 회수를 증명하지 않음
incident-during-unavailability부재 중 사고 징후
synthetic PASS개인 운영자 부재 중 삭제 실패나 접근 이상 징후가 생겼다는 합성 상황
- 01트리거 기록
부재 중 사고 합성 트리거와 최초 발견시각을 기록
합성 run ID와 트리거 유형만 기록하고 실제 개인정보는 사용하지 않음 - 02중단 선언
개인 운영자 부재 동안 공개 전환과 신규 실데이터 처리를 중단한다고 선언
대리자를 만들지 않고 owner-only·NO-GO 유지 결정을 기록 - 03위험 행동 동결
메일 발송·계정 접근·제공자 변경·실데이터 입력·공개 공유를 동결
외부 발송·계정 접근·제공자 mutation이 모두 false인지 대조 - 04성급한 재개 거부
담당자 복귀 주장만으로 재개하지 않고 미확정 Gmail·법률·제공자 게이트를 재확인
실운영 재개 거부와 미해결 외부 게이트 목록을 기록 - 05복구 fixture 검토
합성 복구 fixture로 정책 버전·중단 조건·rollback·잔여위험을 재검토
실계정·실메일·실제 제공자 조치 없이 문서와 계산 결과만 대조 - 06합성 상태전이 승인
합성 절차의 상태전이만 승인하고 실제 서비스 재개는 NO-GO로 유지
synthetic 승인과 actual resume false를 분리해 기록
잔여 한계실제 사고 신고·통지·복구 또는 실운영 재개를 증명하지 않음
기술사고 합성 tabletop 3/3 PASS
local-deletion-failure브라우저 로컬 삭제 실패
tabletop PASS합성 저장 키에서 removeItem 실패 뒤 새로고침 시 값이 복원되는 모델 상황을 주입
- 탐지로컬 삭제 실패 합성 징후를 실제 데이터 없이 사고 후보로 기록실제 사고가 아니라 오프라인 입력임을 먼저 확인
- 격리추가 저장·공유·전송을 중단하는 합성 판단을 기록계정·메일·제공자 설정은 변경하지 않고 대응 경계만 검토
- 영향 평가로컬·다운로드·호스팅 경계를 분리하고 영향 가능성을 최소 범위로 평가실제 정보주체·실제 수신자·실제 제공자 로그는 사용하지 않음
- 안내 검토완료를 과장하지 않는 합성 안내문과 에스컬레이션 경로를 검토메일 발송과 제공자 문의는 하지 않고 문안만 검증
- 복구·회고복구 조건·rollback·재발 방지와 NO-GO 유지 결정을 검토실제 지원 브라우저별 삭제 성공과 실제 이용자 복구 이해도는 검증하지 않음
개선: 삭제 실패 안내, 브라우저 사이트 데이터 직접 삭제, 재접속 잔존 확인 순서를 runbook에 고정
잔여 한계실제 지원 브라우저별 삭제 성공과 실제 이용자 복구 이해도는 검증하지 않음
external-file-misdirectionCSV·JSON 외부 파일 오전송
tabletop PASS실제 파일·수신자 없이 합성 장보기 CSV 또는 저식별 JSON이 잘못 공유됐다는 상태만 주입
- 탐지외부 파일 오전송 합성 징후를 실제 데이터 없이 사고 후보로 기록실제 사고가 아니라 오프라인 입력임을 먼저 확인
- 격리추가 저장·공유·전송을 중단하는 합성 판단을 기록계정·메일·제공자 설정은 변경하지 않고 대응 경계만 검토
- 영향 평가로컬·다운로드·호스팅 경계를 분리하고 영향 가능성을 최소 범위로 평가실제 정보주체·실제 수신자·실제 제공자 로그는 사용하지 않음
- 안내 검토완료를 과장하지 않는 합성 안내문과 에스컬레이션 경로를 검토메일 발송과 제공자 문의는 하지 않고 문안만 검증
- 복구·회고복구 조건·rollback·재발 방지와 NO-GO 유지 결정을 검토실제 수신자 회수·외부 사본 삭제·통지 판단 성공을 검증하지 않음
개선: 추가 공유 중단, 사본 위치 분류, 가능한 삭제 요청과 한계 기록 순서를 체크리스트에 고정
잔여 한계실제 수신자 회수·외부 사본 삭제·통지 판단 성공을 검증하지 않음
hosting-access-incidentSites 호스팅 접근사고
tabletop PASS실제 접근·로그·계정 없이 허가되지 않은 workspace identity 접근 의심 상태만 합성 주입
- 탐지Sites 접근사고 합성 징후를 실제 데이터 없이 사고 후보로 기록실제 사고가 아니라 오프라인 입력임을 먼저 확인
- 격리추가 저장·공유·전송을 중단하는 합성 판단을 기록계정·메일·제공자 설정은 변경하지 않고 대응 경계만 검토
- 영향 평가로컬·다운로드·호스팅 경계를 분리하고 영향 가능성을 최소 범위로 평가실제 정보주체·실제 수신자·실제 제공자 로그는 사용하지 않음
