BackendX 개인정보처리방침
시행일: 2026년 4월 25일 최종 수정일: 2026년 4월 24일
BackendX Inc. (주식회사 백엔드엑스)("회사")는 대한민국의 「개인정보 보호법」("PIPA") 및 기타 관련 법령을 준수합니다.
BackendX는 온라인에서 백엔드 서비스를 생성·배포·운영할 수 있도록 지원하는 서비스형 소프트웨어(SaaS) 플랫폼입니다. 본 개인정보처리방침은 회사가 BackendX 서비스("서비스") 이용자의 개인정보를 어떻게 수집·이용·보호하는지를 설명합니다.
본 처리방침은 대한민국 내·외에 위치한 이용자 모두에게 적용됩니다.
1. 수집하는 개인정보 항목
회사는 다음의 개인정보를 수집·처리할 수 있습니다.
A. 이용자가 제공하는 정보
- 이메일 주소
- 계정 식별 정보
- 이용자가 제출한 요구사항, 구성 데이터 및 텍스트 입력
- GitHub 계정 정보(저장소 연동 또는 산출물 전달용)
B. 자동으로 수집되는 정보
- IP 주소, 접속 시각, 브라우저 유형 및 기기 정보
- 서비스 이용 기록, 작업 요청 이력 및 크레딧 사용 내역
- 오류 로그, 시스템 로그 및 트래픽 관련 메타데이터
C. 캘리포니아 주민에 대한 수집 시점 고지(Notice at Collection)
캘리포니아 주민에게는 본 절이 California Consumer Privacy Act(Cal. Civ. Code §1798.100(a))가 요구하는 고지에 해당합니다. 회사는 제1.A조 및 제1.B조에 열거된 개인정보 범주를 해당 항에 기재된 출처에서 수집하여 제2조에 열거된 목적을 위해 처리하고 제4조에 기재된 기간 동안 보유합니다. 회사는 CCPA/CPRA가 정의하는 의미의 개인정보를 판매(sell)하거나 공유(share)하지 않으며, Cal. Civ. Code §1798.121에서 허용되는 목적을 넘어 "제한 권리(right to limit)"를 제공하지 않은 채 민감 개인정보를 이용하지 않습니다. 캘리포니아 주민은 언제든지 제8조에 기재된 권리를 행사할 수 있습니다.
2. 개인정보의 처리 목적
개인정보는 다음의 목적으로 처리됩니다.
- BackendX 서비스의 제공 및 운영
- 계정 관리 및 이용자 식별
- 크레딧, 구독 및 결제 관리
- AI 기반 서비스 기능의 제공
- 서비스 품질 개선 및 오류 분석
- 위법 이용, 남용 및 약관 위반의 방지
- 법적 의무 준수 및 분쟁 해결
3. 자동화된 분석 및 AI 도구의 이용
- 위법 행위, 남용 및 약관 위반을 방지하기 위해, 회사는 이용자가 제출한 요구사항 및 구성 정보를 자동화된 방법으로 분석할 수 있습니다.
- 이러한 목적을 위해 회사는 잠재적 위법성을 평가하기 위한 보조 수단으로서만 제3자 AI 도구를 이용할 수 있습니다.
- 분석에 필요한 최소한의 정보만 이용됩니다. 이 목적에 관여하는 제3자 AI 제공자는 제공자의 구성 옵션 및 회사가 해당 이용을 최소화하기 위해 선택한 제약의 범위에서 전송된 콘텐츠를 외부 AI 모델 학습에 이용하는 것을 금지하는 계약·설정을 적용받습니다.
- 자동화된 분석 결과는 보조적 지표에 불과하며 최종적인 법적 판단에 해당하지 않습니다.
