개인정보 처리방침
Ballast(이하 ‘회사’)는 정보주체의 자유와 권리 보호를 위해 「개인정보 보호법」 및 관계 법령이 정한 바를 준수하여, 적법하게 개인정보를 처리하고 안전하게 관리하고 있습니다. 이에 「개인정보 보호법」 제30조에 따라 정보주체에게 개인정보의 처리와 보호에 관한 절차 및 기준을 안내하고, 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리방침을 수립·공개합니다.
본 방침은 회사가 운영하는 웹사이트 및 AWS 인프라 진단·FinOps 비용 최적화 서비스 Ballast(현재 ballast-landing.vercel.app에서 운영, 추후 ballast.cloud로 이전 예정 — 이하 ‘서비스’)에 적용됩니다. 서비스는 현재 베타 단계로, AWS 계정에 대한 읽기 전용 진단 리포트 기능과 출시 안내를 위한 웨이팅리스트를 제공합니다.
1. 개인정보의 처리 목적
회사는 다음의 목적을 위하여 개인정보를 처리합니다. 처리하고 있는 개인정보는 다음의 목적 외의 용도로는 이용되지 않으며, 이용 목적이 변경되는 경우에는 「개인정보 보호법」 제18조에 따라 별도의 동의를 받는 등 필요한 조치를 이행할 예정입니다.
- 회원 가입 및 관리 — 회원 가입 의사 확인, 본인 식별·인증, 회원자격 유지·관리, 서비스 부정이용 방지, 각종 고지·통지, 고충처리
- 서비스 제공 — AWS 계정 연결(읽기 전용), 리소스 자동 발견 및 비용·구성 분석, 진단 리포트 생성·제공
- 웨이팅리스트 운영 및 출시 안내 — 등록 의사 확인, 출시·베타 초대 안내, 초대 순서 선별, 문의 응대
- 요금 결제 및 정산 — 유료 서비스 이용에 따른 요금 정산(계좌이체), 세금계산서 발행
- 고충처리 — 문의·민원인의 신원 확인, 문의 접수 및 사실 조사, 처리 결과 통지
- 서비스 개선 및 개발 — 서비스 이용에 대한 분석, 품질·안정성 개선 및 신규 기능 개발
- 마케팅 및 정보 안내 — (수신에 동의한 경우) 이벤트·신규 기능·뉴스레터 등 정보성·광고성 정보 제공
2. 처리하는 개인정보의 항목
회사는 다음과 같은 법적 근거로 정보주체의 개인정보를 수집 및 이용하며, 처리하는 항목은 처리 목적 달성에 필요한 최소한의 범위로 구성합니다.
2-1. 정보주체의 동의 없이 처리하는 개인정보
| 처리 업무 | 법적 근거 | 처리하는 항목 |
|---|---|---|
| 회원 서비스 운영 | 「개인정보 보호법」 제15조제1항제4호(계약의 체결·이행) | (필수) 이메일 주소, 비밀번호 / (선택) 이름 |
| 클라우드 계정 연동 | 「개인정보 보호법」 제15조제1항제4호(계약의 체결·이행) | 연동 AWS 계정 식별자(AWS 계정 ID, IAM 역할 ARN), 연동 설정 정보(External ID 등) |
| 요금 결제·정산(유료) | 「개인정보 보호법」 제15조제1항제4호(계약의 체결·이행) | 세금계산서 발행용 사업자 정보(상호, 사업자등록번호, 담당자 이름·연락처·이메일), 정산 내역 |
| 문의 및 고객지원 | 「개인정보 보호법」 제15조제1항제4호(계약의 체결·이행) | 이름, 이메일 주소, 문의 내용 |
| 서비스 이용 과정에서 자동 생성 | 「개인정보 보호법」 제15조제1항제6호(정당한 이익 — 부정 이용 방지·안정적 운영) | 접속 IP 주소, 접속 일시 및 로그기록, 서비스 이용기록, 기기·브라우저 정보, 쿠키 |
- 비밀번호는 일방향 암호화(해시)하여 저장하며, 원문을 보관하지 않습니다.
