개인정보 처리방침
최종 수정일: 2026년 6월 4일 | English version
LunaRabbit Inc.(이하 "회사")는 개인정보 보호법(PIPA) 및 관련 법령에 따라 이용자의 개인정보를 보호하고, 이와 관련한 고충을 신속하게 처리하기 위해 다음과 같이 개인정보 처리방침을 수립합니다.
본 처리방침은 LunaRabbit Chat(AI 채팅 서비스) 및 LunaRabbit Office(AI 오피스 도구)에 공통 적용됩니다.
본 문서는 한국어와 영어로 작성되었으며, 양 언어 버전은 동등한 법적 효력을 가집니다. 두 버전 사이에 해석상 차이가 있는 경우, 한국 거주 이용자에게는 한국어 버전이 우선합니다.
This document is drafted in both Korean and English, with both versions having equal legal effect. For users residing in Korea, the Korean version shall prevail in the event of any discrepancy.
English version
제1조 (수집하는 개인정보 항목 및 수집 방법)
1. 필수 수집 항목
| 구분 | 수집 항목 | 수집 목적 |
|---|---|---|
| 회원가입 | 이메일 주소, 비밀번호(해시 저장), 표시 이름 | 계정 생성 및 본인 식별 |
| 소셜 로그인 | 이메일, 표시 이름, 프로필 사진 URL (Google/Microsoft 제공) | 간편 로그인 |
| 서비스 이용 | 대화 내용, AI 응답, 도구 호출 기록, 기기/브라우저 정보, IP 주소 | AI 서비스 제공, 품질 개선, 보안 |
| 결제 | 이름, 이메일, 청구 주소, 거래 내역 (결제 수단은 Paddle이 직접 처리하며 회사는 카드 정보를 보유하지 않음) | 구독 관리, 세금 처리 |
2. 선택 수집 항목 (별도 동의)
| 항목 | 목적 | 동의 방식 |
|---|---|---|
| 대화 패턴 (비식별화) | AI 품질 개선 (fewshot 검색 보강, 향후 모델 파인튜닝) | 가입 시 Disclaimer 모달 또는 설정 메뉴에서 opt-in |
| 사용자 메모리 (이름, 선호 등) | 개인화된 AI 응답 제공 | 데이터 활용 동의 시 자동 활성화. 설정에서 조회/편집/삭제 가능 |
3. 비회원 이용
LunaRabbit Chat은 회원가입 없이 1일 3회까지 이용 가능합니다. 비회원 이용 시:
- IP 주소와 세션 쿠키(
lr_anon_id)는 이용 횟수 제한 목적으로만 수집하며, 개인 프로필과 연결되지 않습니다. - 비회원 대화는 가명처리(개인 식별자 제거) 후 AI 서비스 개선에 활용될 수 있습니다. 가명처리는 이름, 이메일, 전화번호, 주소, 주민등록번호, 금융정보 등 개인 식별자를 모두 제거하며, 사용자 ID나 IP 주소는 보존되지 않습니다. 회사는 PIPC 가이드라인에 따른 내부 가명처리 적정성 검토 절차를 유지합니다.
- 법적 근거:
- 한국: 개인정보 보호법 제28조의2(가명정보의 처리)에 따른 과학적 연구 목적 처리로, 별도의 동의 없이 수행됩니다. 가명정보의 재식별은 시도 및 허용되지 않습니다(제28조의5, 위반 시 5년 이하 징역 또는 5천만원 이하 벌금).
- EU (GDPR): 본 데이터는 GDPR 제4조 제5항의 가명처리된 데이터로서, 정당한 이익(제6조 제1항 (f))에 기반하여 처리됩니다. 철저한 가명처리에 의한 최소한의 프라이버시 영향을 고려한 균형 검토를 수행합니다.