- 자동화된 의사결정에 관한 고지(GDPR 제13(2)(f)조 / 제22조). 자동화된 분석의 논리는 규칙 기반 점검과 제3자 AI 분류의 결합으로 이용 정책 위반 가능성을 표시(플래그)합니다. 해당 분석은 위반 가능성이 있는 활동에 대한 지표를 생성할 뿐 최종 결정을 내리지 않습니다. 이용자에게 법적 효력 또는 이와 유사하게 중대한 영향을 미치는 결정(서비스 접근의 중지·제한·해지 포함)은 집행 전 사람의 검토를 거치며, 이용자는 개인정보보호책임자(privacy@backendx.ai)에게 연락하여 해당 결정을 다툴 수 있습니다. 부정적 결정의 예상 결과는 서비스 접근의 제한 또는 해지이며, 해당되는 경우 법령이 요구하는 관할 당국에 대한 통지가 포함될 수 있습니다.
- 회사 자체 모델의 학습 금지. 회사는 자체 생성형 AI 모델을 운영하거나 학습시키지 않습니다. 이용자로부터 별도의 추가 동의를 받은 경우를 제외하고, 회사는 요구사항, 인터뷰 대화, 구성 정보 또는 기타 고객 콘텐츠를 어떠한 AI 모델(회사 자체 모델 또는 제3자 모델 불문)의 학습에도 이용하지 않습니다.
4. 보유 기간
개인정보는 본 처리방침에 기재된 목적을 달성하기 위해 필요한 기간 동안만 보유되며, 관련 법령이 더 장기간의 보유를 요구하거나 허용하는 경우에는 그에 따릅니다. 범주별 보유 기간은 다음과 같습니다.
| 범주 | 보유 기간 | 법적 근거 / 목적 |
|---|---|---|
| 계정 식별(이메일, 계정 ID) | 계정 삭제 시까지 | 서비스 제공; 계약 이행 |
| 이용자 제출 요구사항, 구성 정보, 텍스트 입력 및 인터뷰 대화 | 원본 대화 콘텐츠: 제출일로부터 최대 24개월 또는 계정 삭제 시점 중 먼저 도래하는 시점까지; 결정 메타데이터(질문 텍스트 해시, 분류, 타임스탬프, 산출물 해시)는 최대 5년 | 서비스 제공; 분쟁 해결; 상당한 주의 의무 이행 증거 |
| GitHub 계정 정보 | 이용자가 GitHub 연동을 해제하거나 계정을 삭제할 때까지 | 산출물 전달 |
| 결제 기록(구독/크레딧 구매) | 거래일로부터 5년 | 「상법」 제64조; 「전자상거래 등에서의 소비자보호에 관한 법률」 제6조(결제·계약 기록) |
| 소비자 불만 / 분쟁 처리 기록 | 3년 | 「전자상거래 등에서의 소비자보호에 관한 법률」 제6조 |
| 접속 로그, IP 주소, 접속 기록 | 3개월 | 「통신비밀보호법」 제15조의2; 보안/남용 방지 |
| 오류 로그, 시스템 로그, 트래픽 메타데이터 | 최대 12개월 | 보안, 안정성, 남용 방지 |
| 자동화 분석 및 위법성 탐지 결과 | 최대 12개월 | 법적 위험 관리; 남용 방지 |
계정이 삭제되면 개인정보는 위 법령이 보유를 요구하거나 진행 중인 분쟁의 해결에 필요한 경우를 제외하고 부당한 지연 없이 삭제됩니다. 보유되는 기록은 분리 저장되고 접근이 통제됩니다.
5. 제3자에 대한 제공
- 회사는 개인정보를 판매하지 아니하며, (a) 이용자의 사전 동의가 있는 경우, (b) 관련 법령, 법원 명령 또는 관할 당국의 적법한 요구로 공개가 요구되는 경우, 또는 (c) 기업 거래(합병, 인수, 자산 이전)에 관련되어 법령이 요구하는 경우 영향을 받는 이용자에게 사전 통지를 하는 것을 조건으로 하는 경우를 제외하고는 제3자에게 개인정보를 공개하지 않습니다.
