개인정보처리방침

시행일: 2026년 2월 18일

Plumbug Studio Inc.(이하 "회사")는 인앱 구독 결제 관리 SaaS 플랫폼 SubX(이하 "서비스", 도메인: subx.dev)를 운영하면서 정보주체의 개인정보를 중요시하며, 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 등 관련 법령을 준수합니다.

본 개인정보처리방침은 회사가 수집하는 개인정보의 항목·목적·보유기간, 제3자 제공, 위탁, 정보주체의 권리·의무 및 행사 방법, 안전성 확보조치 등을 안내합니다.

1. 개인정보의 처리 목적

회사는 다음의 목적으로 개인정보를 처리합니다. 처리한 개인정보는 명시한 목적 이외의 용도로는 이용하지 않으며, 목적이 변경될 경우 「개인정보 보호법」 제18조에 따라 별도의 동의를 받는 등 필요한 조치를 이행합니다.

회원 가입 및 관리: 회원 식별, 서비스 이용 계약 체결·유지·이행, 본인 확인, 계정 보안 관리, 이메일 인증, 고지사항 전달
서비스 제공: 인앱 구독 결제 관리, API 키 발급 및 인증, 프로젝트·앱 정보 관리, 영수증 검증, 구독 상태 조회, 분석 데이터 제공
결제 처리: Paddle을 통한 유료 플랜 구독 결제 처리, 청구서 발행, 환불 처리
고객 지원: 문의 접수·처리, 불만 해소, 기술 지원
서비스 개선 및 분석: 서비스 이용 통계 분석, 오류 감지, 신규 기능 개발, 서비스 품질 향상
법적 의무 이행: 관계 법령에 따른 기록 보존, 분쟁 해결, 법적 청구 대응

2. 처리하는 개인정보의 항목 및 보유기간

회사가 처리하는 개인정보의 항목, 처리 목적 및 보유기간은 다음과 같습니다.

구분	수집 항목	처리 목적	보유기간
회원 가입	이메일 주소, 이름(닉네임), 비밀번호(bcrypt 해시값)	회원 식별, 인증, 계정 관리	회원 탈퇴 시까지 (탈퇴 후 즉시 파기)
서비스 이용	프로젝트 정보, 앱 정보(번들 ID, 패키지명), API 키, 구독 이벤트 로그	서비스 제공, 분석	회원 탈퇴 시까지 (탈퇴 후 즉시 파기)
결제	이메일, 이름, 청구 국가(Paddle에 전달), Paddle 고객 ID, 구독 ID, 플랜 정보 (신용카드 번호 등 결제 수단 정보는 Paddle이 직접 수집·보관하며 SubX에는 저장되지 않음)	결제 처리, 청구서 관리	전자상거래법에 따라 5년
자동 수집	IP 주소, 브라우저·OS 정보(User-Agent), 서비스 접속 일시, 쿠키(JWT 인증 토큰), 페이지 방문 로그	보안, 부정접근 탐지, 서비스 분석	통신비밀보호법에 따라 3개월
고객 문의	이메일, 문의 내용, 첨부파일	문의 처리, 분쟁 해결	처리 완료 후 3년

관련 법령에 의한 보존 기간: 법령에 따라 다음 기간 동안 관련 기록을 보존합니다.

계약·청약철회 기록: 5년 (전자상거래 등에서의 소비자보호에 관한 법률)
대금 결제·재화 공급 기록: 5년 (동 법률)
소비자 불만·분쟁 처리 기록: 3년 (동 법률)
접속 로그·접속 IP 정보: 3개월 (통신비밀보호법)
세금계산서·거래 증빙: 5년 (국세기본법)

3. 개인정보의 제3자 제공

회사는 정보주체의 개인정보를 원칙적으로 외부에 제공하지 않습니다. 다만, 정보주체의 동의 또는 법령에 근거하여 아래와 같이 제공할 수 있습니다.

제공받는 자	제공 목적	제공 항목	보유·이용기간
Paddle.com Market Ltd (결제 대행사, 영국)	유료 구독 결제 처리, Merchant of Record(판매자) 역할	이메일, 이름, 청구 국가	Paddle 개인정보처리방침에 따름 (결제 완료 후 법적 보존 기간)

Paddle은 EU 일반개인정보보호규정(GDPR) 및 영국 UK GDPR을 준수하며, Merchant of Record로서 결제와 관련된 법적 책임을 부담합니다. Paddle의 개인정보처리방침은 paddle.com/legal/privacy에서 확인하실 수 있습니다.

이 외에 관계 법령에 의한 수사기관의 요청이 있거나, 정보주체의 생명·신체·재산 보호를 위해 긴급히 필요한 경우에는 법령에 따라 제공할 수 있습니다.

