개인정보 처리방침

최종 개정일: 2026년 4월 12일 | 시행일: 2026년 3월 12일

본 방침 개정 시 시행 30일 전 서비스 내 공지합니다.

유투디아(이하 "회사")는 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 및 「전자상거래 등에서의 소비자보호에 관한 법률」 등 관련 법령을 준수하며, 정보주체의 개인정보를 보호하기 위하여 다음과 같이 개인정보 처리방침을 수립·공개합니다. 본 방침은 개인정보보호위원회 2025년 작성지침을 준거합니다.

제1조 (개인정보의 수집 항목 및 방법)

1. 수집 항목

구분	항목
필수	이메일, 이름, 비밀번호(해시 저장), 전화번호
선택	사업자등록번호, 사업장 주소, 업종, 대표자명, 선호 마켓플레이스
자동수집	IP 주소, 접속기록(접속일시/접속한 URL/브라우저 정보), 쿠키, 서비스 이용기록
소셜 로그인	카카오/네이버/구글 계정 이메일, 프로필 닉네임
본인인증	이름, 생년월일, 성별, 휴대전화번호, CI/DI (포트원 경유)

2. 수집 방법

회원가입 화면, 서비스 이용 중 직접 입력
포트원(PortOne) 본인인증 서비스를 통한 수집
소셜 로그인(OAuth 2.0)을 통한 수집
서비스 이용 과정에서 자동으로 생성·수집 (접속 로그, 쿠키 등)

제2조 (개인정보의 수집·이용 목적)

구분	이용 목적
계약이행	서비스 제공, 본인확인, 회원자격 유지·관리, 마켓플레이스 API 연동, 재고/주문 관리
결제/정산	유료 구독 서비스 결제 처리, 요금 정산, 환불 처리
법적 의무	접속기록 보관(정보통신망법), 전자상거래 기록 보관(전자상거래법)
마케팅 (선택동의)	이벤트 안내, 신규서비스 안내, 맞춤형 서비스 제공, 통계·분석

제3조 (개인정보의 보유 및 이용 기간)

회사는 법령에 따른 개인정보 보유·이용 기간 또는 정보주체로부터 개인정보를 수집 시에 동의받은 개인정보 보유·이용 기간 내에서 개인정보를 처리·보유합니다.

항목	보유 기간	근거 법령
회원정보	회원 탈퇴 시까지	개인정보 보호법
접속기록	12개월	통신비밀보호법 제15조의2, 개인정보보호법 시행령 제30조
전자상거래 거래기록	5년	전자상거래법
계약/청약철회 기록	5년	전자상거래법
대금결제/재화공급 기록	5년	전자상거래법
소비자 불만/분쟁처리 기록	3년	전자상거래법

제4조 (개인정보의 파기 절차 및 방법)

1. 파기 절차

회원 탈퇴 시 즉시 파기: 이용자가 회원 탈퇴를 요청하면 해당 이용자의 개인정보는 즉시 파기합니다. 단, 아래 법정 보존기간이 적용되는 항목은 별도의 데이터베이스(DB)로 분리하여 해당 기간 동안 보관한 후 파기합니다.
보유 기간 경과 시: 보유 기간이 경과하거나 처리 목적이 달성된 개인정보는 지체 없이(목적 달성일 또는 보유 기간 만료일로부터 5일 이내) 파기합니다.

2. 휴면 계정 처리

휴면 전환: 최종 로그인일로부터 1년간 서비스 미이용 시 해당 계정을 휴면 상태로 전환하고, 개인정보를 별도의 데이터베이스(DB)에 분리 보관합니다. 휴면 전환 30일 전 이메일로 사전 안내합니다.
분리 보관 후 파기: 분리 보관 시점으로부터 3년 경과 시 해당 개인정보를 지체 없이 파기합니다.
휴면 해제: 이용자가 재로그인하면 본인 확인 후 즉시 휴면 상태를 해제하고 정상 계정으로 복원합니다.

3. 법정 보존기간

관련 법령에 따라 일정 기간 보존이 필요한 정보는 아래 기간 동안 별도 분리 보관합니다.