- California Consumer Privacy Act(CCPA/CPRA)가 정의하는 "판매(sale)" 및 "공유(sharing)"의 의미에서: 회사는 교차 맥락 행태 광고(cross-context behavioral advertising)를 위해 개인정보를 판매하거나 공유하지 않습니다.
6. 개인정보 처리의 위탁(PIPA 제26조)
회사는 일부 처리 활동을 "위탁"합니다. PIPA 제26조에 따라 현재의 수탁자 및 위탁 업무는 다음과 같습니다.
| 수탁자 | 위탁 업무 | 처리 장소 |
|---|---|---|
| Amazon Web Services, Inc. | 클라우드 인프라, 저장, 연산 및 로그 호스팅 | 미국, 대한민국 및 구성에 따른 기타 AWS 리전 |
| GitHub, Inc. | 소스 코드 저장소 및 산출물 전달 | 미국 |
| OpenAI, L.L.C. / Anthropic, PBC / 기타 이용되는 제3자 AI 제공자 | 자동화된 분석 및 위법성 탐지 AI 처리 | 미국 |
| 결제 서비스 제공자(예: Stripe, Inc.; 해당되는 한국 PG 사업자) | 결제 처리, 청구, 분쟁 처리 | 미국; 대한민국 |
현재 수탁자 목록은 서비스 상에서 관리되며 변경이 있을 경우 업데이트됩니다. 회사는 각 수탁자가 적절한 기술적·관리적 안전 조치를 시행하도록 하고, 위탁된 목적에 한정하여 처리하도록 하며, 승인 없는 재위탁을 금지하고, PIPA 제26조에 따라 그 준수 여부를 감독합니다.
7. 개인정보의 국외 이전
회사가 처리하는 플랫폼 데이터는 주로 AWS 아시아·태평양(서울) 리전(ap-northeast-2)에 저장됩니다. 개인정보는 제6조에 기재된 수탁자가 운영하는 대한민국 외 국가(주로 미국)로 이전되어 처리될 수 있으며, 예를 들어 제3자 AI 제공자, 결제 대행사 또는 소스 코드 호스트가 각자의 리전에서 데이터를 처리할 때가 이에 해당합니다.
- 이전 항목: 제1조에 기재된 데이터 범주.
- 이용 목적: 제2조 및 제6조에 기재된 바와 같음.
- 수령인 및 목적지: 제6조에 기재된 바와 같음.
- 수령인 측 보유 기간: 제4조에 기재된 바와 같거나, 수령인과의 계약이 요구하는 더 짧은 기간.
- 이전 메커니즘(GDPR / UK GDPR): 유럽경제지역(EEA) 또는 영국 정보주체의 개인정보가 적정성 결정을 받지 못한 국가로 이전되는 경우, 회사는 유럽위원회의 표준 계약 조항(Standard Contractual Clauses, 2021/914) 및 영국 국제 데이터 이전 부속서(UK International Data Transfer Addendum)와 더불어 보충적 기술적·관리적 조치(전송·저장 시 암호화, 접근 통제, 최소화)에 의존하며, 이는 요청에 따라 제공 가능한 이전 영향 평가(transfer impact assessment) 문서에 기록됩니다.
- 이전 메커니즘(PIPA): 회사는 PIPA 제28조의8이 요구하는 고지를 제공하며, 법령이 요구하는 경우 별도의 동의를 받습니다.
- 이용자는 국외 이전을 거부할 수 있습니다. 다만, 거부 시 일부 또는 전부의 서비스 기능 이용이 제한될 수 있습니다.
8. 이용자의 권리(PIPA, GDPR, UK GDPR, CCPA/CPRA)
관련 법령을 조건으로, 이용자는 다음의 권리를 가집니다.
- 열람 — 자신에 관하여 처리되는 개인정보의 확인 및 사본을 받을 권리.
- 정정 — 부정확하거나 불완전한 데이터의 정정을 요청할 권리.
- 삭제(잊혀질 권리) — 법정 보유 의무를 조건으로 삭제를 요청할 권리.
- 처리의 제한 — 특정 상황에서 처리를 제한하도록 요청할 권리.