- 안내 검토완료를 과장하지 않는 합성 안내문과 에스컬레이션 경로를 검토메일 발송과 제공자 문의는 하지 않고 문안만 검증
- 복구·회고복구 조건·rollback·재발 방지와 NO-GO 유지 결정을 검토실제 Sites 접근 회수·로그 확인·제공자 문의와 응답은 검증하지 않음
개선: 앱 localStorage와 Sites 계층을 분리하고 접근 축소·지원 문의 초안·재개 금지 순서를 고정
잔여 한계실제 Sites 접근 회수·로그 확인·제공자 문의와 응답은 검증하지 않음
V11 RELEASE CONTROL · OWNER-ONLY
v11 후보 변경통제 · 3/3 PASS
v10을 rollback 기준으로 두고 정책 v1.2 후보 commit, 테스트·타입·lint·build·diff를 대조했습니다. owner-only 재배포만 허용하며 공개 운영 GO로 전환하지 않습니다.
GROCERY
v11 · 정책 v1.2
- 후보 commit
- 30b5c0c0dd01ca9715eb1a5dffd1ee8de728bd09
- 검증
- 73 tests · type · lint · build · diff
- 배포
- owner-only만 eligible
- 운영
- retain-no-go
RUNWAY
v11 · 정책 v1.2
- 후보 commit
- 8b9bb95519543ffc798316e4d1853a0c5011f0ed
- 검증
- 75 tests · type · lint · build · diff
- 배포
- owner-only만 eligible
- 운영
- retain-no-go
CARE
v11 · 정책 v1.2
- 후보 commit
- 8f161eb2270d4c9f1bcf6da83589df58c089936c
- 검증
- 93 tests · type · lint · build · diff
- 배포
- owner-only만 eligible
- 운영
- retain-no-go
실 Gmail·계정보안·외부 전문검토·실제 사고 복구는 수행하지 않았습니다. 이 PASS는 비공개 재배포 절차만 허용하며 공개 모집, 실제 사용자, 서버 개인화, provider mutation 또는 SLA 확대를 허용하지 않습니다.
V12 CANDIDATE CONTROL · CUSTOM OWNER-ONLY
v12 후보 변경통제 · 3/3 PASS
직전 owner-only v11 commit을 rollback 기준으로 고정하고 정책 v1.2 후보와 내부 검증을 대조했습니다. custom owner-only 후보만 적격이며 공개 운영으로 전환하지 않습니다.
GROCERY
v12 · 정책 v1.2
- v11 rollback
- adb3d6ea42b88021bd2a1c758c7eed7ebd04e7e5
- v12 후보
- 3b9a76d12358bc99f14eff82211a0a7437ff4efe
- 검증
- 91 tests · type · lint · build · diff
- 접근 조건
- custom · owner-only
- 잔여 관문
- Gmail·계정보안·실복구 blocked · 외부검토 not-started
RUNWAY
v12 · 정책 v1.2
- v11 rollback
- 04f861154108657d7845a1fe128fa69761a0c91f
- v12 후보
- d5f5fec39e51654aa8b82c7e4cddfc9c0160587b
- 검증
- 88 tests · type · lint · build · diff
- 접근 조건
- custom · owner-only
- 잔여 관문
- Gmail·계정보안·실복구 blocked · 외부검토 not-started
CARE
v12 · 정책 v1.2
- v11 rollback
- c09c4cf8daf5e8571921c321b1b4bd0f79b754ef
- v12 후보
- 849ad225d6bc3f2624f69c15be09075969af3fa9
- 검증
- 106 tests · type · lint · build · diff
- 접근 조건
- custom · owner-only
- 잔여 관문
- Gmail·계정보안·실복구 blocked · 외부검토 not-started
이 기록은 v12 후보 변경통제이며 현재 Sites 접근 상태를 실측한 증거가 아닙니다. 실제 provider 확인·실 Gmail·계정보안·외부 전문검토·실제 사고 복구는 수행하지 않았고, 이 PASS로 공개 모집·실사용자·provider mutation·운영 GO를 허용할 수 없습니다.