- 미국 (CCPA): 본 데이터는 CCPA상 비식별 정보에 해당합니다: (1) 합리적으로 소비자를 식별할 수 없으며, (2) 회사는 재식별을 시도하지 않을 것을 공개적으로 약속하며, (3) 하류 수령자에게 재식별 금지를 계약상 의무화합니다.
- 가명처리된 학습 데이터는 최대 3년 또는 모델 학습 목적 달성 시 중 먼저 도래하는 시점에 안전하게 파기됩니다.
- 비회원에게는 메모리, 개인화, 파일 업로드 기능이 제공되지 않습니다.
4. 음성 입력
음성 입력 기능을 사용하는 경우, 음성 데이터는 제3자 음성 인식 서비스(OpenAI speech-to-text API)로 전송되어 텍스트로 변환됩니다. 회사는 음성 녹음을 저장하지 않으며, 변환된 텍스트만 대화의 일부로 보관됩니다.
5. 파일 업로드
대화에 첨부한 파일(이미지, PDF, Office 문서 등)은 Cloudflare R2에 업로드되어 AI 컨텍스트로 처리됩니다. 허용 파일 형식은 안전한 형식의 화이트리스트로 제한되며, VBA 매크로 및 ActiveX 컨트롤 등 악성 지표를 검사합니다. 파일은 언제든지 삭제할 수 있습니다.
6. 딥 리서치
딥 리서치 기능을 사용하면, AI가 자동으로 복수의 웹 검색을 수행하고 웹 페이지를 읽어 연구 보고서를 작성합니다. 검색 쿼리, 수집된 페이지 내용, 최종 보고서는 대화의 일부로 저장됩니다.
7. 이미지 생성
AI 이미지 생성 도구로 만든 이미지는 Cloudflare R2에 저장됩니다. 보존 기간은 플랜에 따라 다릅니다 (유료 플랜: 90~180일). 이미지는 언제든 삭제할 수 있습니다.
8. 품질 피드백
AI 응답이나 생성 이미지에 대해 좋아요/싫어요 피드백을 제공하면, 해당 피드백은 관련 메시지와 함께 저장됩니다. 비식별화된 피드백(개인 식별자 제거)은 데이터 활용 동의 여부와 무관하게 서비스 품질 개선에 사용될 수 있습니다.
제2조 (개인정보의 이용 목적)
- AI 서비스 제공 및 품질 개선
- 계정 관리 및 본인 확인
- 결제 및 구독 관리
- 서비스 안정성 모니터링 및 부정 이용 방지
- 서비스 관련 공지사항 전달
- 이용약관 이행
제3조 (개인정보의 제3자 제공 및 위탁)
회사는 AI 서비스 제공을 위해 다음의 제3자에게 개인정보를 제공합니다. 모든 수탁사는 상업용 API 약관에 따라 고객 데이터를 모델 학습에 사용하지 않습니다.
AI 모델 처리 수탁사
| 수탁사 | 제공 항목 | 이전 국가 | 목적 | 보유 기간 |
|---|---|---|---|---|
| OpenAI, L.L.C. | 대화 텍스트, 시스템 프롬프트 | 미국 | GPT 모델 추론 | 최대 30일 |
| Anthropic, PBC | 대화 텍스트, 시스템 프롬프트 | 미국 | Claude 모델 추론 | 최대 30일 |
| Google LLC | 대화 텍스트 | 미국 | Gemini 모델 추론 | 서비스별 상이 |
인프라 수탁사
| 수탁사 | 제공 항목 | 이전 국가 | 목적 |
|---|---|---|---|
| Amazon Web Services, Inc. | 계정 정보, 대화 이력, 이용 기록 | 대한민국 (서울) | 서버 호스팅, 데이터베이스, 캐시 |
| Cloudflare, Inc. | IP 주소, 요청 경로, 생성 이미지 | 글로벌 엣지 | CDN, 보안, 이미지 저장 |
| RunPod, Inc. | 대화 텍스트 (경유만, 저장 없음) | 미국 | 자체 호스팅 LLM 추론 (GPU) |
| Paddle.com Market Ltd. | 이름, 이메일, 청구 주소 | 영국 | 결제 처리 (Merchant of Record) |
| Serper LLC | 검색 쿼리 | 미국 | 웹 검색 프록시 |
| Jina AI GmbH | 대상 URL | 싱가포르/독일 | URL 콘텐츠 추출 |
| Twelve Data | 티커 심볼만 (개인정보 아님) | 미국 | 주식/ETF 시세 조회 |
| Finnhub | 티커 심볼만 (개인정보 아님) | 미국 | 기업 재무 데이터 |
| FRED | 시계열 ID만 (개인정보 아님) | 미국 | 미국 경제지표 |
| Qdrant Solutions GmbH | 임베딩 벡터 (비식별) | 독일 (프랑크푸르트) | 벡터 데이터베이스 |
| Resend, Inc. | 이메일 주소, 이메일 내용 | 미국 | 거래 이메일 발송 |
전체 수탁사 목록은 lunarabbit.ai/subprocessors에서 확인하실 수 있습니다. 신규 수탁사 추가 시 최소 30일 전 해당 페이지에 공지합니다.