보존 항목	보존 기간	근거 법령
계약 또는 청약철회에 관한 기록	5년	전자상거래 등에서의 소비자보호에 관한 법률
대금결제 및 재화 등의 공급에 관한 기록	5년	전자상거래 등에서의 소비자보호에 관한 법률
소비자 불만 또는 분쟁처리에 관한 기록	3년	전자상거래 등에서의 소비자보호에 관한 법률
웹사이트 접속기록	12개월 (법정 최소)	통신비밀보호법 제15조의2

4. 파기 방법

전자적 파일: 복구 불가능한 기술적 방법(로우레벨 포맷, 덮어쓰기, 완전 삭제 소프트웨어 등)을 사용하여 영구 삭제합니다.
종이 문서: 분쇄기(cross-cut 이상)로 분쇄하거나 소각합니다.
암호화된 데이터: 암호키 파기를 통한 복원 불가 조치를 수행합니다.

5. 접속기록 자동 파기

통신비밀보호법 제15조의2 및 개인정보보호법 시행령 제30조에 따라 12개월간 보관하며, 보관 기간 경과 후 자동화된 배치 프로세스를 통해 주기적으로 파기합니다.

제5조 (개인정보의 제3자 제공)

회사는 정보주체의 개인정보를 제1조(수집·이용 목적)에서 명시한 범위 내에서만 처리하며, 정보주체의 동의, 법률의 특별한 규정 등 「개인정보 보호법」 제17조 및 제18조에 해당하는 경우에만 개인정보를 제3자에게 제공합니다.

현재 개인정보를 제3자에게 제공하고 있지 않습니다. 향후 제3자 제공이 필요한 경우, 별도의 동의를 받고 본 방침을 업데이트합니다.

제6조 (개인정보 처리 위탁)

회사는 원활한 서비스 제공을 위해 다음과 같이 개인정보 처리업무를 위탁하고 있습니다.

수탁업체	위탁 업무
Supabase Inc.	데이터베이스 호스팅 및 인증 서비스
Vercel Inc.	웹 애플리케이션 호스팅
토스페이먼츠	결제 처리
포트원(PortOne)	본인인증 서비스
Resend Inc.	이메일 발송 (인증번호, 알림)
CoolSMS (주식회사 누리고)	SMS/LMS 발송 (인증번호)

위탁 계약 시 개인정보가 안전하게 관리될 수 있도록 관련 법령에 따른 필요한 사항을 규정하고 있습니다.

개인정보의 국외 이전

회사는 서비스 제공을 위해 다음과 같이 개인정보를 국외에 이전하고 있습니다. 본 안내는 「개인정보 보호법」 제28조의8 및 GDPR Art.13(1)(f)에 따른 국외이전 고지사항입니다.

이전받는 자 (수탁자)	이전 국가	이전 목적 / 업무	이전 근거	보유 기간	연락처
Vercel Inc.	미국 (US)	Hosting / CDN / Edge Functions	GDPR SCC (표준계약조항)	서비스 이용 기간	privacy@vercel.com
OpenAI, L.L.C.	미국 (US)	AI 언어 모델 호출 (CS 자동응답)	GDPR SCC (표준계약조항)	호출 완료 즉시 파기 (API 로그 30일)	privacy@openai.com
Anthropic PBC	미국 (US)	AI 언어 모델 호출 (분석 / 추천)	GDPR SCC (표준계약조항)	호출 완료 즉시 파기 (API 로그 30일)	privacy@anthropic.com
Supabase Inc.	미국 / 싱가포르	Database / Auth	GDPR SCC (표준계약조항)	서비스 이용 기간	privacy@supabase.io
Cloudflare Inc.	미국 (글로벌 엣지)	DDoS 방지 / CDN	GDPR SCC (표준계약조항)	서비스 이용 기간	privacyquestions@cloudflare.com
Sentry (Functional Software Inc.)	미국 (US)	오류 로깅 / 모니터링	GDPR SCC (표준계약조항)	90일	privacy@sentry.io
PostgreSQL Managed Host	해당 리전 (서비스별 상이)	DB 호스팅	GDPR SCC (표준계약조항)	서비스 이용 기간	support@u2dia.com
Resend Inc.	미국 (US)	이메일 발송 (인증번호 / 알림)	GDPR SCC (표준계약조항)	발송 후 30일	privacy@resend.com

해당 국가는 개인정보보호법 제28조의8에 따른 적정성 평가를 받지 않은 국가입니다. 당사는 정보주체의 동의를 받아 개인정보를 이전하며, 각 수탁자와의 표준계약조항(SCC, Standard Contractual Clauses) 체결을 통해 개인정보의 안전한 처리를 보장합니다. GDPR Art.46(2)(c)에 따른 적절한 보호조치 문서는 support@u2dia.com 으로 요청하실 수 있습니다.