V13 LOCAL RETURN CONTROL · CUSTOM OWNER-ONLY
v13 로컬 반환 검증 후보통제 · 3/3 PASS
배포된 owner-only v12 증거 commit을 rollback 기준으로 고정하고, 브라우저 메모리와 로컬 CLI의 반환 JSON 구조 검증 후보를 대조했습니다. custom owner-only 후보만 적격이며 외부검토 완료나 공개 운영을 뜻하지 않습니다.
GROCERY
v13 · 정책 v1.2
- v12 rollback
- 6b3f0be3c01e16b87cb62a5153244bfc4aaecec5
- v13 후보
- 7e133321f499a224ddbb472a78702aacce0012ef
- 검증
- 109 tests · type · lint · build · diff · threat audit
- 구조 판정
- browser structure-match-unverified · CLI exit 3
- 잔여 관문
- 외부검토·서명·자격 not-started · Gmail·계정보안·실복구 blocked
RUNWAY
v13 · 정책 v1.2
- v12 rollback
- 36aafeb655a659304973b76fd3139072e4468048
- v13 후보
- 62e2118bb768b373336a6ec9f6832fb674fc51a7
- 검증
- 106 tests · type · lint · build · diff · threat audit
- 구조 판정
- browser structure-match-unverified · CLI exit 3
- 잔여 관문
- 외부검토·서명·자격 not-started · Gmail·계정보안·실복구 blocked
CARE
v13 · 정책 v1.2
- v12 rollback
- d774d2cc893dfa0a4c736292a7f0dbb5087a33ff
- v13 후보
- db7d46a32e141bd85c6024eee1ac73fd7bac7816
- 검증
- 124 tests · type · lint · build · diff · threat audit
- 구조 판정
- browser structure-match-unverified · CLI exit 3
- 잔여 관문
- 외부검토·서명·자격 not-started · Gmail·계정보안·실복구 blocked
이 기록의 PASS는 로컬 반환 검증 후보의 구조와 차단 동작만 다룹니다. 현재 Sites 접근 상태를 실측한 증거가 아니며, 구조 일치와 CLI exit 3은 서명·검토자 자격·실 Gmail·계정보안·실제 사고 복구·운영 준비 또는 공개 승인을 증명하지 않습니다. 로컬 시스템 시계는 신뢰 증거가 아니고 원본 파일을 삭제하지 않습니다.
SITES PROVIDER SNAPSHOT · READ-ONLY
v11 배포·복원 후보 관찰 증거 · STALE · BLOCKED
Sites 제어면을 읽기 전용으로 확인해 관찰 당시 v11 archive와 v10 복원 후보, owner-only 접근 수를 결속했습니다. 실시간 감시나 실제 rollback·사고 복구 실행 증거는 아닙니다.
GROCERY
custom · access rev 1
- 관찰 당시 버전
- v11 · adb3d6ea42b88021bd2a1c758c7eed7ebd04e7e5
- 복원 후보
- v10 · 5a148729b96536456fa2dc656e7ce8e7f78a2c6c
- 관찰 당시 허용
- user 1 · group 0
RUNWAY
custom · access rev 1
- 관찰 당시 버전
- v11 · 04f861154108657d7845a1fe128fa69761a0c91f
- 복원 후보
- v10 · aae417fd9b4783fd0dace3d631af2c6f29d633da
- 관찰 당시 허용
- user 1 · group 0
CARE
custom · access rev 1
- 관찰 당시 버전
- v11 · c09c4cf8daf5e8571921c321b1b4bd0f79b754ef
- 복원 후보
- v10 · 403c3176a168184cd04bc7adf7e8caf7583348f2
- 관찰 당시 허용
- user 1 · group 0
이 관찰본은 live monitor나 현재 버전 보증이 아닙니다. 새 배포 또는 Sites 접근·버전 변경이 있으면 기한 전에도 즉시 재검증해야 하며, 실제 rollback rehearsal와 사고 원인 격리·권리요청 대기열 확인·명시적 재개 승인이 없으면 실제 복구와 공개 확장은 계속 NO-GO입니다.
