제1조 수집하는 개인정보 항목
CHAOS-X는 회원가입 및 서비스 제공을 위해 최소한의 개인정보를 수집합니다.
| 구분 | 수집 항목 | 수집 시점 | 성격 |
|---|---|---|---|
| 필수 | 이메일 주소, 비밀번호(암호화 저장), 이름, 생년월일 | 회원가입 시 | 필수 |
| MFA 인증 | 이메일 OTP 발송 이력, MFA 기기 등록 정보 | MFA 설정 시 | 필수 |
| 자동 수집 | IP 주소, 접속 일시, 브라우저 정보, 서비스 이용 로그 | 서비스 이용 시 | 자동 |
| 선택 | 연락처(SMS OTP 선택 시), 거주 국가 | 회원 입력 시 | 선택 |
수집하지 않는 정보: CHAOS-X는 회원의 증권사·브로커 계좌 정보, 계좌 비밀번호, 자산 규모, 거래 내역 원본을 수집·저장하지 않습니다.
제2조 수집 목적 및 이용
| 수집 항목 | 이용 목적 |
|---|---|
| 이메일, 비밀번호 | 회원 식별, 로그인 인증, 공지사항 발송, 일일 리포트 이메일 발송 |
| MFA 정보 | 계정 보안 강화, 이상 접근 탐지 |
| IP, 접속 로그 | 보안 이상 탐지, Fail2ban 차단, 서비스 품질 개선, 분쟁 발생 시 증거 보전 |
| 연락처(선택) | SMS OTP 발송 (선택한 경우에만) |
수집된 개인정보는 명시된 목적 이외에 사용하지 않으며, 목적이 변경될 경우 사전에 동의를 받겠습니다.
제3조 보유 및 이용 기간
| 항목 | 보유 기간 | 근거 |
|---|---|---|
| 회원 정보 (이메일, 이름) | 회원 탈퇴 후 즉시 삭제 (단, 분쟁 진행 중인 경우 해결 시까지) | 개인정보보호법 |
| 접속 로그, IP | 3개월 | 통신비밀보호법 제15조의2 |
| 서비스 이용 기록 | 6개월 (이상행위 분석 목적) | 정보통신망법 제22조 |
| 전자상거래 기록 (유료 서비스 도입 시) | 5년 | 전자상거래법 제6조 |
제4조 개인정보의 제3자 제공
CHAOS-X는 원칙적으로 회원의 개인정보를 제3자에게 제공하지 않습니다. 다만 다음의 경우는 예외로 합니다:
- 정보주체의 사전 동의가 있는 경우
- 법령에 따른 수사기관의 요청이 있는 경우 (법적 절차를 따릅니다)
- 생명·신체·재산의 긴급한 위험을 방지하기 위해 필요한 경우
제5조 개인정보 처리 위탁
CHAOS-X는 서비스 제공을 위해 일부 업무를 외부에 위탁합니다:
| 수탁 업체 | 위탁 업무 | 보유 기간 |
|---|---|---|
| 자체 서버 | 서버 인프라, 데이터 저장 (자체 서버 운영) | 서비스 종료 시 |
| Google LLC | 이메일 발송 (skyss.system@gmail.com), Google OTP 인증 기반 제공 | 위탁 계약 종료 시 |
위탁 업체는 위탁 목적 이외의 용도로 개인정보를 처리하지 못하도록 계약 및 관리·감독합니다.
제6조 정보주체의 권리·의무 및 행사방법
회원은 언제든지 다음의 권리를 행사할 수 있습니다:
- 열람 요청: 보유 중인 본인의 개인정보 확인
- 정정 요청: 오류가 있는 정보의 수정
- 삭제 요청: 더 이상 필요하지 않은 정보의 삭제 (법정 의무 보존 기간 내 항목 제외)
- 처리정지 요청: 개인정보 처리의 일시 정지
권리 행사는 skyss.system@gmail.com으로 서면 요청하거나, 서비스 내 계정 설정 메뉴를 통해 직접 처리할 수 있습니다. 요청 후 10영업일 이내에 처리하겠습니다.
제7조 개인정보 보호를 위한 기술적·관리적 보호 조치
- 암호화: 비밀번호는 단방향 암호화(bcrypt) 저장, 전송 구간은 TLS 1.3 적용
- 접근 통제: 관리자 페이지 MFA 필수, IP 허용 목록 관리, 10분 자동 로그아웃
- 침입 탐지: Fail2ban, WAF(웹 방화벽), AI 가디언 시스템 운영
- 데이터 저장: AES-256 암호화 스토리지 사용
- 접근 로그: 모든 개인정보 접근 이력 기록 및 정기 감사
- 취약점 점검: 정기 보안 점검 실시
제8조 쿠키(Cookie) 및 접속 로그
- CHAOS-X는 로그인 세션 유지, 보안 인증을 위해 최소한의 쿠키를 사용합니다.
- 사용 쿠키 종류:
쿠키명 목적 보존 기간 session_id 로그인 세션 유지 (10분 비활동 시 만료) 세션 종료 시 csrf_token CSRF 공격 방지 세션 종료 시 mfa_verified MFA 인증 완료 여부 브라우저 종료 시