Dapanda(이하 "운영자")는 「개인정보 보호법」 제30조에 따라 정보주체의 개인정보를 보호하고 관련 권익을 보장하기 위해 다음과 같이 개인정보 처리방침을 수립·공개합니다.
최종 개정일 2026-05-13 · 시행일 2026-05-13
1. 개인정보의 처리 목적
운영자는 다음의 목적을 위하여 개인정보를 처리합니다. 목적 범위 외의 용도로는 사용되지 않으며, 변경 시 사전 동의를 받습니다.
- 회원 가입 의사 확인, 회원 식별·인증, 본인 여부 확인
- 게시물·댓글 작성 및 관리, 신고·제재 처리
- 운영자와 회원 간 의사소통(공지·문의 응답)
- 서비스 부정 이용 방지·이용 통계 분석
- (Phase 2) 결제·구독·환불 처리, 거래 이력 관리
2. 처리하는 개인정보 항목
필수 항목
- 이메일 주소
- 비밀번호(단방향 해시로만 저장, 원문 보관하지 않음)
- 표시 이름
- 가입·접속 시각, 접속 IP, 브라우저 정보
OAuth 가입 시 추가 항목
- Google: 이메일, 프로필 이미지, 표시 이름
- 카카오·WeChat(예정): 각 제공자가 제공하는 식별자 및 프로필
자동 수집 항목
- 쿠키(세션 유지·인증 토큰)
- 접속 로그(URL·시각·결과 코드), 오류 로그
3. 개인정보의 처리 및 보유 기간
운영자는 법령에 따른 보유·이용 기간 또는 정보주체로부터 동의받은 기간 내에서 개인정보를 처리·보유합니다.
- 회원 정보: 회원 탈퇴 시까지. 가입 이후 또는 마지막 로그인 이후 1년이 경과한 회원의 식별 정보는 매일 1회(한국 표준시 03:00) 자동 익명화 작업으로 처리됩니다. 표시 이름은 "탈퇴한 회원"으로 변경되고 소개·프로필 이미지는 즉시 삭제됩니다.
- 접속·오류 로그: 수집 후 1년
- 전자상거래 거래 기록(Phase 2): 전자상거래법 §6 — 표시·광고 6개월, 계약·청약철회·대금결제·재화공급 5년, 소비자 불만·분쟁처리 3년
4. 개인정보의 제3자 제공
운영자는 정보주체의 개인정보를 본 방침 제1조에 명시된 목적 범위 내에서만 처리하며, 정보주체의 동의 또는 법령에 특별한 규정이 있는 경우 외에는 제3자에게 제공하지 않습니다.
5. 개인정보 처리의 위탁
운영자는 안정적인 서비스 운영을 위해 다음과 같이 개인정보 처리를 위탁하고 있습니다.
| 수탁자 | 위탁 업무 | 국가 |
|---|---|---|
| Supabase, Inc. | 계정 인증, 데이터베이스, 스토리지 | 미국 |
| Vercel, Inc. | 웹 호스팅, CDN, 빌드 | 미국 |
| Google LLC | OAuth 인증(이용자 선택 시) | 미국 |
위 수탁자와의 위탁 계약에는 「개인정보 보호법」 제26조에 따른 안전조치 의무 조항이 포함되어 있습니다.
6. 정보주체와 법정대리인의 권리·의무 및 그 행사 방법
정보주체는 운영자에 대해 언제든지 다음의 권리를 행사할 수 있습니다.
- 개인정보 열람 요구 (PIPA 제35조)
- 오류 등이 있을 경우 정정·삭제 요구 (PIPA 제36조)
- 처리 정지 요구 (PIPA 제37조)
- 회원 탈퇴(처리방침 제3조의 보유 기간 적용)
권리 행사는 회원 대시보드의 설정 메뉴를 통해 직접 하거나, 본 방침 제10조의 책임자 연락처로 요청하실 수 있습니다.
7. 개인정보의 파기 절차 및 방법
운영자는 개인정보 보유 기간의 경과, 처리 목적 달성 등 개인정보가 불필요하게 되었을 때 지체 없이 해당 개인정보를 파기합니다.
- 파기 절차: 회원 탈퇴 또는 보유 기간 도래 시 자동 트리거에 의해 익명화·삭제됩니다.
- 파기 방법: 전자적 파일 형태는 복구 불가능한 방식으로 영구 삭제하며, 백업본은 일정 보관 후 자동 폐기됩니다.
8. 개인정보의 안전성 확보 조치
운영자는 「개인정보 보호법」 제29조 및 같은 법 시행령 제30조에 따라 다음의 관리적·기술적·물리적 조치를 시행합니다. 본 조치 기준은 1인 운영자 체제의 SaaS 인프라(Vercel·Supabase) 위에서 구현됩니다.
8.1 관리적 조치
- 본 처리방침을 내부 관리 계획으로 갈음하며, 분기 1회 점검·갱신합니다.