POLICY v1.2 · CALCULATED EVIDENCE
개인정보 Phase Zero 계산 증거
문구를 완료로 바꾸는 것만으로 통과하지 않습니다. 입력값·근거·사전조건을 다시 계산하며, 현재 일관성 검증과 별개로 실 운영 판정은 NO-GO입니다.
오프라인 PASS로 실 Gmail 게이트를 대신할 수 없습니다
오프라인 탁상훈련은 문서 검증으로 통과했지만 실 메일 발송 권한은 없고, 연결자·통제 수신자·보안·위험·전문검토 게이트가 남았습니다. 따라서 현재 실제 발송은 0건이며 합성-only mailbox 정책도 미채택입니다.
현재 판정: NO-GO · 실제 개인정보, 첨부, 자동 전달, 위임, 비밀 증거 또는 제공자 삭제 완료 주장이 들어오면 즉시 실패합니다.
실제 계정 접근 전에는 모두 미점검입니다
계정 상태를 추정하지 않습니다. 점검할 때도 비밀번호·비밀·백업코드·복구값, 이메일·전화·IP·기기명을 증거에 복사하지 않고 날짜·판정·건수·비식별 요약만 남깁니다.
Google 보안진단
적색·황색 권고와 계정별 보안 권고를 직접 확인
Google 공식 기준2단계 인증
활성화 여부와 피싱에 강한 두 번째 인증수단을 확인
Google 공식 기준패스키·보안키
본인이 통제하는 기기에만 등록됐는지 확인
Google 공식 기준복구 수단
복구 수단의 통제권·최신성만 확인하고 실제 값을 증거에 복사하지 않음
Google 공식 기준세션·접속 기기
설명할 수 없는 세션이 없는지만 확인하고 기기명은 저장하지 않음
Google 공식 기준최근 Gmail 활동
동시 세션·접근 유형의 이상 여부만 확인하고 IP는 저장하지 않음
Google 공식 기준자동 전달
승인되지 않은 전체·필터 전달이 없는지 확인
Google 공식 기준메일 위임
읽기·발송·삭제 권한을 가진 위임자가 없는지 확인
Google 공식 기준전달·자동삭제 필터
전달 또는 삭제를 수행하는 알 수 없는 필터가 없는지 확인
Google 공식 기준POP·IMAP·다른 주소로 보내기
필요하지 않은 외부 메일 클라이언트와 발신 주소가 없는지 확인
Google 공식 기준제3자 앱 접근
Gmail 접근 범위와 목적을 확인하고 불필요한 연결을 제거
Google 공식 기준개인 계정 휴면
최근 활동과 휴면 사전 알림을 받을 복구 경로의 존재만 확인
Google 공식 기준자율 위험평가는 계산 완료 · 높은 잔여위험으로 NO-GO
이 register는 자율 개인정보 위험평가이며 법정 개인정보 영향평가가 아닙니다. 법정 평가 대상 여부는 별도 미판정 상태입니다. 5×5 방식으로 다시 계산한 결과 높은 잔여위험 6건이 남아 공개 운영을 허용하지 않습니다.
민감 첨부 유입
이용자가 신분·건강·금융 증빙을 Gmail에 첨부해 보내는 상황
- 현재 통제
- 최초 이메일 최소정보 안내 · 오프라인 첨부 대응 탁상훈련
- 다음 통제
- 실 Gmail에서 첨부 비열람·격리·파기·회신 경계를 승인하고 훈련
Gmail 계정 탈취
계정 또는 연결 앱이 탈취되어 요청 메일과 답신이 노출·변조되는 상황
- 현재 통제
- Google 공식 보안 체크리스트 정의
- 다음 통제
- 보안진단 12항목을 실제 계정에서 점검하고 미승인 접근 0건 증적 확보
보관·파기 일정 불명확
Gmail 휴지통 30일을 운영자 정책으로 오인하거나 thread가 무기한 남는 상황
- 현재 통제
- Gmail UI 기준과 Google 일반 삭제 기준 분리
