AIXGate

Privacy

개인정보처리방침

최종 업데이트: 2026년 07월 18일 16시 55분 40초

본 문서는 초안 골격입니다. 시행 전 반드시 법무 검토를 거쳐 실제 사업자 정보, 처리 항목, 보관 기간, 위탁 현황 등을 확정해야 합니다.

AIXGate(이하 "서비스")는 기업이 OpenAI, Anthropic(Claude), Google(Gemini) 등 외부 AI API를 안전하게 사용하도록 통제·기록하는 AI 사용통제·거버넌스 플랫폼입니다. 본 방침은 서비스가 실제로 어떤 정보를, 어떤 목적으로, 어떻게 처리하고 보호하는지를 시스템 동작에 근거하여 설명합니다.

서비스는 고객 기업(이하 "조직")이 자사 임직원·자동화 시스템의 AI 사용을 관리하도록 제공됩니다. 이때 조직은 임직원 개인정보의 개인정보처리자에 해당하고, 서비스는 조직의 위탁을 받아 개인정보를 처리하는 수탁자의 지위를 가질 수 있습니다. 배포 형태에 따라 처리 환경이 달라집니다.

  • SaaS: 서비스 운영자가 클라우드 인프라에서 데이터를 호스팅합니다.
  • 온프레미스: 조직이 자체 서버에 설치·운영하며, 데이터는 조직의 인프라 내에 보관됩니다. 이 경우 서비스 운영자는 데이터에 접근하지 않습니다.

1. 처리하는 개인정보 항목

서비스는 기능 제공에 필요한 최소한의 항목만 처리합니다.

가. 계정·인증 정보

  • 이메일 주소, 비밀번호(원문이 아닌 bcrypt 단방향 해시)
  • 소속 조직, 부서, 역할(일반 사용자 / 조직 관리자 / 슈퍼관리자), 계정 활성·상태
  • 2단계 인증(선택) 사용 시: OTP 비밀키(암호화 저장), 복구 코드(단방향 해시), 인증 활성·검증 일시
  • 개인별 월 토큰 한도 등 사용 한도 설정값

나. 접속·세션 정보

  • 로그인 세션의 IP 주소, User-Agent(브라우저·기기 정보), 세션 생성·갱신 일시

다. AI 이용 메타데이터

  • 요청 사용자·시각, 사용한 Provider 및 모델, 입력·출력·합계 토큰 수, 산정 비용, 응답 지연시간
  • 업무 목적(purpose), 업무 유형(task_type), 프로젝트 코드, 데이터 분류, 자동화 여부, 산출물 참조(URL·유형) 등 요청 시 제출되는 업무 컨텍스트
  • 요청 처리 상태(허용·차단), 차단 사유

라. 정책·승인·감사 정보

  • 추가 사용 요청: 사유, 요청 기간, 예상 토큰·비용, 모델, 승인 상태, 검토자·검토 의견
  • 판단 추적 기록(decision trace): 각 통제 단계의 처리 단계·결과, 차단 지점·사유
  • 개인정보·시크릿 탐지 결과: 탐지 유형, 위험도, 신뢰도, 탐지 건수, 권장 조치, 탐지 방향(입력·출력), 탐지기 출처, 마스킹 처리된 표본값
  • 사용량 이상 알림: 기준치·현재치·증가율 등 집계 지표

마. 업무 내역·외부 연동 정보(선택)

  • GitHub 연동 시: GitHub 사용자명·식별자, 액세스 토큰(암호화 저장), 부여 범위(scope), 동기화 일시, 커밋·PR 등 성과 지표
  • 외부 AI 자격증명: 조직이 등록한 Provider API Key·플랫폼 AI 연결 키(모두 암호화 저장)

2. 저장하지 않는 정보(핵심 보호 원칙)

서비스의 존재 이유는 키 비노출과 감사 가능성입니다. 다음 정보는 원칙적으로 저장하지 않습니다.

  • AI 요청 프롬프트 본문과 응답 본문: 저장하지 않습니다. 요청 본문은 실시간 처리(정책 검사·개인정보 탐지·Provider 전달) 목적으로만 사용되고, 처리 후 메타데이터와 판단 근거만 기록됩니다.
  • 외부 Provider API Key 원문: 암호화하여 보관하며 평문으로 저장·노출하지 않습니다.
  • 서비스가 발급한 내부 API Key 원문: 단방향 해시(HMAC-SHA256)와 접두부(prefix)만 저장하며, 원문은 발급 시 화면에 1회만 표시됩니다.
  • 탐지된 개인정보·시크릿 원문: 마스킹 처리된 표본만 기록하고 원문은 저장하지 않습니다.

