개인정보처리방침
logi (1pass.dev) · 시행일: 2026년 5월 1일 · 최종 개정일: 2026년 4월 29일 · 버전: 1.0
요약. logi는 OAuth 2.0 / OIDC Identity Provider로서, 다른 앱·서비스에 안전한 로그인을 제공합니다. 본 방침은 logi가 어떤 정보를 수집·처리·보관하는지, 그리고 이용자가 가진 권리를 설명합니다. 대한민국 「개인정보 보호법」(PIPA), EU GDPR, 미국 CCPA를 준수하며, 어느 한 규정이라도 더 강한 보호를 요구하면 그 기준을 따릅니다.
1. 처리 주체 및 개인정보 보호책임자
| 구분 | 내용 |
|---|---|
| 처리 주체 (Controller) | Seunghan (개인 사업자 형태로 운영) — 서비스명 "logi" / 도메인 "1pass.dev" |
| 개인정보 보호책임자(CPO) | Seunghan |
| 연락처 | 이메일 privacy@1pass.dev · 일반 문의 support@1pass.dev |
| 관할 감독기관 | 대한민국 개인정보보호위원회(PIPC), 한국인터넷진흥원(KISA) |
2. 수집하는 개인정보 항목
logi는 서비스 제공에 필요한 최소한의 정보만 수집합니다. 모든 항목은 수집 시점에 그 목적과 함께 별도 고지됩니다.
2.1 가입 및 계정 관리 (필수)
- 이메일 주소 — 계정 식별, 보안 알림, 비밀번호 재설정
- 비밀번호 해시 — bcrypt(또는 동급 이상)로 단방향 해시. 평문 비밀번호는 어떠한 경우에도 저장·전송되지 않습니다.
- 디바이스 UUID — 기기 식별, 신규 디바이스 알림
2.2 인증 자격증명 (선택, 사용자가 등록한 경우)
- Passkey 공개키 + Credential ID — WebAuthn 표준에 따른 공개키만 저장, 개인키는 사용자 디바이스에만 존재
- TOTP 시크릿 — 2단계 인증용, AES-256으로 암호화 저장
- 복구 코드 — 일회용, 해시 저장
2.3 로그인 시도 로그 (자동 수집, 보안 목적)
- IP 주소 (IPv4/IPv6)
- HTTP User-Agent, 디바이스 모델·OS 버전
- 로그인 타임스탬프, 성공·실패 여부, 실패 사유
- IP 기반 추정 위치 (도시·국가 단위, 정밀 GPS 좌표 아님)
- 사기 탐지를 위한 디바이스 지문 해시 (브라우저·하드웨어 특성의 단방향 해시)
⚠️ IP 주소는 개인정보로 분류되며, ISP·도시 수준 위치 식별이 가능합니다.
2.4 디바이스 무결성 검증 (선택, 클라이언트 앱이 사용하는 경우)
- Apple App Attest 결과 — Apple이 발행한 attestation/assertion 결과값만 수신·검증, 원본 바이오메트릭 데이터(지문·얼굴)는 수신·보관하지 않습니다.
- Google Play Integrity 결과 — Google이 발행한 무결성 검증 토큰의 verdict만 사용, 디바이스 내 바이오메트릭 데이터에 접근하지 않습니다.
2.5 개발자 계정 (Developer Portal 이용 시)
- 개발자 이메일, 등록 앱명·redirect_uri, client_id, client_secret 해시, 결제 시 결제대행사가 제공하는 거래 ID
2.6 자동 수집되지 않는 정보
- 주민등록번호, 여권번호 등 고유식별정보 — 수집하지 않습니다.
- 정밀 GPS 좌표 — 수집하지 않습니다.
- 광고식별자(IDFA, AAID) — 사기 탐지·광고 추적 목적으로 사용하지 않습니다.
- 주소록, 사진, 마이크, 카메라 콘텐츠 — 접근하지 않습니다.