- 거부(Objection) — 정당한 이익에 기반한 처리(프로파일링 및 직접 마케팅 포함)에 대한 거부 권리.
- 개인정보 이동권 — 개인정보를 구조화되고 일반적으로 사용되며 기계 판독 가능한 형식으로 수령하여 다른 처리자에게 이전할 권리.
- 동의 철회 — 처리가 동의에 기반하는 경우 언제든지 동의를 철회할 권리이며, 철회 이전의 처리의 적법성에는 영향을 주지 않습니다.
- 자동화된 의사결정의 대상이 되지 않을 권리(GDPR 제22조) — 회사의 자동화된 위법성 탐지 결과는 보조적 지표에 불과하며, 이용자에게 법적 효력 또는 이와 유사하게 중대한 영향을 미치는 결정(중지 또는 해지 등)은 사람의 검토를 거치고, 이용자는 회사에 연락하여 해당 결정을 다툴 수 있습니다.
- 이의 신청 — EEA/UK 정보주체는 자신의 관할 감독 기관에 이의를 신청할 수 있습니다. 대한민국 정보주체는 개인정보보호위원회(privacy.go.kr) 또는 한국인터넷진흥원(privacy.kisa.or.kr)에 연락할 수 있습니다. 캘리포니아 주민은 California Privacy Protection Agency 또는 주 법무장관(Attorney General)에게 연락할 수 있습니다.
- 캘리포니아 고유 권리(CCPA/CPRA): 수집된 개인정보의 범주/구체적 항목, 출처, 목적 및 제3자에 대한 알 권리; 삭제 권리; 정정 권리; 판매/공유에 대한 옵트아웃 권리(회사는 판매·공유하지 않습니다); 민감 개인정보 이용 제한 권리; 권리 행사에 따른 차별을 받지 않을 권리. 대리인 요청은 본인 확인 후 수용됩니다.
요청은 privacy@backendx.ai 또는 team@email.backendx.ai로 제출할 수 있습니다. 회사는 요청자의 신원을 확인하고 법정 기한 내(GDPR에서 30일, 60일 연장 가능; CCPA에서 45일, 45일 연장 가능; PIPA에서 최초 응답 10일) 응답합니다.
9. 안전성 확보 조치
회사는 처리의 성질, 범위, 맥락, 목적 및 개인에 대한 위험에 비례하여 개인정보를 보호하기 위한 기술적·관리적 조치를 시행합니다.
현재 시행 중인 조치는 다음과 같습니다.
- 접근 통제 및 인증 — 최소 권한 원칙에 기반한 역할 기반 접근; 관리자 계정에 대한 다중 인증.
- 전송 시 암호화 — 모든 외부 인터페이스 및 제3자 처리자(클라우드 제공자, AI 제공자, 결제 대행사, 소스 코드 호스트)로의 연결에 TLS 1.2 이상을 적용.
- 저장 시 암호화 — 데이터베이스 및 백업에 대한 저장소 수준 암호화; 더 높은 민감도의 저장소(이용자 제출 요구사항 및 인터뷰 대화 포함)에 대해 키 관리 서비스(KMS) 키를 이용한 envelope 방식의 애플리케이션 수준(컬럼 수준) 암호화를 추가 적용. 더 높은 민감도의 저장소에 대한 복호화 작업은 로깅됩니다.
- 외부 AI 처리 이전의 비밀값 제거(Secret Scrubbing) — 자동화된 분석을 위해 제3자 AI 제공자에게 전송되는 이용자 콘텐츠의 경우(제3조 참조), 회사는 전송 전에 명시적인 비밀값(클라우드 액세스 키, 베어러 토큰, 결제수단 패턴 등)을 제거하기 위한 결정론적 정규식 기반 마스킹을 적용합니다. 제3자 AI 제공자는 제공자의 제약 범위 내에서 전송된 콘텐츠를 외부 모델 학습에 이용하는 것을 금지하는 계약을 체결한 상태입니다.
