MyTravel(이하 "서비스")는 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」, EU 일반개인정보보호규정(GDPR) 등 관련 법령에 따라 이용자의 개인정보를 보호하고, 이와 관련한 고충을 신속하고 원활하게 처리하기 위하여 다음과 같이 개인정보처리방침을 수립·공개합니다. 본 방침은 서비스 이용 시 수집되는 모든 개인정보의 처리에 적용됩니다.
1. 수집하는 개인정보
서비스는 회원가입, 서비스 이용, 고객 문의 처리 등을 위해 다음과 같은 개인정보를 수집합니다.
필수 수집 항목
| 수집 항목 | 수집 시점 | 수집 목적 |
|---|---|---|
| 이메일 주소 | 회원가입 | 계정 식별, 로그인, 알림 발송 |
| 비밀번호 (암호화 저장) | 회원가입 | 계정 인증 |
| 이름 (닉네임) | 회원가입 | 서비스 내 표시, 소셜 기능 |
SNS 로그인 시 수집 항목
Google, Apple, Kakao 등 소셜 로그인을 이용하는 경우, 해당 OAuth 제공자로부터 다음 정보를 수집합니다.
- Google — 이메일, 이름, 프로필 사진 URL
- Apple — 이메일, 이름 (최초 로그인 시)
- Kakao — 카카오 계정 이메일, 닉네임, 프로필 이미지
OAuth 제공자가 전달하는 고유 식별자(ID)는 계정 연동 목적으로만 사용되며, 제3자와 공유하지 않습니다.
선택 수집 항목 (기능 사용 시)
다음 항목은 이용자의 명시적 동의를 받은 후, 해당 기능 사용 시에만 수집됩니다.
| 수집 항목 | 수집 시점 | 수집 목적 | 법적 근거 |
|---|---|---|---|
| 위치 정보 (GPS 좌표) | 사용자 권한 동의 후 | 현재 위치 기반 여행지 추천, 주변 관광지 검색 | 위치정보의 보호 및 이용 등에 관한 법률 |
| 푸시 알림 권한 | 사용자 권한 동의 후 | 여행 초대, AI 생성 완료, 일정 알림 발송 | 정보통신망 이용촉진 및 정보보호 등에 관한 법률 |
| 사진/카메라 접근 권한 | 사용자 권한 동의 후 | 프로필 사진, 여행 사진 업로드 | 개인정보 보호법 |
위치 정보 이용 및 보호
- 수집 방법: 모바일 앱에서 사용자가 위치 권한을 명시적으로 허용한 경우에만 수집됩니다.
- 이용 목적: 현재 위치 기반 여행지 추천, 주변 관광지/맛집 검색, 이동 경로 계산
- 보관 기간: 위치 정보는 서버에 영구 저장되지 않으며, 일시적으로 API 요청 시에만 사용됩니다.
- 제3자 제공: Google Maps API, LocationIQ를 통해 지오코딩 및 장소 검색에 사용됩니다.
- 철회 방법: 기기 설정 > 앱 권한 > 위치에서 언제든지 권한을 철회할 수 있습니다.
서비스 이용 시 자동 수집 항목
- 여행 계획 데이터 — 목적지, 여행 일자, 활동 내역, 경비 기록 등 이용자가 직접 입력한 여행 관련 정보
- 접속 로그 — IP 주소, 접속 일시, 브라우저 종류, 운영체제 정보, 사용 언어 설정, 접속 플랫폼(웹/iOS/Android), User-Agent 문자열
- 기기 정보 — 기기 유형(모바일/데스크톱/태블릿), 화면 해상도, 최종 접속 플랫폼
- 모바일 광고 식별자 — Google 광고 ID(GAID, Android) 또는 IDFA(iOS)가 Google AdMob SDK에 의해 맞춤형 광고 게재 목적으로 수집될 수 있습니다. 이용자는 기기 설정에서 광고 ID를 재설정하거나 맞춤형 광고를 비활성화할 수 있습니다.