3. 처리 목적 및 법적 근거
| 목적 | 처리 항목 | 법적 근거 (PIPA / GDPR) |
|---|---|---|
| 계정 생성·유지 | 이메일, 비밀번호 해시, 디바이스 UUID | 계약 이행 (PIPA §15①4 / GDPR Art.6(1)(b)) |
| OAuth 토큰 발급·검증 | 이메일, scope, 디바이스 UUID | 계약 이행 |
| 2단계 인증 / Passkey | TOTP 시크릿, Passkey 공개키 | 이용자 동의 (PIPA §15①1 / GDPR Art.6(1)(a)) |
| 이상 로그인 탐지·차단 | 로그인 로그, IP, 디바이스 지문 해시 | 정당한 이익 — 보안 (GDPR Art.6(1)(f) / PIPA §15①6) |
| 법령상 보존 의무 이행 | 거래 기록, 접속 로그 | 법적 의무 (전자상거래법, 통신비밀보호법) |
| 분쟁 대응·법적 청구 방어 | 관련 모든 항목 | 정당한 이익 — 법적 청구 |
4. 보유·이용 기간
| 구분 | 보유 기간 | 근거 |
|---|---|---|
| 계정 정보 | 회원 탈퇴 시까지 (탈퇴 후 30일 내 영구 삭제) | 이용자 동의 |
| 로그인 시도 로그 | 최대 90일 | 보안·사기 탐지 목적 |
| OAuth access/refresh token | access 1시간, refresh 30일 (회전 시 즉시 폐기) | OAuth 2.0 표준 |
| WORM 감사 로그(인증·관리자 행위) | 3년 | 감사·법적 청구 방어 |
| 거래·결제 기록 | 5년 | 전자상거래법 §6 |
| 접속 로그(통신비밀) | 3개월 | 통신비밀보호법 §15-2 |
| 유출·분쟁 발생 데이터 | 분쟁 종결 + 1년 | 법적 청구 방어 |
5. 제3자 제공 및 처리 위탁
5.1 처리 위탁 (수탁자)
| 수탁자 | 위탁 업무 | 위치 |
|---|---|---|
| Render Services, Inc. | 웹 서버·데이터베이스 호스팅 | 싱가포르 (SG) |
| Cloudflare, Inc. | CDN, WAF, DDoS 방어 | 글로벌 엣지 / 미국 |
| Apple Inc. — App Attest API | iOS 디바이스 무결성 검증 | 미국 |
| Google LLC — Play Integrity API | Android 디바이스 무결성 검증 | 미국 |
| Resend / 동급 이메일 발송 서비스 | 거래 알림·보안 이메일 발송 | 미국 / EU |
| Sentry — 오류 추적 (활성화 시) | 예외·에러 수집 (PII 자동 스크러빙) | 미국 |
위탁 계약에는 개인정보 안전성 확보조치, 재위탁 제한, 위탁 종료 시 즉시 파기 의무가 포함됩니다.
5.2 제3자 제공
logi는 이용자의 명시적 동의 없이 개인정보를 제3자에게 제공하지 않습니다. 단, 다음의 경우는 예외입니다.
- 법원의 영장, 수사기관의 적법한 요청, 규제기관의 정당한 명령
- 이용자 또는 타인의 생명·신체 보호를 위해 긴급한 경우
- 이용자가 OAuth 동의 화면에서 명시적으로 승인한 제3자 앱(Relying Party)에 대한 토큰·scope 정보 전달
6. 국외 이전
logi 인프라(Render, Cloudflare 등) 특성상 일부 데이터가 대한민국 외 국가에서 처리·보관됩니다. PIPA §28-8에 따라 이용자에게 별도 동의를 받습니다.
| 이전국 | 이전받는 자 | 이전 항목 | 이전 시점·방법 |
|---|---|---|---|
| 싱가포르 | Render Services, Inc. | 모든 처리 데이터 | 접속 시점, 암호화 채널 (TLS 1.3) |
| 미국 | Cloudflare, Apple, Google, Resend, Sentry | 요청 메타데이터, 디바이스 attestation 결과, 이메일 주소 | API 호출 시점, TLS 1.3 |
이전받는 자의 개인정보 보호 수준은 EU SCC(표준계약조항) 또는 동급 보호 계약을 통해 보장합니다. 이전을 거부하실 권리가 있으나, 거부 시 서비스 이용이 불가능할 수 있습니다.
7. 정보주체(이용자)의 권리
이용자는 언제든지 다음 권리를 행사할 수 있으며, logi는 요청 접수 후 30일 이내(GDPR은 1개월)에 처리 결과를 통지합니다.