4. 개인정보처리의 위탁

회사는 서비스 제공을 위해 아래와 같이 개인정보 처리 업무를 위탁합니다. 위탁 계약 시 관련 법령에 따라 개인정보가 안전하게 관리될 수 있도록 필요한 사항을 규정합니다.

수탁사	위탁 업무	보유·이용기간
Google LLC (smtp-relay.gmail.com)	이메일 발송 (인증 메일, 서비스 안내, 알림)	위탁 계약 종료 시

회사의 서버 인프라(데이터베이스, 웹 서버)는 자체 운영 서버에서 처리되며, 별도의 클라우드 호스팅 사업자에 위탁하지 않습니다. 서비스 웹 분석은 자체 호스팅 Umami(analytics.plumbug.studio)를 사용하며, 수집 데이터는 외부로 전송되지 않습니다.

5. 정보주체의 권리·의무 및 행사 방법

정보주체(이용자)는 회사에 대해 언제든지 다음 각 호의 개인정보 보호 관련 권리를 행사할 수 있습니다.

개인정보 열람 요구: 회사가 보유하고 있는 개인정보의 처리 현황, 처리 목적, 처리 항목 등을 확인할 수 있습니다.
개인정보 정정·삭제 요구: 보유 중인 개인정보가 부정확하거나 불완전한 경우 정정을 요구할 수 있으며, 처리 목적이 달성되었거나 필요 없게 된 경우 삭제를 요구할 수 있습니다. 단, 다른 법령에서 수집 대상으로 명시된 경우에는 삭제가 제한될 수 있습니다.
개인정보 처리 정지 요구: 개인정보의 처리를 정지하도록 요구할 수 있습니다. 단, 법령에 특별한 규정이 있거나 법령상 의무를 준수하기 위해 불가피한 경우 등에는 정지 요구가 거절될 수 있습니다.
동의 철회: 개인정보 수집·이용에 대한 동의를 언제든지 철회할 수 있습니다. 다만, 동의 철회 시 일부 서비스 이용이 제한될 수 있습니다.

권리 행사 방법

서비스 내 설정: 로그인 후 계정 설정 페이지에서 직접 정보 수정 및 계정 삭제 가능
이메일 문의: support@subx.dev 로 성명, 이메일, 요구사항을 기재하여 요청
처리 기한: 요청 접수 후 10일 이내에 처리하고 결과를 통지합니다.
법정대리인: 만 14세 미만 아동의 법정대리인은 해당 아동의 개인정보에 대한 권리를 행사할 수 있습니다. (회사는 만 14세 미만 아동의 서비스 가입을 허용하지 않습니다.)

6. 개인정보의 파기절차 및 방법

회사는 개인정보 보유기간의 경과, 처리 목적 달성 등 개인정보가 불필요하게 되었을 때에는 지체 없이 해당 개인정보를 파기합니다.

파기 절차

이용자가 회원 탈퇴를 신청하거나 보유기간이 경과한 경우, 개인정보 보호책임자의 확인 하에 지체 없이(원칙적으로 5일 이내) 파기합니다. 단, 관련 법령에 의해 보존이 필요한 경우에는 별도의 데이터베이스로 분리하여 해당 기간 동안 보존한 후 파기합니다.

파기 방법

전자적 파일 형태: 복원이 불가능한 방법으로 데이터베이스에서 영구 삭제합니다. (DELETE SQL 또는 행 단위 덮어쓰기)
종이 문서: 분쇄기로 분쇄하거나 소각합니다. (현재 종이 형태의 개인정보는 수집하지 않습니다.)

7. 개인정보의 안전성 확보조치

회사는 「개인정보 보호법」 제29조 및 「개인정보의 안전성 확보조치 기준」에 따라 다음과 같은 안전성 확보조치를 취하고 있습니다.

비밀번호 암호화: 이용자의 비밀번호는 bcrypt 알고리즘으로 단방향 해시 처리되어 저장되며, 회사 직원도 원문을 확인할 수 없습니다.
통신 구간 암호화: 서비스 전 구간에 TLS 1.2 이상의 HTTPS를 적용하여 전송 중 개인정보를 암호화합니다.
접근 권한 관리: 개인정보에 대한 접근 권한을 업무 수행에 필요한 최소한으로 제한하며, 퇴직·부서 이동 등 인사 변동 시 즉시 권한을 회수합니다.
접속 기록 보관 및 위·변조 방지: 개인정보 처리 시스템에 대한 접속 기록을 최소 6개월 이상 보관하고, 정기적으로 검토합니다.
API 키 보안: 발급된 API 키는 생성 시점에만 원문을 표시하며, 이후에는 해시값만 보관합니다.
취약점 관리: 정기적인 보안 취약점 점검 및 패치를 통해 시스템 보안을 유지합니다.
개인정보 최소 수집: 서비스 제공에 필요한 최소한의 개인정보만 수집합니다.