- 서비스 이용 기록 — 기능 사용 내역, 오류 로그(발생 시 사용자 식별 정보·기기 정보·오류 상세가 진단 목적으로 수집됩니다), 서비스 접근 패턴
- 사진 데이터 — 여행 커버 사진, 활동 사진 (업로드 시 WebP로 변환·최적화 저장)
- 구독 데이터 — 구독 유형, 구독 플랫폼(App Store/Google Play), 만료일, 월간 AI 사용 횟수
- 소셜 데이터 — 팔로우 관계, 좋아요, 공유 토큰, 공개/비공개 설정
- 공지사항 열람 기록 — 서비스 공지사항의 읽음 여부, 해제(닫기) 시점 (공지 노출 관리 목적)
- 보안 로그 — 감사 로그(로그인, 비밀번호 변경 등 보안 이벤트), 푸시 알림 토큰
2. 개인정보 이용 목적
수집한 개인정보는 다음의 목적을 위해 사용됩니다.
- 서비스 제공 — AI 기반 여행 계획 생성, 날씨·시차 정보 제공, 일정 관리 기능 운영
- 회원 관리 — 회원 가입 및 탈퇴 처리, 본인 확인, 계정 보안 관리(2FA, 비밀번호 변경), 부정 이용 방지
- 소셜 기능 — 여행 계획 공유, 팔로우/좋아요 기능, 여행 피드 제공
- 알림 서비스 — 여행 일정 알림, 서비스 공지사항, 이메일 인증
- 서비스 개선 — 이용 통계 분석, 서비스 품질 향상, 오류 수정 및 안정성 개선
- 고객 지원 — 문의 접수 및 처리, 불만 해결, 이용 안내
- 광고 게재 — Google AdSense(웹) 및 Google AdMob(모바일 앱)을 통한 맞춤형 광고 제공 (광고주에게 개인정보를 직접 제공하지 않습니다)
3. 개인정보 보관 및 파기
보관 기간
이용자의 개인정보는 수집·이용 목적이 달성된 후에는 해당 정보를 지체 없이 파기합니다. 다만, 관계 법령에 따라 보존이 필요한 경우에는 해당 기간 동안 별도의 데이터베이스에 분리하여 보관합니다.
| 보관 항목 | 보관 기간 | 근거 |
|---|---|---|
| 계정 정보 (이메일, 이름) | 회원 탈퇴 시까지 | 서비스 이용 계약 / GDPR 제6조 제1항(b) |
| 여행 계획 데이터 | 회원 탈퇴 시까지 | 서비스 이용 계약 / GDPR 제6조 제1항(b) |
| 접속 로그 | 3개월 | 통신비밀보호법 / GDPR 제6조 제1항(f) |
| 전자상거래 관련 기록 | 5년 | 전자상거래 등에서의 소비자보호에 관한 법률 / GDPR 제6조 제1항(c) |
| 감사 로그 (Audit Log) | 30일 | 서비스 보안 및 관리 / GDPR 제6조 제1항(f) |
파기 방법
- 전자적 파일 — 기술적 방법을 사용하여 복구 불가능한 방법으로 영구 삭제합니다.
- 자동 파기 — 보관 기간이 경과한 데이터는 자동화된 스크립트를 통해 정기적으로 삭제됩니다.
- 회원 탈퇴 시 — 회원 탈퇴 요청 시 모든 개인정보와 여행 데이터를 30일 이내에 완전 삭제합니다.
4. 제3자 제공
서비스는 원칙적으로 이용자의 개인정보를 외부에 제공하지 않습니다. 다만, 다음의 경우에는 예외적으로 정보가 공유될 수 있습니다.
- 이용자의 동의가 있는 경우 — 사전에 명시적 동의를 받은 경우에 한합니다.
- 법령에 의한 요구 — 수사 목적의 법적 절차에 따른 요청이 있는 경우에 한합니다.