- 열람권 — 처리 중인 본인의 개인정보 사본 요청
- 정정·삭제권 — 부정확하거나 불필요한 정보의 정정·삭제 요청
- 처리정지권 — 처리 일부 또는 전부의 정지 요청
- 이동권 (GDPR Art.20) — 구조화된 기계 판독 가능 형식으로 데이터 내보내기
- 동의 철회권 — 동의 기반 처리에 대한 철회 (철회 전 처리는 적법 유지)
- 자동의사결정 거부권 (GDPR Art.22) — §14 참조
- CCPA "Do Not Sell" / "Limit Sensitive Use" — 캘리포니아 거주자 한정 (logi는 어떠한 개인정보도 판매하지 않음)
요청: privacy@1pass.dev 또는 앱·콘솔 내 [설정 → 개인정보] 메뉴.
8. 계정·데이터 삭제
인앱 계정 삭제. Apple App Store / Google Play 정책에 따라, logi 앱 내 [설정 → 계정 → 회원 탈퇴]에서 직접 탈퇴 신청이 가능합니다. 웹은 start.1pass.dev/account/delete.
탈퇴 시 처리 절차:
- 탈퇴 즉시 모든 OAuth 토큰·세션 무효화 + 발급된 모든 Refresh Token 폐기
- 30일 유예 기간 (실수 복구 목적) — 이 기간 동안 로그인 시도 시 복구 안내
- 30일 경과 후 운영 데이터베이스에서 영구 삭제
- 법령상 보존 의무 항목(거래기록 5년 등)은 별도 분리 보관 후 기한 만료 시 파기
- WORM 감사 로그는 변조 불가 특성상 보존 기간 동안 유지 (가명화 처리)
9. 쿠키 및 유사 기술
logi 콘솔(start.1pass.dev)은 다음 쿠키를 사용합니다.
- 필수 쿠키 (동의 불필요) — 세션 ID, CSRF 토큰. 이를 거부하면 로그인 자체가 불가합니다.
- 분석 쿠키 — 사용하지 않습니다. 별도 트래커, GA4, Meta Pixel 등을 탑재하지 않습니다.
모바일 SDK는 디바이스 UUID와 보안 키체인 항목만 사용하며, IDFA·AAID에 접근하지 않습니다.
10. 민감정보 및 고유식별정보
- logi는 PIPA §23 민감정보(사상·신념, 정치 견해, 건강, 성생활 등)를 수집·처리하지 않습니다.
- logi는 PIPA §24 고유식별정보(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호)를 수집·처리하지 않습니다.
- Passkey·TOTP는 PIPA상 "인증정보"로 분류되며, 별도 동의를 통해 수집됩니다.
11. 아동의 개인정보
- logi 서비스는 만 14세 이상(GDPR 적용 지역은 만 16세 이상, 다만 회원국 법에 따라 13세까지 인정)을 대상으로 합니다.
- 만 14세 미만 아동의 개인정보는 수집하지 않으며, 수집된 사실이 확인될 경우 즉시 삭제합니다.
- 미국 COPPA 적용 대상(만 13세 미만)도 동일하게 수집하지 않습니다.
12. 보안 조치
logi는 PIPA 시행령 §30, GDPR Art.32에 따른 안전성 확보조치를 시행합니다.
- 전송 구간 암호화 — 모든 통신 TLS 1.3, HSTS, 인증서 자동 회전
- 저장 구간 암호화 — 데이터베이스 AES-256-GCM, KMS 기반 키 관리, 분기별 키 회전
- 비밀번호 — bcrypt(cost ≥ 12) 단방향 해시, 평문 미저장
- 접근 통제 — 운영자 접근에 MFA + IP 제한 + 최소 권한 원칙
- WORM 감사 로그 — 인증·관리자 행위에 변조 불가능한 로그
- 네트워크 보안 — Cloudflare WAF, Rate Limit, DDoS 방어
- 코드 보안 — Brakeman + bundle-audit + Dependabot 자동 스캔, 코드 리뷰 의무화
- 침해사고 대응 절차 — 탐지 → 격리 → 통지 → 복구의 표준 프로세스 사전 수립
13. 유출 통지
개인정보 유출이 발생한 경우, logi는 다음 의무를 이행합니다.