- 다음 통제
- 적용 근거에 맞는 운영자 보유·파기 기간과 예외·확인 절차 승인
국외 처리·위탁 분류 미확정
Gmail·Sites 처리관계와 위치를 잘못 분류해 필요한 고지·계약·통제를 빠뜨리는 상황
- 현재 통제
- Google·Sites 제공자 경계를 앱 데이터와 분리해 공개
- 다음 통제
- 개인·비사업자 여부와 무관하게 전문 검토로 관계·위치·의무 판정
1인 운영자 부재
운영자 부재·계정 잠금 중 권리요청 또는 사고가 처리되지 않는 상황
- 현재 통제
- 대리 없음과 1인 운영을 공개 · 운영 중단 규칙 정의
- 다음 통제
- 대리자 신설을 가정하지 않는 중단·복구·공지 연속성 절차 훈련
삭제 완료 오진
Gmail UI 삭제를 제공자 저장시스템·백업 또는 수신자 사본 삭제 완료로 회신하는 상황
- 현재 통제
- 완료 주장 금지 문구 · 상충 주장 변이테스트
- 다음 통제
- 실 왕복훈련에서 UI 조치·제공자 한계·수신자 사본을 구분한 답신 검증
개인·비사업자여도 전문검토 항목을 면제하지 않습니다
Gmail 처리관계
미판정 · 전문 검토 필요권리요청 메일 처리에서 Google/Gmail의 위탁·제3자 관계와 책임은 무엇인가
결론·근거: 전문 검토 전 미기록Gmail 국외 처리
미판정 · 전문 검토 필요처리 위치·이전 유형·고지 또는 추가 조치가 필요한가
결론·근거: 전문 검토 전 미기록Gmail 보관·삭제
미판정 · 전문 검토 필요운영자 보유기간·예외·휴지통·백업·수신자 사본을 어떻게 구분할 것인가
결론·근거: 전문 검토 전 미기록Gmail 보안·사고
미판정 · 전문 검토 필요1인 운영 계정 보안과 침해사고 협조·통지 경계는 충분한가
결론·근거: 전문 검토 전 미기록Sites 처리관계
미판정 · 전문 검토 필요Sites 접속·인증 메타데이터의 처리 주체·역할·하위 제공자 경계는 무엇인가
결론·근거: 전문 검토 전 미기록Sites 보관·삭제
미판정 · 전문 검토 필요Sites 전용 로그 항목·보유기간·삭제·권리행사 경로를 확인할 수 있는가
결론·근거: 전문 검토 전 미기록권리처리 법 적용
미판정 · 전문 검토 필요이 서비스에 적용되는 열람·정정·삭제·처리정지 의무와 예외는 무엇인가
결론·근거: 전문 검토 전 미기록법정 개인정보 영향평가 대상
미판정 · 전문 검토 필요법정 개인정보 영향평가 대상인지 별도 판단이 필요한가
결론·근거: 전문 검토 전 미기록실사용자 메일 수명주기는 아직 승인하지 않았습니다
- 운영자 보유기간
- 미확정
- 운영자 삭제기간
- 미확정
- Gmail 휴지통 UI
- 30일
- 법적 근거·절차 승인
- 미확정 · 미승인
Gmail 휴지통 30일은 제공자 UI 동작 기준입니다. 이를 안전알뜰의 보유기간이나 파기기간으로 사용하면 계산 검증에 실패합니다. Google 일반 저장시스템·백업과 수신자 사본의 삭제 완료도 이 값으로 증명할 수 없습니다.
09 · PHASE 0 HARD GATES
차단·부분 구현 게이트가 해소되기 전 공개하지 않습니다
정책과 데이터 인벤토리 일치
근거 확인- 현재 근거
- 실증 정책 v1.3에서 현재 로컬 저장·테마 선택·다운로드·권리행사 이메일과 Gmail·KAMIS 서버 간 query·Next.js 서버 메모리·Sites 호스팅 경계를 코드와 대조했습니다. v13 외부검토 전달팩은 정책 v1.2의 과거 후보 증거이며 현재 테마 변경의 검토 증거가 아닙니다.