- 회사는 클라우드 계정에 읽기 전용·최소 권한으로만 연결합니다. 현재 서비스는 이용자의 인프라를 변경하는 쓰기(실행) 권한을 수집·보유하지 않습니다.
- 요금 정산은 계좌이체·세금계산서 방식으로 처리하며, 신용카드 정보 등 결제 수단의 상세 정보를 수집·보관하지 않습니다.
- 서비스 제공 과정에서 수집·생성되는 연동 계정의 리소스·비용 메타데이터는 대부분 개인을 식별하지 않는 인프라·과금 정보이나, 개인정보가 포함되는 경우 본 방침에 따라 처리합니다.
2-2. 정보주체의 동의를 받아 처리하는 개인정보
| 처리 업무 | 법적 근거 | 처리하는 항목 |
|---|---|---|
| 웨이팅리스트 운영·출시 안내 | 「개인정보 보호법」 제15조제1항제1호(동의) | (필수) 이메일 주소 / (선택) 회사·조직명, 직책·역할, 월 클라우드 청구액 구간, 주 사용 클라우드, 전담 DevOps 유무 |
| 마케팅·뉴스레터 발송 | 「개인정보 보호법」 제15조제1항제1호(동의 — 선택) | 이메일 주소 |
- 선택 항목을 입력하지 않아도 웨이팅리스트 등록에는 제한이 없습니다.
- 광고성 정보 수신 동의는 정보주체가 언제든지 거부·철회할 수 있으며, 동의하지 않아도 서비스의 본질적 기능 이용에는 제한이 없습니다.
3. 만 14세 미만 아동의 개인정보 처리에 관한 사항
회사는 만 14세 미만 아동을 대상으로 서비스를 제공하지 않으며, 만 14세 미만 아동의 개인정보를 수집·처리하지 않습니다.
4. 개인정보의 처리 및 보유 기간
회사는 법령에 따른 개인정보 보유·이용 기간 또는 계약의 체결·이행에 필요한 기간, 정보주체로부터 개인정보 수집 시에 동의받은 개인정보 보유·이용 기간 내에서 개인정보를 처리·보유합니다.
- 회원 가입 및 관리 : 회원 탈퇴 시까지. 다만 관계 법령 위반에 따른 수사·조사 등이 진행 중이거나 채권·채무관계가 잔존하는 경우 해당 사유 종료 시까지
- 클라우드 계정 연동 정보 : 연동 해제 또는 회원 탈퇴 시 지체 없이 파기
- 요금 결제 및 정산 : 정산 완료 시까지. 다만 다음의 법령에 따라 일정 기간 보존
- 계약 또는 청약철회 등에 관한 기록 : 5년 (「전자상거래 등에서의 소비자보호에 관한 법률 시행령」 제6조제1항제2호)
- 대금결제 및 재화 등의 공급에 관한 기록 : 5년 (동 시행령 제6조제1항제3호)
- 소비자의 불만 또는 분쟁처리에 관한 기록 : 3년 (동 시행령 제6조제1항제4호)
- 표시·광고에 관한 기록 : 6개월 (동 시행령 제6조제1항제1호)
- 웨이팅리스트 정보 : 수집·이용 목적 달성(출시 안내 및 웨이팅리스트 운영 종료) 또는 정보주체의 삭제 요청 시까지
- 서비스 접속기록 : 「통신비밀보호법」 제15조의2에 따른 컴퓨터통신·인터넷 로그기록은 3개월간 보관하며, 개인정보처리시스템에 대한 접근·접속기록은 「개인정보의 안전성 확보조치 기준」에 따라 1년 이상 보관
- 마케팅 활용 동의 정보 : 동의 철회 또는 회원 탈퇴 시까지
5. 개인정보의 파기 절차 및 방법
회사는 개인정보 보유기간의 경과, 처리 목적 달성 등 개인정보가 불필요하게 되었을 때에는 지체 없이 해당 개인정보를 파기합니다. 보유기간이 경과하거나 처리 목적이 달성되었음에도 다른 법령에 따라 계속 보존하여야 하는 경우에는 해당 개인정보를 별도의 데이터베이스(DB)로 옮기거나 보관 장소를 달리하여 보존합니다.