- 72시간 이내 개인정보보호위원회(PIPC) 및 한국인터넷진흥원(KISA)에 신고 (1,000명 이상 또는 민감정보 포함 시)
- 영향받은 이용자에게 이메일 또는 앱 알림으로 개별 통지 (유출 항목, 발생 시점, 대응 조치, 문의처 명시)
- GDPR 적용 이용자는 Art.33·34에 따라 감독기관·정보주체에 통지
⚠ 면책 한계. logi는 합리적 보안 조치를 시행하지만 절대적 보안을 보증하지 않습니다. 사회공학·피싱·이용자의 약한 비밀번호·손상된 디바이스·제3자 앱 침해 등 logi의 합리적 통제 범위를 벗어난 원인의 유출에 대해 logi는 법령이 허용하는 최대 한도까지 책임을 제한합니다. 자세한 한도는 이용약관 제12조 참조.
14. 자동화된 의사결정 (이상 로그인 탐지)
logi는 보안 목적으로 다음 자동 처리를 수행합니다.
- 로그인 패턴 기반 위험 점수 산출 → 일정 점수 이상 시 추가 인증(MFA) 요구 또는 임시 차단
- 신규 디바이스·신규 IP·이상 시간대 로그인 시 이메일 알림
이용자는 자동 차단 결정에 대해 사람의 검토를 요청할 권리가 있으며, privacy@1pass.dev로 이의 신청 가능합니다. 단 명백한 사기·악의적 자동화 트래픽으로 판단되는 경우 logi는 사람 검토 없이 차단을 유지할 수 있습니다.
15. 제3자 앱(Relying Party)에 대한 면책
logi는 ID 브로커일 뿐입니다. 이용자가 OAuth 동의 화면에서 권한을 부여한 제3자 앱(이하 "RP")이 그 이후 개인정보를 어떻게 수집·처리·보관·이전하는지는 해당 RP의 단독 책임이며, logi는 다음을 보증하지 않습니다.
- RP가 토큰을 안전하게 보관하는지 여부
- RP가 동의된 scope 내에서만 정보를 사용하는지 여부
- RP의 GDPR / CCPA / PIPA 준수 여부
- RP의 보안사고 발생 시 통지·대응 적절성
- RP가 logi에서 받은 정보를 제4자에게 제공하는 행위
이용자는 [설정 → 연결된 앱]에서 RP의 권한을 언제든 철회할 수 있습니다. 철회 이전에 RP가 이미 받아간 정보의 삭제는 RP에게 직접 요청해야 합니다.
16. 본 방침의 변경
- 본 방침은 법령 변경, 서비스 변경, 보안 개선 등의 사유로 개정될 수 있습니다.
- 중요한 변경(수집 항목 추가, 보유 기간 연장, 제3자 제공 추가 등)은 시행일 최소 30일 전에 앱·이메일·웹사이트로 사전 공지합니다.
- 경미한 변경(오타 수정, 표현 정비, 수탁자 변경 등)은 본 페이지 게시로 갈음합니다.
- 이용자가 변경된 방침에 동의하지 않을 경우 회원 탈퇴를 통해 서비스 이용을 종료할 수 있습니다.
17. 문의 및 권리 구제
개인정보 관련 문의·신고·이의 제기:
- logi 개인정보 보호책임자: privacy@1pass.dev
- 일반 지원: support@1pass.dev
logi의 처리에 대한 권리침해 구제는 다음 기관에도 신청할 수 있습니다.
- 개인정보분쟁조정위원회 (kopico.go.kr · 1833-6972)
- 개인정보침해신고센터 (privacy.kisa.or.kr · 118)
- 대검찰청 사이버수사과 (spo.go.kr · 1301)
- 경찰청 사이버수사국 (ecrm.cyber.go.kr · 182)
- EU 거주자: 본인이 거주하는 회원국의 데이터 보호 감독기관(DPA)
- 캘리포니아 거주자: California Privacy Protection Agency (cppa.ca.gov)
본 개인정보처리방침의 한국어본과 다른 언어본 사이에 차이가 있을 경우 한국어본을 우선합니다.
© 2026 Seunghan · logi (1pass.dev) · 버전 1.0