- 로깅 및 모니터링 — 제4조에 따라 접근 및 활동 로그를 보존하며, 권한 접근 및 복호화 이벤트에 대한 이상 탐지 알림을 운영합니다.
- 사고 대응 — 탐지, 봉쇄, 조사 및 통지를 위한 문서화된 절차를 보유하며, 제14조의 개인정보 유출 통지 요건과 정합됩니다.
- 수탁자 실사 — 회사는 제6조에 기재된 수탁자와 개인정보 처리 계약(또는 PIPA에 상응하는 위탁 계약)을 체결하고 그 보안 수준을 주기적으로 검토합니다.
10. 처리의 법적 근거(GDPR / UK GDPR)
GDPR 또는 UK GDPR이 적용되는 경우, 회사는 다음의 법적 근거에 따라 개인정보를 처리합니다.
| 처리 활동 | 법적 근거 |
|---|---|
| 계정 생성, 인증, 서비스 제공, 결제 처리, 고객 지원 | 계약의 이행(제6(1)(b)조) |
| 보안, 사기/남용 방지, 자동화된 위법성 탐지, 서비스 품질 개선, 내부 분석 | 정당한 이익(제6(1)(f)조) — 정보주체 권리와 형량 |
| 결제 기록, 민원 기록, 접속 로그의 보유 | 법적 의무 준수(제6(1)(c)조) — 대한민국의 상법 및 통신 관련 법령 |
| 선택적 마케팅 커뮤니케이션(있는 경우) | 동의(제6(1)(a)조), 언제든지 철회 가능 |
이용자는 요구사항 또는 인터뷰 대화에 민감 개인정보(GDPR 제9조; PIPA 제23조)를 제출해서는 안 됩니다. 그러한 데이터가 그럼에도 제출된 경우, 회사는 해당 처리를 허용하는 법적 근거(GDPR 제9(2)(a)조에 따른 명시적 동의 또는 적용 가능한 제9(2)조/PIPA 제23조의 예외 등)가 있는 때에 한하여 처리하거나, 확인 즉시 삭제합니다. 회사는 서비스 운영 및 법적 의무 준수 외의 목적으로 민감 범주 개인정보를 알면서 처리하지 않습니다.
11. 개인정보보호책임자(PIPA 제31조)
PIPA 제31조에 따라 회사는 개인정보의 전반적 관리 및 이용자 요청·민원 처리를 책임지는 개인정보보호책임자를 지정합니다.
- 개인정보보호책임자: 문대경(DK Moon), BackendX Inc. (주식회사 백엔드엑스) 대표이사
- 이메일: privacy@backendx.ai
- 우편 주소: 경기도 성남시 수정구 창업로 43, 업무동 4층 9호(업무동), 우 13449, 대한민국
이용자는 개인정보 관련 문의, 요청 또는 민원에 대하여 개인정보보호책임자에게 연락할 수 있습니다. 개인정보보호책임자는 법정 기한 내에 응답하며 신속한 해결을 위해 노력합니다.
12. EU / UK 대리인(GDPR 제27조 / UK GDPR)
회사가 GDPR 제27조에 따라 유럽연합 내에 대리인을 지정해야 하고, 그리고/또는 UK GDPR이 영국 대리인을 요구하는 범위에서, 회사는 해당 대리인을 지정하고 지정 즉시 본 처리방침에 그 연락처를 공개합니다. 대리인이 정식 지정되기 전까지는, EEA/UK 정보주체는 권리 행사를 위해 개인정보보호책임자(privacy@backendx.ai)에게 연락할 수 있으며, 회사는 대리인의 부재를 이유로 권리 요청을 거부하거나 지연하지 않습니다.
