1. 개요
Yave(이하 "회사")는 Yave 계정 서비스(accounts.yave.net, 이하 "서비스")를 운영하며, 이용자의 개인정보를 소중히 보호합니다. 본 개인정보처리방침은 서비스 이용 과정에서 수집·이용·보관·파기하는 개인정보의 처리에 관한 사항을 안내합니다.
2. 수집하는 개인정보
2.1 필수 수집 항목
- 이메일 주소 — 계정 식별, 매직 링크 인증, 보안 알림 발송
- 이름(닉네임) — 서비스 내 표시 및 SSO 연동 시 프로필 제공
2.2 선택 수집 항목
- 전화번호 — SMS 인증(2단계 인증, Step-Up 인증) 이용 시
- TOTP 비밀키 — 2단계 인증(TOTP) 설정 시 서버에 암호화 저장
- 프로필 사진 URL, 로케일 — Google 소셜 로그인 시 제공되는 정보
2.3 자동 수집 항목
- IP 주소 — 보안 감사, 비정상 접근 탐지, 세션 관리
- User-Agent — 세션 목록에서 기기/브라우저 표시
- 세션 정보 — 로그인 시각, 마지막 활동 시각, 세션 만료 시각
- 감사 로그 — 보안 관련 행위(로그인, 인증 수단 변경, 세션 폐기 등)의 기록
3. 개인정보의 이용 목적
- 회원 가입 및 본인 확인(매직 링크, TOTP, SMS 인증)
- 계정 보안 유지(비정상 접근 탐지, Refresh Token Rotation, 재사용 공격 차단)
- SSO(Single Sign-On) 서비스 제공 — 승인한 타사 앱에 프로필 정보 전달
- 서비스 운영 및 개선(오류 분석, 사용 통계)
- 법적 의무 이행 및 분쟁 해결
4. 보관 기간 및 파기
| 항목 | 보관 기간 | 파기 방법 |
|---|---|---|
| 계정 정보(이메일, 이름) | 회원 탈퇴 시까지 | 탈퇴 후 30일 이내 완전 삭제 |
| 세션 데이터 | 최대 30일(세션 만료) | 만료 후 자동 삭제 |
| 감사 로그 | 최대 1년 | 보관 기간 경과 후 자동 삭제 |
| TOTP 비밀키, 백업 코드 | 비활성화 또는 탈퇴 시까지 | 비활성화/탈퇴 즉시 삭제 |
5. 개인정보의 제3자 제공
이용자가 SSO(Single Sign-On)를 통해 타사 앱 접근을 승인한 경우, 해당 앱이 요청한 범위(scope) 내에서만 프로필 정보가 전달됩니다.
openid— 사용자 고유 식별자profile— 이름, 닉네임, 프로필 사진, 로케일email— 이메일 주소, 인증 여부phone— 전화번호, 인증 여부
승인은 보안 설정 > 승인한 앱에서 언제든지 해제할 수 있습니다.
6. 개인정보 보호를 위한 기술적 조치
- 비밀번호 미사용 — 매직 링크 기반 무비밀번호 인증
- Refresh Token은 SHA-256 해시로만 저장 (원문 미저장)
- Refresh Token Rotation 및 재사용 공격 탐지 (Token Family)
- Access Token은 HttpOnly 쿠키가 아닌 메모리 전용 저장
- 모든 API 통신은 HTTPS/TLS 암호화
- 2단계 인증(TOTP, SMS) 지원
- 세션별 IP 주소 및 기기 정보 기록, 원격 세션 폐기 지원
7. 이용자의 권리
8. 쿠키 사용
본 서비스는 다음의 필수 쿠키만 사용합니다:
refresh_token— 인증 유지를 위한 HttpOnly/Secure 쿠키 (30일)
분석, 광고, 마케팅 목적의 쿠키는 사용하지 않습니다.
9. 개인정보 보호 문의
개인정보 처리에 관한 문의, 열람·정정·삭제 요청은 아래 연락처로 문의해주세요.
개인정보 보호 담당
이메일: privacy@yave.net
10. 방침 변경
본 방침이 변경되는 경우, 시행일 최소 7일 전에 서비스 내 공지 또는 등록된 이메일로 안내합니다. 중요한 변경 사항의 경우 30일 전에 안내합니다.