8. 개인정보 자동 수집 장치의 설치·운영 및 거부에 관한 사항

쿠키(Cookie) 사용

회사는 이용자에게 개인화된 서비스 제공을 위해 쿠키(Cookie)를 사용합니다. 쿠키란 웹사이트를 운영하는 데 이용되는 서버가 이용자의 브라우저에 보내는 아주 작은 텍스트 파일로, 이용자의 컴퓨터 하드디스크에 저장됩니다.

쿠키 사용 목적

인증 쿠키(필수): JWT(JSON Web Token) 기반 로그인 상태를 유지하기 위해 사용합니다. 이 쿠키 없이는 로그인이 필요한 서비스를 이용할 수 없습니다.
세션 쿠키: 브라우저 종료 시 자동으로 삭제되는 임시 쿠키로, 현재 세션 상태를 관리합니다.

쿠키 거부 방법

이용자는 웹 브라우저 설정을 통해 쿠키 저장을 거부하거나 삭제할 수 있습니다. 단, 쿠키 저장을 거부할 경우 로그인이 필요한 서비스 이용이 불가능합니다.

Chrome: 설정 → 개인정보 및 보안 → 쿠키 및 기타 사이트 데이터
Safari: 환경설정 → 개인정보 보호 → 쿠키 및 웹 사이트 데이터 관리
Firefox: 설정 → 개인정보 및 보안 → 쿠키와 사이트 데이터
Edge: 설정 → 개인정보, 검색 및 서비스 → 쿠키 및 사이트 데이터

서비스 분석 도구

회사는 서비스 개선을 위해 자체 호스팅 웹 분석 도구인 Umami(analytics.plumbug.studio)를 사용합니다. Umami는 쿠키를 사용하지 않으며, 수집된 데이터는 회사 자체 서버에만 저장되고 제3자에게 전송되지 않습니다. 수집 항목: 페이지 방문 횟수, 방문 시간, 방문자 국가(IP 기반 추정, 상세 IP는 저장하지 않음), 브라우저 종류.

9. 개인정보 보호책임자

회사는 개인정보 처리에 관한 업무를 총괄해서 책임지고, 정보주체의 개인정보 관련 불만 처리 및 피해 구제 등을 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.

성명

김준수 (대표)

소속

Plumbug Studio Inc.

이메일

support@subx.dev

처리 기한

접수 후 10일 이내

정보주체께서는 회사의 서비스(또는 사업)를 이용하시면서 발생한 모든 개인정보 보호 관련 문의, 불만, 피해 구제 등에 관한 사항을 개인정보 보호책임자 및 담당 부서로 문의하실 수 있습니다. 회사는 정보주체의 문의에 대해 지체 없이 답변 및 처리해드릴 것입니다.

10. 개인정보의 국외 이전

회사는 결제 처리를 위해 영국에 소재한 Paddle.com Market Ltd에 이용자의 이메일, 이름 정보를 이전합니다.

이전받는 자	이전 국가	이전 목적	이전 항목	보호 조치
Paddle.com Market Ltd	영국	결제 처리	이메일, 이름, 청구 국가	UK GDPR 및 GDPR 준수

11. 권익침해 구제방법

정보주체는 개인정보 침해로 인한 피해를 구제받기 위하여 다음 기관에 도움을 요청할 수 있습니다. 아래 기관은 회사와는 별개의 기관으로, 회사의 자체 민원 처리에 만족하지 못하시거나 보다 자세한 도움이 필요하시면 문의하여 주시기 바랍니다.

개인정보 침해신고센터 (한국인터넷진흥원 운영)

웹사이트: privacy.kisa.or.kr
전화: (국번없이) 118
소관 업무: 개인정보 침해 신고 및 상담

개인정보 분쟁조정위원회

웹사이트: www.kopico.go.kr
전화: 1833-6972
소관 업무: 개인정보 관련 분쟁 조정

대검찰청 사이버범죄수사단

웹사이트: www.spo.go.kr
전화: (국번없이) 1301

경찰청 사이버안전국

웹사이트: cyberbureau.police.go.kr
전화: (국번없이) 182

12. 개인정보 처리방침의 변경

이 개인정보처리방침은 2026년 2월 18일부터 적용됩니다. 개인정보처리방침의 내용 추가, 삭제 및 수정이 있을 경우에는 변경 사항의 시행 7일 전부터 서비스 내 공지사항(또는 별도의 공지사항) 및 이메일을 통해 사전 공지하겠습니다.

다만, 수집하는 개인정보의 항목, 이용 목적, 제3자 제공 등 정보주체의 권리에 중대한 영향을 미치는 사항의 변경이 있는 경우에는 최소 30일 전에 공지합니다.

이전 개인정보처리방침

현재 시행 중인 방침이 최초 버전입니다. (2026년 2월 18일 시행)

이용약관 홈으로