13. 아동의 개인정보
서비스는 미국의 「Children's Online Privacy Protection Act」("COPPA")상 만 13세 미만, PIPA상 만 14세 미만 또는 GDPR상 만 16세 미만(EU 회원국에 따라 다를 수 있음) 아동을 대상으로 하지 않습니다. 회사는 해당 연령 미만 아동으로부터 개인정보를 알면서 수집하지 않습니다. PIPA 제22조의2에 따라, 만 14세 미만 아동의 개인정보 처리에는 법정대리인의 동의가 필요하며, 회사는 그러한 동의 없이는 해당 정보를 처리하지 않습니다. COPPA에 따라 회사는 만 13세 미만 아동으로부터 개인정보를 알면서 수집하지 않습니다. 아동이 적절한 동의 없이 개인정보를 제공하였다고 판단되는 경우, privacy@backendx.ai로 연락하여 신속한 삭제를 요청할 수 있습니다.
14. 개인정보 유출 통지
개인정보 유출이 발생한 경우, 회사는 관련 법령(PIPA 제34조(1,000명 이상의 정보주체에 영향을 미치는 유출에 대한 인지 후 72시간 이내 통지), GDPR 제33/34조(72시간 이내 감독 기관 통지; 높은 위험이 예상되는 경우 정보주체 통지), 미국 주(州)별 유출 통지 법령 등)에 따라 영향을 받는 이용자 및 관할 감독 기관에 통지합니다.
15. 연락처
개인정보 관련 문의, 권리 요청 또는 민원이 있을 경우 다음으로 연락해 주시기 바랍니다.
- 개인정보보호책임자: 문대경(DK Moon)
- 개인정보 이메일: privacy@backendx.ai
- 일반 이메일: team@email.backendx.ai
- EU/UK 대리인: 추후 지정 예정(제12조 참조)
16. 쿠키 및 유사 기술
회사는 제품 내 서비스(app.backendx.ai 또는 이에 상응하는 경로)와 마케팅 웹사이트(backendx.ai)를 구분합니다.
- 제품 내 서비스. 제품 내 서비스는 인증, 세션 관리, 보안 및 서비스 운영을 위해 엄격하게 필요한 쿠키 및 유사 기술만 사용합니다. 이는 서비스 제공에 필수적이며 관련 법령상 별도의 동의를 요하지 않습니다.
- 마케팅 웹사이트. 마케팅 웹사이트는 트래픽 측정 및 제품 개선을 위해 Google Analytics 4("GA4")를 사용합니다. GA4는 비필수 분석 쿠키로 분류되는 쿠키(
_ga,_ga_<id>등)를 설정합니다. 이용자가 유럽경제지역, 영국 또는 대한민국 등 비필수 쿠키에 대한 사전 동의가 요구되는 관할에 위치한 경우, 이용자가 웹사이트의 쿠키 배너를 통해 동의를 부여하기 전까지 GA4는 로드되지 않습니다. 이용자는 언제든지 웹사이트의 쿠키 설정 컨트롤을 통해 동의를 철회할 수 있습니다. GA4 데이터는 Google의 표준 계약 조항 및 Consent Mode 프레임워크 하에서 미국의 Google LLC로 이전됩니다. - Next.js 프레임워크. 서비스는 Next.js 프레임워크로 구축되어 있습니다. Next.js는 기본적으로 추적 쿠키를 설정하지 않으며, 서비스에서 이용하는 Next.js 생성 쿠키는 세션 관리 및 보안을 위한 엄격히 필요한 쿠키에 한정됩니다.
- Do Not Track 및 Global Privacy Control. 마케팅 웹사이트는 기술적으로 실행 가능한 경우 브라우저 수준의 Global Privacy Control("GPC") 신호를 존중하며, 이를 해당 세션의 분석 쿠키에 대한 옵트아웃으로 취급합니다.
17. 본 처리방침의 변경
본 개인정보처리방침은 법령의 변경 또는 서비스 운영의 변화에 따라 변경될 수 있습니다. 변경 사항은 서비스 또는 기타 합리적 수단을 통해 공지됩니다. 중대한 변경은 관련 법령이 요구하는 범위에서 사전 공지되며, 본 처리방침 상단의 "최종 수정일"은 가장 최근의 개정을 반영합니다.