파기 사유가 발생한 개인정보는 개인정보 보호책임자의 승인을 받아 파기하며, 전자적 파일 형태로 기록·저장된 개인정보는 기록을 재생할 수 없도록 파기합니다.
6. 개인정보의 제3자 제공
회사는 정보주체의 개인정보를 “1. 개인정보의 처리 목적”에서 명시한 범위 내에서만 처리하며, 원칙적으로 정보주체의 개인정보를 제3자에게 제공하지 않습니다. 다만 정보주체로부터 별도의 동의를 받은 경우, 법령에 특별한 규정이 있는 경우 등 「개인정보 보호법」 제17조제1항제2호·제18조제2항 각 호에 해당하는 경우는 예외로 합니다.
7. 추가적인 이용·제공에 관한 사항
회사는 현재 정보주체의 동의 없이 개인정보를 당초 수집 목적과 합리적으로 관련된 범위에서 추가적으로 이용·제공하는 업무를 지속적으로 수행하지 않습니다. 향후 이러한 처리가 지속적으로 발생하는 경우, 「개인정보 보호법」 제15조제3항·제17조제4항 및 같은 법 시행령 제14조의2에 따른 판단 기준을 본 방침에 공개한 후 처리합니다.
8. 개인정보 처리업무의 위탁
| 위탁받는 자(수탁자) | 위탁하는 업무의 내용 |
|---|---|
| Vercel Inc.(미국) | 웹사이트·서비스 호스팅 및 운영 인프라 관리 |
| Neon, LLC(미국 · Databricks, Inc. 계열) | 서비스 데이터베이스(회원·연동·웨이팅리스트 정보) 저장·관리 |
- 서비스 이용 통계 분석은 회사가 직접 운영하는 자체 호스팅 분석 도구(Umami)로 수행하며, 별도 분석 사업자에게 위탁하지 않습니다. 분석 데이터는 위 표의 인프라에서 처리됩니다.
- 문의·고객지원은 이메일로 회사가 직접 처리하며, 별도 고객지원·이메일 발송 사업자에게 위탁하지 않습니다.
회사는 위탁계약 체결 시 「개인정보 보호법」 제26조에 따라 위탁업무 수행 목적 외 개인정보 처리 금지, 기술적·관리적 보호조치, 재위탁 제한, 수탁자에 대한 관리·감독, 손해배상 등 책임에 관한 사항을 문서에 명시하고, 수탁자가 개인정보를 안전하게 처리하는지를 감독하고 있습니다. 위탁업무의 내용이나 수탁자가 변경될 경우에는 지체 없이 본 방침을 통하여 공개하겠습니다.
9. 개인정보의 국외 이전
회사는 서비스 제공 및 안정적 운영을 위해 다음과 같이 개인정보를 국외로 이전(처리위탁·보관)하며, 「개인정보 보호법」 제28조의8에 따라 이를 안내합니다. 국외 이전을 원하지 않을 경우 이메일(kal6529@gmail.com)을 통해 회원 탈퇴·삭제를 요청할 수 있으나, 이 경우 서비스 이용이 제한될 수 있습니다.
| 이전받는 자 | Vercel Inc.(웹사이트·서비스 호스팅 · privacy@vercel.com) / Neon, LLC(데이터베이스 보관 · privacy@databricks.com) |
|---|---|
| 이전되는 항목 | 제2조에서 정한 수집 항목 전체 |
| 이전 국가·시기·방법 | 미국 / 서비스 이용 시점 / 암호화된 네트워크(TLS)를 통한 전송·보관 |
| 이용 목적·보유 기간 | 서비스 호스팅 및 데이터베이스 보관 / 제4조의 보유 기간과 동일 |
- 국외 이전의 법적 근거 : 「개인정보 보호법」 제28조의8제1항제3호(계약의 이행·편의 증진을 위한 처리위탁·보관)
- 회사는 인프라를 국내(AWS 서울 리전)로 이전할 예정이며, 완료 시 본 항목을 개정·공지합니다.