3. 처리 목적

  • AI API 사용통제·거버넌스 제공(내부 키 발급, 정책·승인, 예산·한도 통제)
  • 개인정보·기밀정보 유출 방지를 위한 실시간 탐지·차단
  • 감사 가능성 확보(누가·언제·무슨 목적으로 어떤 모델을 사용했는지 기록)
  • 사용량·비용 집계 및 이상 징후 탐지
  • 보안 사고 대응, 부정 사용 방지, 서비스 운영·개선

4. 보유·이용 기간

감사 로그 보유 기간은 조직이 계약한 요금제에 따라 달라지며, 기간 경과 후 파기합니다.

구분보유 기간
이용·감사 로그(요금제별)30일 · 90일 · 365일 · 1,825일(5년) 중 계약 플랜에 따름
계정 정보회원 탈퇴 또는 조직 계약 종료 시까지(관계 법령상 보존 의무가 있는 경우 해당 기간)
세션 정보세션 만료·로그아웃 시 또는 단기 보관 후 파기
외부 연동 자격증명연동 해제 또는 계약 종료 시까지

※ 구체적 보존 기간과 법령상 보존 의무 항목은 시행 전 확정하여 본 방침에 반영합니다.

5. 제3자 제공 및 처리위탁

서비스는 이용자의 개인정보를 동의 없이 외부에 판매·제공하지 않습니다. 다만 기능 제공을 위해 다음과 같이 데이터가 전달·위탁될 수 있습니다.

수탁·연동 대상전달 데이터목적
외부 AI Provider (OpenAI · Anthropic · Google 등)이용자가 전송한 요청 본문(프롬프트)이용자가 선택한 모델의 AI 응답 생성
개인정보 검증 구성요소 (내부 PII 검증 서비스)요청 본문(실시간 검사용, 미보관)개인정보·기밀정보 실시간 탐지
GitHub(선택 연동)연동 계정 정보·성과 지표AI 사용 대비 업무 내역 연동
클라우드 인프라(SaaS 한정)서비스 데이터 저장서비스 호스팅·운영

외부 AI Provider에 전달된 프롬프트는 각 Provider의 정책에 따라 처리되며, 해당 처리에는 Provider의 약관·개인정보 정책이 적용됩니다. 온프레미스 배포에서는 클라우드 위탁이 발생하지 않으며, PII 검증 구성요소도 조직 인프라 내에서 동작합니다. 구체적 수탁자 명칭·위탁 범위는 시행 전 확정하여 고지합니다.

6. 안전성 확보 조치

  • 키 비노출: 외부 Provider Key는 암호화 저장하며 이용자에게 노출하지 않고, 서비스 내부 게이트에서만 사용합니다.
  • 암호화·해싱: Provider Key·플랫폼 AI 키·GitHub 토큰·OTP 비밀키는 암호화 저장하고, 비밀번호·내부 API Key·복구 코드는 단방향 해시로 저장합니다.
  • 접근 통제: 역할 기반 권한(일반 사용자/조직 관리자/슈퍼관리자)으로 데이터 접근을 분리합니다.
  • 인증 보호: 비밀번호 해싱, 로그인 시도 제한, 선택적 2단계 인증(OTP)을 제공합니다.
  • 전송 보호: 외부 연동 통신은 보안 채널(HTTPS)을 사용합니다.
  • 최소 수집·미저장 원칙: 프롬프트·키 원문 등 민감 정보를 저장하지 않아 유출 위험 자체를 줄입니다.

7. 정보주체의 권리와 행사 방법

이용자는 자신의 개인정보에 대하여 열람·정정·삭제·처리정지를 요청할 수 있습니다. B2B 서비스 특성상 일부 요청은 소속 조직의 관리자를 통해 처리될 수 있으며, 감사·법령상 보존 의무가 있는 기록은 해당 의무 범위 내에서 보존될 수 있습니다.

8. 개인정보의 파기

보유 기간이 지나거나 처리 목적이 달성된 개인정보는 지체 없이 파기합니다. 전자적 파일은 복구 불가능한 방식으로 삭제합니다.

9. 개인정보 보호책임자 및 문의

개인정보 처리에 관한 문의·열람·정정·삭제 요청은 개인정보 보호책임자에게 할 수 있습니다. 실제 책임자·연락처·사업자 정보는 시행 전 기재합니다.

10. 고지 의무

본 방침의 내용이 추가·삭제·수정되는 경우 시행 전 서비스 화면을 통해 공지합니다. 최종 업데이트 일자는 본 문서 상단에 표시합니다.

홈으로 돌아가기
© 2026 AIXGate 개인정보처리방침 · 이용약관