중국 개인정보보호법(PIPL) 별도 고지

중국 개인정보보호법(PIPL) 제38조에 따라, 중국 소재 이용자의 개인정보를 국외(대한민국 포함)로 이전하는 경우 별도 동의를 받습니다. 중국 마켓플레이스(Taobao, Temu, Pinduoduo, 1688) 연동 시 중국 내 데이터는 해당 플랫폼의 현지 서버에 보관될 수 있습니다. 회사는 PIPL이 요구하는 개인정보 보호 영향 평가를 실시하며, 국외이전 시 중국 국가인터넷정보판공실(CAC)의 보안 평가 또는 표준계약 체결 등 법정 요건을 준수합니다. 관련 문의: support@u2dia.com

EU 대표자 지정 안내 (GDPR 제27조)

회사는 EU 역내 이용자에게 서비스를 제공하기에 앞서 GDPR(일반 개인정보 보호규정) 제27조에 따라 EU 대표자를 지정할 예정입니다. 현재 EU 서비스 개시 전 단계로, EU 대표자 지정이 완료되면 이 페이지에 대표자 정보를 업데이트합니다. 관련 문의: support@u2dia.com

제7조 (정보주체의 권리·의무)

정보주체는 회사에 대해 언제든지 다음 각 호의 개인정보 보호 관련 권리를 행사할 수 있습니다.

개인정보 열람 요구
오류 등이 있을 경우 정정 요구
개인정보 삭제 요구
개인정보 처리 정지 요구
개인정보 이동 요구 (개인정보 보호법 제35조의2)
자동화된 의사결정에 대한 설명 요구 및 이의 제기 (개인정보 보호법 제37조의2)

권리 행사는 서비스 내 설정 메뉴, 이메일(support@u2dia.com), 또는 고객센터를 통해 할 수 있으며, 회사는 지체 없이 조치합니다.

자동화된 의사결정(AI 기반 시장분석, 트렌드 예측, 가격 추천, 재고 예측 등)에 대해 정보주체는 해당 결정의 로직 및 영향에 대한 설명을 요구하고, 결정에 이의를 제기하며, 인적 개입을 요구할 수 있습니다. 회사의 AI 분석 결과는 이용자의 최종 의사결정을 대체하지 않으며, 참고 자료로서 제공됩니다.

정보주체가 개인정보의 오류 등에 대한 정정 또는 삭제를 요구한 경우, 회사는 정정 또는 삭제를 완료할 때까지 당해 개인정보를 이용하거나 제공하지 않습니다.

제8조 (개인정보의 안전성 확보조치)

회사는 개인정보의 안전성 확보를 위해 다음과 같은 기술적·관리적·물리적 조치를 취하고 있습니다.

1. 기술적 조치

비밀번호: bcrypt (salt factor 12)로 단방향 해시 저장 — 원문 복원 불가
전화번호, 사업자등록번호, 주소: AES-256-GCM 알고리즘으로 양방향 암호화 저장 — 매 암호화마다 랜덤 IV 생성, Auth Tag로 무결성 검증
검색용 해시: 전화번호/사업자등록번호 검색 시 SHA-256 해시값으로 비교 (원문 노출 없이 검색 가능)
접근 통제: JWT 기반 인증 + 2중 보안 미들웨어 (Edge Middleware + API Route 검증)
마켓플레이스 API 키: AES-256-GCM으로 필드별 개별 암호화, 마스터 키는 환경변수에서 로드
전송 구간 암호화: TLS 1.2+ (HTTPS) 적용, HSTS 헤더 설정
보안 헤더: CSP, X-Frame-Options(frame-ancestors none), Permissions-Policy 적용

2. 관리적 조치

개인정보 접근 권한을 최소한으로 제한 (역할 기반 접근 통제 — RBAC)
접속기록 최소 12개월 보관 및 위·변조 방지 (통신비밀보호법 제15조의2)
암호화 마스터 키 주기적 로테이션 정책 운영

3. 물리적 조치

클라우드 인프라(Supabase, Vercel)의 SOC 2 Type II 인증 데이터센터 활용
데이터베이스 접근은 서비스 서버를 통해서만 가능 (직접 접근 차단)

개인정보 침해사고 대응 계획

개인정보 유출 등 침해사고 발생 시 대응 절차는 별도의 침해사고 대응 계획에서 확인하실 수 있습니다.

침해사고 대응 계획 보기 →

제9조 (개인정보 보호책임자)

회사는 개인정보 처리에 관한 업무를 총괄해서 책임지고, 개인정보 처리와 관련한 정보주체의 불만처리 및 피해구제를 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.