서비스 운영을 위한 외부 서비스 이용
| 서비스 | 제공 업체 | 이용 목적 | 수집 정보 |
|---|---|---|---|
| Google Analytics | Google LLC | 이용 통계 분석 | 쿠키, 접속 로그, 이용 패턴 (비식별) |
| Google AdSense | Google LLC | 웹 광고 게재 | 쿠키, 광고 상호작용 데이터 |
| Google AdMob | Google LLC | 모바일 앱 광고 게재 | 광고 식별자(GAID/IDFA), 광고 상호작용 데이터 |
| OpenAI API | OpenAI Inc. | AI 여행 계획 생성 | 여행 목적지, 날짜 (개인 식별 불가) |
| OpenWeatherMap | OpenWeather Ltd. | 날씨 정보 제공 | 위치 정보 (도시명) |
| Google OAuth | Google LLC | 소셜 로그인 | 이메일, 이름, 프로필 (동의 시) |
| Kakao OAuth | 카카오 | 소셜 로그인 | 이메일, 닉네임, 프로필 (동의 시) |
| RevenueCat | RevenueCat Inc. | 구독 결제 관리 | 구독 상태, 결제 이벤트 (결제 정보는 앱 스토어에서 직접 처리) |
| Google Maps API | Google LLC | 장소 검색 | 검색어, 세션 토큰 |
| LocationIQ | LocationIQ GmbH | 지오코딩 (장소명→좌표 변환) | 장소 검색어 (개인 식별 불가) |
| Google Timezone API | Google LLC | 시차 정보 제공 | 위치 좌표 (개인 식별 불가) |
| Sentry | Functional Software Inc. | 오류 모니터링 | 오류 데이터, 사용자 컨텍스트 (비식별) |
| Paddle | Paddle.com Market Ltd | 웹 결제 처리 (판매대행, Merchant of Record) | 이메일, 결제 정보, 구독 상태 (결제 카드 정보는 Paddle에서 직접 처리) |
| Mapbox | Mapbox Inc. | 장소 검색 (1순위) | 검색어, 세션 정보 (개인 식별 불가) |
| Expo (Push Notifications) | Expo Inc. | 푸시 알림 전달 | Expo 푸시 토큰, 기기 정보 |
| 제휴 파트너 | Booking.com, Klook 등 | 제휴 서비스 연결 | 클릭 이벤트, IP 주소, User Agent |
5. 쿠키 정책
서비스는 이용자에게 더 나은 경험을 제공하기 위해 쿠키(Cookie)를 사용합니다. 쿠키는 웹사이트가 이용자의 브라우저에 저장하는 작은 텍스트 파일로, 로그인 상태 유지, 서비스 설정 기억 등의 기능에 활용됩니다.
사용하는 쿠키 유형
- 필수 쿠키 — 로그인 인증 토큰(JWT), 언어 설정 등 서비스 이용에 반드시 필요한 쿠키입니다.
- 분석 쿠키 — Google Analytics를 통한 서비스 이용 통계 수집을 위한 쿠키입니다.
- 광고 쿠키 — Google AdSense 등 광고 서비스에서 사용하는 쿠키입니다.
본 서비스는 Google을 포함한 제3자 광고 업체가 쿠키를 사용하여 이전 방문 기록을 기반으로 광고를 게재할 수 있습니다. Google의 광고 쿠키 사용에 대해서는 Google 광고 및 콘텐츠 네트워크 개인정보처리방침을 참고하시기 바랍니다.
이용자는 브라우저 설정을 통해 쿠키 저장을 거부할 수 있으나, 이 경우 로그인 등 일부 서비스 이용에 제한이 있을 수 있습니다. Google 광고 쿠키의 경우 Google 광고 설정 페이지에서 맞춤 광고를 비활성화할 수 있습니다.
6. 이용자의 권리
이용자(또는 법정대리인)는 언제든지 다음과 같은 권리를 행사할 수 있습니다.