- 다음 행동
- 기능이나 처리 경계가 바뀔 때 코드·정책·인벤토리를 한 변경으로 갱신
운영자·CPO 책임 배정
근거 확인- 현재 근거
- Omnilude 공개 약관·방침과 운영자 확인(2026-07-12)으로 운영자·CPO 김종민 대표, 개인·1인 운영, 법인·개인사업자·상호·사업자등록·통신판매업 신고·사업장 주소 해당 없음, 대리 없음과 개인 거주지 비수집·비공개를 기록
- 다음 행동
- 운영 형태 변경을 감시하고 합성 연속성 3건을 재실행합니다. 합성 PASS는 법률 검토, 실제 부재 대응 성공 또는 공개 운영 적격성 인증이 아님
문의·권리행사 채널
부분 구현- 현재 근거
- 최소정보·범위분류·비례 본인확인·8필드 기록·4요소 답신을 합성 입력으로 재평가한 오프라인 탁상훈련 3건은 PASS했으나 웹 폼·자동 모니터링·접수번호·처리 추적·자율 응답 SLA가 없고 실 Gmail 왕복·응답시간은 미실시
- 다음 행동
- 합성 PASS와 분리된 승인 절차로 실 Gmail 접수·분류·필요시 본인확인·결과 통지와 응답시간을 훈련
권리행사 이메일 처리 경계
차단- 현재 근거
- 메일 주소·제목·본문·첨부·답신·본인확인과 메타데이터가 이용자 메일 제공자와 Google/Gmail에 남을 수 있으나 정확한 보관·삭제 일정과 위탁·국외 이전 판단은 미확정
- 다음 행동
- Google 제공자 기준선과 실제 계정 설정을 대조하고 전문 검토로 Gmail 처리 관계·위치·보관·파기 책임을 확정한 뒤 실 thread 처리기록을 시험
법적 근거와 법률 검토
차단- 현재 근거
- 현재 문서는 법정 개인정보 처리방침이 아니며 전문 법률 검토를 마치지 않았습니다. 자율 개인정보 위험 register 6건은 계산 완료했지만 모두 높은 잔여위험입니다. 법정 개인정보 영향평가는 자율 평가와 분리하며 이 개인 서비스에 자동 적용 또는 자동 면제된다고 단정하지 않고 대상 여부를 전문가 확인 전 미판정으로 둡니다.
- 다음 행동
- 처리 목적·법적 근거·위탁·국외 처리·보유기간을 전문 검토하고 자율 위험 register의 높은 잔여위험 6건을 해소·재계산합니다. 법정 개인정보 영향평가 대상 여부는 별도 전문가 확인 후 필요한 경우에만 진행합니다.
호스팅·인증 메타데이터 경계
차단- 현재 근거
- 2026-07-09 Sites Terms·개인용 DPA에서 OpenAI의 Hosted Data processor 역할이라는 계약 사실은 확인했지만, 현재 계정 적용성, Sites·KAMIS·네트워크 실제 필드·보유·삭제·subprocessor·국외처리와 한국법상 위탁·국외이전 분류는 미확정
- 다음 행동
- 현재 계정에 적용되는 호스팅 조건과 실제 처리·보관·삭제·하위처리자 범위를 확인하고 한국법상 분류를 외부 전문검토한 뒤 인벤토리에 확정값 반영
서버 메모리 공개 가격 캐시 수명주기
부분 구현- 현재 근거
- 72시간 초과 행을 다음 유효한 게이트웨이 요청마다 오래된 순으로 최대 50건 서버 메모리에서 삭제하도록 구현·시험했지만 무트래픽·50건 초과 적체·정리 실패 시 잔존 가능하며 서버 재시작 시 전체 캐시가 사라짐
- 다음 행동
- 정기 스케줄 또는 운영 정리 runbook, cleanup 실패·적체 모니터링, 담당자와 긴급 전체 정리 절차를 확정·훈련
사고대응 RACI와 모의훈련
부분 구현- 현재 근거
- 김종민 대표를 주 담당으로 배정하고 대리 없음도 확인했습니다. 권리행사 3건과 별도로 대리 없는 1인 연속성 합성훈련 3건, 로컬 삭제 실패·CSV/JSON 오전송·Sites 접근사고 기술 tabletop 3건을 계산형 기준으로 PASS했습니다. 실제 사고, 계정 접근, 외부 발송, 제공자 mutation, 법률 판단과 실 Gmail 왕복은 미실시이므로 실운영 준비 완료가 아닙니다.
- 다음 행동
- 합성 연속성·기술사고 증적을 정기 재실행하고 실제 Gmail·Sites·KAMIS·법률 외부 게이트가 충족될 때 별도 승인된 실훈련으로 대응시간·제공자 조치와 재개 조건을 검증
KAMIS 운영 이용 승인
차단- 현재 근거
- 현재 공식 문서 sample mode이며 운영 인증키·이용 승인 검증이 아님 · https://www.kamis.or.kr/customer/reference/openapi_list.do?action=detail&boardno=1
- 다음 행동
- 운영 이용조건을 확인하고 발급 키를 비밀 저장소에 구성한 뒤 sample/live 병행 검증