제4조 (개인정보의 국외 이전)
개인정보 보호법 제28조의2 및 제39조의12에 따라, 회사는 AI 서비스 제공을 위해 이용자의 개인정보를 국외로 이전합니다.
| 이전받는 자 | 이전 국가 | 이전 항목 | 이전 목적 | 보유 기간 |
|---|---|---|---|---|
| OpenAI, L.L.C. | 미국 | 대화 텍스트, 시스템 프롬프트 | AI 모델 추론 (GPT) | 최대 30일 (악용 방지) |
| Anthropic, PBC | 미국 | 대화 텍스트, 시스템 프롬프트 | AI 모델 추론 (Claude) | 최대 30일 |
| RunPod, Inc. | 미국 | 대화 텍스트 (메모리 경유만) | 자체 LLM 추론 (Qwen) | 저장하지 않음 |
| Cloudflare, Inc. | 글로벌 | IP 주소, 요청 경로, 생성 이미지 | CDN, DDoS 방어, 이미지 저장 | 보존 정책에 따름 |
| Paddle.com Market Ltd. | 영국 | 이름, 이메일, 청구 주소, 결제 수단 | 결제 처리 | 법령상 보관 의무 기간 |
이용자의 주요 계정 정보(프로필, 대화 이력, 이용 기록)는 AWS 서울(ap-northeast-2) 리전에 보관되며, 위 표에 명시된 목적 외에는 대한민국 밖으로 이전되지 않습니다.
제5조 (개인정보의 보유 및 이용 기간)
| 항목 | 보유 기간 | 비고 |
|---|---|---|
| 계정 정보 | 회원 탈퇴 시까지 | 탈퇴 후 즉시 삭제 |
| 대화 이력 | 생성일로부터 365일 | 설정에서 수동 삭제 가능 |
| 비식별 패턴 데이터 (opt-in) | 내부 데이터 수명주기 정책에 따름 | fewshot DB/파인튜닝 모델 반영 후 소급 삭제 불가 |
| AI 처리 캐시 | 24시간 이내 삭제 | 이미지, 컨텍스트 등 임시 데이터 |
| 이용 분석 데이터 | 익명 집계 형태로 보관 | 개인 식별 불가 |
| 결제 기록 | 관련 법령이 요구하는 기간 |
제6조 (개인정보의 파기)
보유 기간이 경과하거나 처리 목적이 달성된 개인정보는 지체 없이 파기합니다.
- 전자 파일: 복원 불가능한 방법으로 영구 삭제
- 계정 삭제 시: 개인 식별자(이메일, 이름, IP 주소)를 즉시 제거. 이미 비식별화된 집계 데이터는 서비스 개선 목적으로 보관
- 파기 방법: 전자적 파일 형태의 개인정보는 복원이 불가능한 기술적 방법(덮어쓰기, 암호화 키 파기 등)을 사용하여 영구 삭제합니다.