- 개인정보 열람 요구 — 서비스에 저장된 본인의 개인정보를 확인할 수 있습니다. (GDPR 제15조 — 정보주체의 열람권)
- 개인정보 수정 요구 — 부정확하거나 변경된 개인정보의 수정을 요청할 수 있습니다. 프로필 정보는 서비스 내에서 직접 수정이 가능합니다. (GDPR 제16조 — 정정권)
- 개인정보 삭제 요구 — 서비스 내 회원 탈퇴 기능 또는 이메일을 통해 계정 및 개인정보의 완전 삭제를 요청할 수 있습니다. (GDPR 제17조 — 삭제권/"잊힐 권리")
- 처리 정지 요구 — 개인정보의 처리 정지를 요청할 수 있습니다. (GDPR 제18조 — 처리제한권)
- 데이터 이동권 (GDPR 데이터 내보내기) — EU 일반개인정보보호규정(GDPR)에 따라 본인의 모든 데이터(계정 정보, 여행 계획, 경비 기록, 알림 등)를 JSON 형식으로 내보내기할 수 있습니다. 서비스 내 프로필 설정 메뉴에서 "데이터 내보내기" 기능을 이용하시거나, 이메일로 요청하실 수 있습니다. (GDPR 제20조 — 데이터 이동권)
- 동의 철회 — 개인정보 수집·이용에 대한 동의를 언제든지 철회할 수 있습니다. (GDPR 제7조 제3항)
- 처리에 대한 이의 제기 — 정당한 이익에 근거한 개인정보 처리에 대해 이의를 제기할 수 있습니다. (GDPR 제21조 — 처리에 대한 이의 제기권)
권리 행사는 서비스 내 프로필 설정 또는 개인정보 보호 책임자 이메일을 통해 하실 수 있으며, 10일 이내에 처리하여 결과를 통보합니다 (GDPR 요청의 경우 1개월 이내, 연장 가능). 다만, 관계 법령에 따라 보존이 필요한 정보는 삭제 요청에도 불구하고 해당 기간 동안 보관될 수 있습니다.
7. 보안 조치
서비스는 이용자의 개인정보를 안전하게 보호하기 위해 다음과 같은 기술적·관리적 보안 조치를 시행하고 있습니다.
- 데이터 암호화 — 비밀번호는 bcrypt(12 라운드) 단방향 암호화로 저장되며, 모든 데이터 전송은 HTTPS(TLS 1.2 이상)를 통해 암호화됩니다.
- 인증 보안 — JWT 기반 인증, 리프레시 토큰 일회성 사용(Rotation), 2단계 인증(TOTP), 계정 잠금 기능(10회 실패 시 15분 잠금)을 적용합니다.
- 접근 제어 — 관리자 권한 분리, 데이터베이스 접근 제한, 민감 정보 컬럼의 자동 제외(select: false) 설정을 운영합니다.
- 보안 헤더 — HSTS Preload, CSP(Content Security Policy), Referrer-Policy, X-Content-Type-Options 등 보안 헤더를 적용합니다.
- 로그 보안 — 접속 로그에 포함된 이메일 등 개인정보는 마스킹 처리하여 기록합니다.
- 정기 감사 — 감사 로그(Audit Log)를 통해 관리자 활동을 기록하며, 의존성 보안 취약점을 정기적으로 점검합니다.
- 데이터 백업 — 자동화된 일일 데이터베이스 백업을 수행하며, 14일간 보관합니다.
- 인프라 보안 — Docker 컨테이너 비루트(non-root) 실행, 소스맵 제거, CORS 화이트리스트 정책을 적용합니다.
8. 개인정보 보호 책임자
서비스의 개인정보 보호 관련 문의, 불만 처리, 피해 구제 등을 위하여 아래와 같이 개인정보 보호 책임자를 지정하고 있습니다.
- 책임자: 박훈재 (대표)
- 이메일: [email protected]
개인정보 침해에 대한 신고나 상담이 필요하신 경우, 아래 기관에 문의하실 수 있습니다.
- 개인정보침해신고센터 (privacy.kisa.or.kr / 국번없이 118)
- 대검찰청 사이버수사과 (www.spo.go.kr / 국번없이 1301)
- 경찰청 사이버수사국 (ecrm.police.go.kr / 국번없이 182)
EU 거주자의 경우 GDPR 제77조에 따라 해당 국가의 데이터 보호 감독 기관(DPA)에 불만을 제기할 권리가 있습니다.
