개인정보처리방침
최종 업데이트: 2026-02-24
1. 총칙
CoreRounder(이하 “회사”)는 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 등 관련 법령에 따라 이용자의 개인정보를 보호하고 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보처리방침을 수립합니다.
본 방침은 EU 일반 데이터 보호 규정(GDPR) 및 대한민국 개인정보 보호법(PIPA)의 요건을 준수합니다.
2. 수집하는 개인정보 항목
2.1 회원가입 시 수집 정보
- 필수 항목: 이메일 주소, 사용자 이름(닉네임), 비밀번호(해시 처리)
- Google 로그인 시: Google 계정 ID(고유 식별자), 이메일 주소, 프로필 사진 URL
- 자동 수집: 계정 생성일, 마지막 로그인 일시
2.2 서비스 이용 시 수집 정보
- 거래소 API 키: 사용자가 직접 등록한 거래소 API Key 및 Secret (AES-128 암호화 저장)
- 포트폴리오 데이터: 보유 자산, 거래 내역, 포지션 정보
- 전략/시뮬레이션 데이터: 사용자가 생성한 투자 전략, 백테스팅 결과
- 플래너 데이터: 투자 캘린더 메모, 할일 목록, 루틴 기록
- AI 대화 기록: AI 에이전트와의 질의/응답 내역
2.3 자동으로 생성/수집되는 정보
- 접속 IP 주소, 브라우저 종류, 접속 일시, 서비스 이용 기록
- 쿠키 또는 로컬 스토리지에 저장되는 인증 토큰(JWT)
3. 개인정보의 수집 및 이용 목적
- 회원 관리: 회원 가입, 본인 인증, 계정 보안
- 서비스 제공: 포트폴리오 관리, 시장 분석, AI 기반 투자 분석
- 거래소 연동: 사용자가 등록한 API 키를 통한 거래소 데이터 조회 (읽기 전용)
- 서비스 개선: 이용 통계 분석, 서비스 안정성 확보
- 고객 지원: 문의 응대, 공지사항 전달
- 법적 의무: 관련 법령에 따른 의무 이행
4. 개인정보의 보관 및 파기
4.1 보관 기간
| 정보 유형 | 보관 기간 |
|---|---|
| 회원 정보 | 회원 탈퇴 시까지 (탈퇴 후 30일 유예) |
| 거래소 API 키 | 사용자 삭제 요청 시 즉시 파기 |
| 거래 내역 | 회원 탈퇴 후 30일 |
| AI 대화 기록 | 생성 후 90일 또는 사용자 삭제 요청 시 |
| 접속 로그 | 3개월 (통신비밀보호법) |
4.2 파기 절차 및 방법
- 전자적 파일: 복구 불가능한 방법으로 삭제
- 암호화된 데이터(API 키 등): 암호화 키 파기를 통한 복호화 불능 처리
- 계정 삭제 요청 시 30일 유예 기간 경과 후 자동 영구 삭제
5. 개인정보의 제3자 제공
회사는 원칙적으로 이용자의 개인정보를 제3자에게 제공하지 않습니다. 다만, 다음의 경우에는 예외로 합니다:
- 이용자가 사전에 동의한 경우
- 법령의 규정에 의거하거나, 수사 목적으로 법령에 정해진 절차와 방법에 따라 수사기관의 요구가 있는 경우
5.1 제3자 서비스
서비스 운영을 위해 다음의 외부 서비스를 이용합니다:
| 서비스 | 목적 | 전달 정보 |
|---|---|---|
| Google OAuth | 소셜 로그인 | 이메일, 프로필 정보 |
| Anthropic (Claude AI) | AI 분석 | 분석 요청 텍스트 (익명화) |
| 거래소 API (Binance 등) | 데이터 조회 | 사용자 제공 API 키 |
6. 개인정보의 암호화 및 보안 조치
- 비밀번호: bcrypt 해시 처리 (복호화 불가)
- 거래소 API 키: Fernet(AES-128-CBC) 대칭 암호화 저장
- 인증 토큰: JWT(JSON Web Token) + HS256 서명
- 통신 암호화: HTTPS(TLS 1.2 이상) 적용
- 데이터베이스: 접근 권한 최소화, 정기 백업
- 서버 보안: 방화벽(UFW), Rate Limiting, IP 차단
중요: 회사는 사용자의 거래소 API 키를 통해 읽기 전용(조회) 작업만 수행합니다. 출금, 송금, 거래 실행 등의 쓰기 권한은 사용하지 않으며, 사용자에게 읽기 전용 API 키 발급을 권장합니다.
7. 이용자의 권리
이용자(및 법정 대리인)는 다음의 권리를 행사할 수 있습니다:
- 열람권: 본인의 개인정보 처리 현황 열람 요청
- 정정권: 잘못된 개인정보의 정정 요청
- 삭제권: 개인정보의 삭제 요청 (설정 > 계정 삭제)
- 처리정지권: 개인정보 처리의 정지 요청
- 이동권 (GDPR): 개인정보를 구조화된 형식(JSON)으로 내보내기
- 동의 철회권: 마케팅 동의 등 선택적 동의의 철회
7.1 권리 행사 방법
- 데이터 내보내기: 설정 > 계정 관리 > “내 데이터 내보내기”
- 계정 삭제: 설정 > 계정 관리 > “계정 삭제 요청” (30일 유예 후 영구 삭제)
- 이메일 문의: privacy@corerounder.com
8. 쿠키 및 로컬 스토리지
CoreRounder는 서버 측 쿠키를 사용하지 않습니다. 대신, 브라우저의 로컬 스토리지(Local Storage)에 다음 정보를 저장합니다:
- 인증 토큰: 로그인 상태 유지를 위한 JWT 토큰
- 사용자 설정: 언어 선택, UI 환경설정
- 동의 기록: 개인정보처리방침 및 이용약관 동의 여부
로컬 스토리지 데이터는 브라우저 설정에서 직접 삭제하거나, 로그아웃 시 자동으로 삭제됩니다.
9. 국제 데이터 이전
AI 분석 기능 이용 시, 분석 요청 텍스트가 Anthropic(미국) 서버로 전송될 수 있습니다. 이 경우 GDPR 표준 계약 조항(SCC)에 따라 적절한 보호 조치가 적용됩니다. 개인 식별 정보는 전송 전에 익명화 처리됩니다.
10. 아동의 개인정보 보호
CoreRounder는 만 14세 미만의 아동에게 서비스를 제공하지 않으며, 고의로 아동의 개인정보를 수집하지 않습니다. 만 14세 미만 아동의 개인정보가 수집된 것을 인지한 경우 즉시 삭제 조치합니다.
11. 개인정보처리방침의 변경
본 방침이 변경되는 경우, 시행일 최소 7일 전에 서비스 내 공지 또는 이메일을 통해 고지합니다. 중요한 변경 사항(수집 항목 추가, 제3자 제공 변경 등)은 30일 전에 고지하며, 필요시 재동의를 받습니다.
12. 개인정보 보호책임자
- 회사명: CoreRounder
- 개인정보 보호 문의: privacy@corerounder.com
- 일반 문의: support@corerounder.com
12.1 권익침해 구제 방법
개인정보 침해로 인한 피해 구제를 위해 다음 기관에 문의하실 수 있습니다:
- 개인정보침해 신고센터 (한국인터넷진흥원): 118
- 개인정보 분쟁조정위원회: 1833-6972
- 대검찰청 사이버범죄수사단: 1301
- 경찰청 사이버안전국: 182