제7조 (이용자의 권리 및 행사 방법)
이용자(또는 법정대리인)는 다음의 권리를 행사할 수 있습니다:
- 개인정보 열람 요구
- 오류 등이 있을 경우 정정 요구
- 개인정보 삭제 요구
- 개인정보 처리 정지 요구
- 개인정보 이동권 행사 (설정 메뉴의 "내 데이터 다운로드" 기능 또는 이메일 요청)
권리 행사는 앱 내 설정 메뉴에서 직접 수행하거나, [email protected]로 요청하실 수 있습니다. 정당한 요청은 10일 이내에 처리합니다.
제8조 (쿠키 및 로컬 저장소)
서비스는 인증 상태 유지 및 설정 저장을 위해 브라우저 쿠키와 로컬 저장소를 사용합니다. 제3자 추적 쿠키는 사용하지 않습니다.
| 쿠키명 | 용도 | 만료 |
|---|---|---|
lr_session | 로그인 세션 유지 | 4시간 |
lr_refresh | 자동 세션 갱신 | 30일 |
lr_csrf | CSRF 방어 | 30일 |
lr_anon_id | 비회원 이용 횟수 제한 | 24시간 |
lr_consent | 쿠키 동의 기록 | 1년 |
자세한 내용은 쿠키 정책을 참조하세요.
제9조 (개인정보의 안전성 확보 조치)
- 모든 데이터 전송 시 HTTPS(TLS 1.2/1.3) 암호화
- 데이터베이스 저장 시 AWS RDS 암호화(KMS 관리 키)
- 비밀번호 해시 저장 (평문 저장 금지)
- 프로덕션 데이터베이스 접근 시 감사 로깅
- 정기 보안 감사 및 취약점 점검
제10조 (14세 미만 아동의 개인정보)
서비스는 14세 미만의 아동을 대상으로 하지 않으며, 14세 미만으로부터 의도적으로 개인정보를 수집하지 않습니다. 14세 미만의 아동이 서비스를 이용하고자 하는 경우, 법정대리인(부모 등)의 동의가 필요합니다. 법정대리인은 아동의 개인정보에 대한 열람, 정정, 삭제를 요구할 수 있으며, 동의를 철회할 수 있습니다. 14세 미만의 아동이 법정대리인의 동의 없이 개인정보를 제공한 사실을 알게 된 경우, 해당 정보를 지체 없이 삭제합니다.
제11조 (개인정보 유출 통지)
개인정보 유출이 발생한 경우, 인지 후 72시간 이내에 이메일로 해당 이용자에게 통지하고, 관계 법령에 따라 개인정보보호위원회에 신고합니다.
제12조 (개인정보 보호책임자)
| 구분 | 정보 |
|---|---|
| 회사명 | LunaRabbit Inc. (미국 Delaware 법인) |
| 개인정보 보호책임자 | 정진우 (CEO / Founder) |
| 이메일 | [email protected] |
| 웹사이트 | https://lunarabbit.ai |
| 주소 | 131 Continental Drive, Suite 305, Newark, DE 19713, United States |
개인정보 침해 관련 상담이 필요하신 경우, 아래 기관에 문의하실 수 있습니다:
- 개인정보보호위원회 (pipc.go.kr, 1833-6972)
- 개인정보 침해신고센터 (privacy.kisa.or.kr, 118)
- 대검찰청 사이버수사과 (02-3480-3573)
- 경찰청 사이버수사국 (ecrm.police.go.kr, 182)
제13조 (처리방침의 변경)
본 처리방침이 변경되는 경우, 변경 사항을 웹사이트에 게시하거나 등록된 이메일로 통지합니다. 중요한 변경의 경우 시행일 7일 전까지 공지합니다.
부칙
본 처리방침은 2026년 6월 4일부터 시행됩니다.