9. 국외 데이터 이전
서비스 운영을 위해 이용자의 개인정보가 다음과 같이 국외로 이전될 수 있습니다.
| 이전 대상 | 소재지 | 이전 항목 | 목적 |
|---|---|---|---|
| OpenAI | 미국 | 여행 데이터 | AI 일정 생성 |
| 미국 | 광고 ID, 사용 패턴 | 광고 제공, 장소 검색 | |
| RevenueCat | 미국 | 구독 정보 | 결제 처리 |
| Sentry | 미국 | 오류 데이터 | 오류 모니터링 |
| Paddle | 영국 | 이메일, 결제 정보 | 웹 결제 처리 (판매대행) |
| LocationIQ | 독일 | 장소 검색어 | 지오코딩 |
| Mapbox | 미국 | 검색어, 세션 정보 | 장소 검색 |
| Expo | 미국 | 푸시 토큰, 기기 정보 | 푸시 알림 전달 |
각 서비스는 적절한 개인정보 보호 조치를 취하고 있으며, 관련 법령에 따라 이용자의 동의 하에 이전됩니다. EU/EEA로부터의 이전은 GDPR 제46조에 따른 표준계약조항(SCC) 또는 적정성 결정에 근거하여 수행됩니다.
10. 개인정보 유출 통지
개인정보 유출이 발생한 경우, 지체 없이 다음 사항을 이용자에게 통지합니다.
- 유출된 개인정보의 항목
- 유출 시점과 경위
- 이용자의 피해 최소화를 위한 대처 방안
- 회사의 대응 조치 및 피해 구제 절차
- 담당 부서 및 연락처
통지는 이메일, 앱 내 공지 등의 방법으로 합니다. GDPR이 적용되는 경우, 유출 사실을 인지한 시점부터 72시간 이내에 관련 감독 기관에 통지합니다 (GDPR 제33조).
11. 캘리포니아 거주자 권리 (CCPA)
캘리포니아 거주자인 경우, 캘리포니아 소비자 개인정보 보호법(CCPA)에 따라 다음과 같은 권리를 가집니다.
- 알 권리(Right to Know): 수집한 개인정보의 범주와 구체적인 항목에 대한 공개를 요청할 수 있습니다.
- 삭제 권리(Right to Delete): 일부 예외 사항을 제외하고 개인정보의 삭제를 요청할 수 있습니다.
- 판매 거부 권리(Right to Opt-Out of Sale): 서비스는 이용자의 개인정보를 판매하지 않습니다. 맞춤형 광고를 위해 광고 파트너(Google AdMob/AdSense)와 제한적인 데이터를 공유합니다. 기기 광고 설정을 조정하거나 웹 서비스의 GDPR 동의 배너를 통해 맞춤 광고를 거부할 수 있습니다.
- 차별 금지 권리(Right to Non-Discrimination): CCPA 권리를 행사한 것에 대해 차별적 대우를 하지 않습니다.
이러한 권리를 행사하려면 앱 내 데이터 내보내기 또는 회원 탈퇴 기능을 사용하거나, [email protected]으로 문의해주세요.
12. 광고 추적 투명성 (ATT)
iOS 기기에서는 Apple의 앱 추적 투명성(App Tracking Transparency, ATT) 정책에 따라, 맞춤형 광고 제공을 위한 추적 권한을 별도로 요청합니다. 이용자는 이 요청을 거부할 수 있으며, 거부 시에도 서비스 이용에는 제한이 없습니다. 추적 권한은 기기 설정 > 개인정보 보호 > 추적에서 언제든지 변경할 수 있습니다.
13. 개인정보처리방침의 변경
본 개인정보처리방침은 관련 법령, 서비스 정책, 보안 기술의 변경에 따라 수정될 수 있습니다. 변경 사항이 있는 경우 시행일 7일 전부터 서비스 내 공지사항 또는 이메일을 통해 안내합니다. 중요한 변경의 경우 시행일 30일 전에 사전 고지합니다.
14. 시행일
- 최초 시행일: 2024년 1월 1일
- 최종 수정일: 2026년 4월 18일