상호: U2DIA (유투디아)
성명: 최유이
직책: 개인정보 보호책임자 (CPO)
이메일: support@u2dia.com
통신판매업신고번호: 제2026-인천서구-1080호

개인정보보호책임자 (DPO)

회사는 GDPR 제37조 및 「개인정보 보호법」 제31조에 따라 다음과 같이 개인정보보호책임자(Data Protection Officer)를 지정합니다.

성명: 유승연 (대표)
소속: U2DIA Inc.
이메일: privacy@u2dia.com
전화: 추후 공개

동남아시아(태국 PDPA 등) 지역 대리인은 지정 예정이며, 확정 시 본 항을 업데이트합니다.

정보주체는 서비스를 이용하면서 발생한 모든 개인정보 보호 관련 문의, 불만처리, 피해구제 등에 관한 사항을 개인정보 보호책임자 또는 DPO에게 문의할 수 있습니다. 회사는 정보주체의 문의에 대해 지체 없이 답변 및 처리해드리겠습니다.

권익 침해 구제 기관

개인정보 침해신고센터 (한국인터넷진흥원): privacy.kisa.or.kr / (국번없이) 118
개인정보 분쟁조정위원회: www.kopico.go.kr / 1833-6972
대검찰청 사이버수사과: www.spo.go.kr / (국번없이) 1301
경찰청 사이버수사국: ecrm.police.go.kr / (국번없이) 182

제10조 (쿠키 등 자동수집장치의 설치·운영 및 거부)

회사는 이용자의 서비스 이용 편의를 높이기 위하여 쿠키(Cookie)를 사용합니다.

1. 쿠키의 유형 및 목적

구분	목적	거부 가능 여부
필수 쿠키	로그인 세션 유지, CSRF 보호, 보안 인증 (JWT Refresh Token), 언어 설정	비활성화 불가 (서비스 운영에 필수)
분석 쿠키	서비스 이용 통계 수집, 성능 개선 (Vercel Analytics)	거부 가능
마케팅 쿠키	맞춤형 광고 및 프로모션 (현재 미사용)	거부 가능

2. 쿠키 설치·운영

쿠키는 이용자의 웹브라우저에 저장되는 소량의 텍스트 파일입니다.
회사는 서비스 최초 방문 시 쿠키 동의 배너를 통해 선택적 쿠키(분석/마케팅)에 대한 동의를 받습니다.
필수 쿠키는 서비스 제공에 반드시 필요하므로 별도 동의 없이 사용됩니다.

3. 쿠키 거부 방법

서비스 내 설정: 화면 하단의 쿠키 설정 배너에서 "필수만 허용" 또는 "상세 설정"을 통해 선택적 쿠키를 거부할 수 있습니다.
브라우저 설정: 웹브라우저 설정에서 쿠키 허용/차단을 관리할 수 있습니다.
- Chrome: 설정 > 개인 정보 보호 및 보안 > 쿠키 및 기타 사이트 데이터
- Safari: 환경설정 > 개인 정보 보호 > 쿠키 및 웹사이트 데이터 관리
- Firefox: 설정 > 개인 정보 및 보안 > 쿠키 및 사이트 데이터
- Edge: 설정 > 쿠키 및 사이트 권한 > 쿠키 및 사이트 데이터 관리 및 삭제
쿠키 저장을 거부할 경우 로그인이 필요한 일부 서비스 이용에 제한이 있을 수 있습니다.

제10조의2 (행태정보의 수집·이용·제공 및 거부)

회사는 이용자에게 보다 나은 서비스를 제공하기 위하여 다음과 같이 온라인 행태정보를 수집·이용합니다.

1. 수집하는 행태정보

서비스 이용 패턴 (페이지 조회, 클릭, 체류시간)
검색어
기기 정보 (기기 유형, 운영체제, 브라우저 종류 및 버전, 화면 해상도)

2. 수집 목적

서비스 개선 및 품질 향상
맞춤형 콘텐츠 제공
통계 분석 및 서비스 이용 현황 파악

3. 수집 방법

Vercel Analytics를 통한 자동 수집
자체 로그 수집 시스템

4. 보유 기간

수집된 행태정보는 수집 후 12개월간 보유하며, 보유 기간 경과 후 지체 없이 파기합니다.

5. 제3자 제공

현재 제3자에게 행태정보를 제공하지 않습니다. 향후 제3자 제공이 필요한 경우, 별도의 동의를 받고 본 방침을 업데이트합니다.