- 관리자 콘솔 접근은 단일 책임자(운영자 본인) 계정으로 제한되며, 운영자 본인 메일과 공개 책임자 메일을 분리·운영합니다.
- 회원·관리자 권한은 데이터베이스 컬럼(role)으로 분리하고, 권한 변경은 감사 가능한 SQL 변경 이력으로 기록합니다.
- 주요 운영 결정 및 변경 사항은 본 처리방침의 변경 이력 표에 누적 기록합니다.
8.2 기술적 조치
- 전송 구간 암호화 — 전 페이지·API 호출에 HTTPS(TLS 1.2 이상) 강제, HTTP 요청은 자동 리다이렉트.
- 비밀번호 단방향 해시 — Supabase Auth가 bcrypt로 저장하며 원문은 어디에도 보관하지 않습니다.
- 행 단위 접근 제어(RLS) — 회원·게시물·댓글·프로필 테이블 전체에 Postgres Row Level Security 정책을 적용해 본인 데이터 외 접근을 차단합니다.
- SECURITY DEFINER 함수 경계화 — 관리자 권한 우회가 필요한 작업(조회수 증가·탈퇴 익명화 등)은 명시적 PostgreSQL 함수로만 노출하고 search_path를 고정합니다.
- PKCE 기반 OAuth — Google 로그인은 PKCE 흐름으로 토큰 탈취 위험을 줄이며, 세션은 HttpOnly 쿠키로 저장합니다.
- 최소 권한 원칙 — 익명·인증·관리자 세 역할로 분리하고, 익명 키는 클라이언트에 노출 가능한 범위로만 권한 부여합니다. 서비스 키는 환경 변수에 한정합니다.
- 접속 기록 보관 — 인증·관리자 작업 로그를 1년 보관하며 이상 접근 시 운영자에게 알람합니다.
- 의존성·보안 업데이트 — 핵심 의존성(Next.js·React·Supabase SDK)은 최신 안정 버전을 유지하고, 보안 패치는 무관한 다른 작업보다 우선 적용합니다.
8.3 물리적 조치
- 운영자는 자체 데이터센터·서버를 운영하지 않습니다. 모든 데이터는 위탁 수탁자(Supabase·Vercel)의 인증된 시설에 보관됩니다.
- 운영자 본인 단말은 디스크 암호화(FileVault/BitLocker)와 화면 잠금이 활성화된 상태로만 운영 작업을 수행합니다.
8.4 침해사고 대응 절차
- 본인 또는 위탁 수탁자가 침해 사실을 인지한 즉시 영향 범위를 조사합니다.
- 중대 침해로 확인되는 경우 정보주체에게 지체 없이 통지하고, 「개인정보 보호법」 제34조에 따라 한국인터넷진흥원·관계 기관에 신고합니다.
- 침해 원인 분석과 재발 방지 대책을 본 처리방침의 변경 이력에 명시하고, 영향받은 회원에게 동일 채널로 공개합니다.
9. 개인정보 자동수집 장치(쿠키)의 운영 및 거부
운영자는 회원 인증 세션 유지 및 서비스 이용 분석을 위해 쿠키를 사용합니다.
- 필수 쿠키: 로그인 세션, CSRF 보호 — 거부 시 로그인 불가
- 분석 쿠키(예정): 익명 이용 통계 — 브라우저 설정에서 거부 가능
쿠키 거부 방법: 브라우저 설정 → 개인정보 및 보안 → 쿠키 → 모든 쿠키 차단 또는 사이트별 차단.
10. 개인정보 보호책임자
운영자는 개인정보 처리에 관한 업무를 총괄해서 책임지고 다음과 같이 개인정보 보호책임자를 지정하고 있습니다.
책임자 운영자 본인 (1인 운영)
11. 권익 침해에 대한 구제 방법
정보주체는 개인정보 침해로 인한 구제를 받기 위하여 아래 기관에 분쟁 해결, 상담 등을 신청할 수 있습니다.
- 개인정보분쟁조정위원회 — 1833-6972, www.kopico.go.kr
- 개인정보침해신고센터 — 118, privacy.kisa.or.kr
- 대검찰청 사이버수사과 — 1301, www.spo.go.kr
- 경찰청 사이버수사국 — 182, ecrm.police.go.kr
12. 처리방침 변경 이력
| 시행일 | 버전 | 변경 요약 |
|---|---|---|
| 2026-05-12 | v1.0 | 최초 제정 (Phase 1: 회원·게시·댓글 범위) |
| 2026-05-13 | v1.1 | 제8조 안전성 확보 조치를 관리적·기술적·물리적·침해사고 대응 4분류로 확장(시행령 §30 기준). 본문 변경 외 정보주체 권리 범위 변동 없음. |
| 2026-05-13 | v1.2 | 제3조 — 1년 미접속 회원 자동 익명화 처리 시각(KST 03:00)·작업 빈도(매일 1회)·익명화 항목을 명시. PIPA-002 자동 파기 메커니즘 명문화. |