6. 거부 방법

브라우저 쿠키 설정: 웹브라우저의 쿠키 설정에서 분석 쿠키를 차단하여 행태정보 수집을 거부할 수 있습니다.
서비스 내 분석 동의 철회: 서비스 설정 메뉴에서 분석 정보 수집에 대한 동의를 철회할 수 있습니다.

행태정보 수집을 거부하더라도 서비스 이용에는 제한이 없으나, 맞춤형 콘텐츠 제공이 제한될 수 있습니다.

제11조 (자동화된 의사결정에 대한 권리)

회사는 인공지능(AI) 기술을 활용하여 다음의 자동화된 분석 기능을 제공합니다. 인공지능 기본법 제31조 및 개인정보 보호법 제37조의2에 따라, 이 기능이 AI에 의해 운용된다는 사실을 이용자에게 고지합니다.

1. AI 활용 기능

시장 분석: 마켓플레이스 데이터를 기반으로 카테고리별 인기상품, 가격 추이 등을 분석
트렌드 예측: 과거 판매 데이터 및 시장 동향을 기반으로 수요를 예측
가격 추천: 경쟁사 가격, 원가, 수요를 고려한 최적 판매 가격 제안
재고 예측: 판매 패턴 분석을 통한 적정 재고량 추천
이상 탐지: 비정상적 접속 패턴, 계정 도용 등 보안 위협 자동 감지

2. 이용자의 권리

설명 요구권: AI 분석 결과에 대해 그 로직, 사용 데이터, 결과 산출 과정에 대한 설명을 요구할 수 있습니다.
이의 제기권: AI 분석 결과에 동의하지 않는 경우 이의를 제기할 수 있습니다.
인적 개입 요구권: AI의 자동화된 판단 대신 담당자의 직접 검토를 요구할 수 있습니다.

이용자가 이의를 제기하는 경우, 회사는 해당 AI 기반 의사결정에 대해 사람에 의한 재검토를 보장합니다. 재검토 결과는 이용자에게 별도 통지되며, 이의제기 접수일로부터 14일 이내에 처리됩니다.

상기 권리는 이메일(support@u2dia.com) 또는 서비스 내 고객지원을 통해 행사할 수 있습니다.

GDPR 제22조 자동화된 의사결정 거부권

이용자는 GDPR 제22조에 따라 자동화된 의사결정(AI 추천, 가격 분석, 트렌드 예측 등)에 대해 거부할 권리가 있으며, 고객센터(support@u2dia.com)를 통해 수동 처리를 요청할 수 있습니다. 거부 요청 시 해당 기능은 AI 자동 처리 대신 담당자의 수동 검토로 대체됩니다.

3. AI 투명성 표시

회사는 인공지능 기본법 제31조에 따라 AI에 의해 생성·분석된 결과물에 "AI 분석 결과" 등의 표시를 합니다. 이 표시는 서비스 화면에서 사람이 인식할 수 있는 형태로 제공되며, 기계판독 가능한 메타데이터(data-ai-generated 속성)도 함께 포함됩니다.

제12조 (아동의 개인정보 보호)

회사는 만 14세 미만 아동의 개인정보 보호를 위하여 다음과 같은 조치를 취하고 있습니다.

「개인정보 보호법」 제22조 및 「정보통신망법」 제31조에 따라, 만 14세 미만 아동의 개인정보를 수집하려면 법정대리인의 동의가 필요합니다.
본 서비스는 만 14세 이상을 대상으로 제공됩니다 (이용약관 제4조의2 참조). 따라서 회사는 원칙적으로 만 14세 미만 이용자의 개인정보를 수집하지 않습니다.
만 14세 미만 아동의 개인정보가 법정대리인의 동의 없이 수집된 사실이 확인된 경우, 회사는 해당 개인정보를 즉시 파기합니다.
법정대리인은 아동의 개인정보에 대해 열람, 정정, 삭제를 요청할 수 있으며, 회사는 이에 지체 없이 필요한 조치를 취합니다.
법정대리인의 권리 행사는 이메일(support@u2dia.com) 또는 서비스 내 고객지원을 통해 할 수 있습니다.

브라질 LGPD 대응: 포르투갈어 고지문은 준비 중입니다. 문의사항은 privacy@u2dia.com으로 연락해주세요.

제13조 (고지의 의무)

이 개인정보 처리방침은 2026년 3월 12일부터 적용됩니다. 법령, 정책 또는 보안 기술의 변경에 따라 내용의 추가, 삭제 및 수정이 있을 경우에는 변경사항의 시행 7일 전부터 서비스 공지사항을 통하여 고지할 것입니다.