10. 개인정보의 안전성 확보조치
- 관리적 조치 : 내부 관리계획 수립·시행, 개인정보 취급자 최소화 및 접근권한 관리
- 기술적 조치
- 개인정보처리시스템에 대한 접근 권한의 관리 및 접근통제
- 클라우드 연동 설정 정보 등 중요 정보의 암호화(전송 구간 TLS 적용, 저장 시 암호화)
- 비밀번호의 일방향 암호화(해시) 저장
- 접속기록의 보관 및 위·변조 방지를 위한 점검
- 클라우드 계정 연결은 읽기 전용·최소 권한만 사용 — 현재 서비스는 이용자 인프라를 변경하는 쓰기(실행) 권한을 부여받지 않음
- 물리적 조치 : 클라우드 인프라 제공자의 물리적 접근통제·재해 대비 안전조치 활용
11. 민감정보의 공개 가능성 및 비공개를 선택하는 방법
회사는 「개인정보 보호법」 제23조제1항 및 같은 법 시행령 제18조에 따른 민감정보를 처리하지 않으며, 재화 또는 서비스를 제공하는 과정에서 정보주체의 민감정보가 공개되는 기능을 제공하지 않습니다.
12. 가명정보 처리에 관한 사항
회사는 현재 「개인정보 보호법」 제28조의2 및 제28조의3에 따른 가명정보를 처리하지 않습니다. 향후 가명정보를 처리하게 되는 경우 그 처리 목적·기간·항목 및 안전성 확보조치 등을 본 방침에 별도로 기재하여 안내합니다.
13. 쿠키 등 개인정보 자동 수집 장치의 설치·운영 및 거부
회사는 로그인 상태 유지 등 서비스 제공에 필수적인 범위에서만 ‘쿠키(cookie)’를 사용하며, 광고·추적 목적의 쿠키를 사용하지 않습니다. 서비스 이용 통계는 회사가 직접 운영하는 분석 도구(Umami)로 쿠키 없이 수집하며, 이 과정에서 개인을 식별하지 않습니다.
정보주체는 브라우저 옵션 설정을 통해 쿠키 저장을 거부할 수 있습니다. 다만 쿠키 저장을 거부할 경우 로그인 유지 등 일부 서비스 이용에 제한이 있을 수 있습니다.
- 크롬(Chrome) : 설정 > 개인정보 보호 및 보안 > 서드파티 쿠키
- 엣지(Edge) : 설정 > 쿠키 및 사이트 권한
- 사파리(Safari) : 설정 > Safari > 고급 > 모든 쿠키 차단
- 삼성 인터넷 : 설정 > 인터넷 사용 기록 > 쿠키
14. 제3자가 수집하는 행태정보에 관한 사항
회사는 맞춤형 광고 등을 위하여 제3자가 정보주체의 행태정보를 수집하도록 허용하지 않습니다. 향후 이를 허용하는 경우, 수집하는 사업자·항목·목적 및 거부 방법을 본 방침에 기재하여 안내합니다.
15. 정보주체와 법정대리인의 권리·의무 및 행사방법
정보주체는 회사에 대해 언제든지 개인정보 열람·전송·정정·삭제·처리정지 및 동의 철회 등을 요구할 수 있습니다. 권리 행사는 이메일(kal6529@gmail.com)을 통해 하실 수 있으며, 회사는 요구를 받은 날로부터 10일(전송요구의 경우 지체 없이) 이내에 회신하겠습니다.
권리 행사는 정보주체의 법정대리인이나 위임을 받은 자 등 대리인을 통하여 하실 수도 있습니다. 이 경우 “개인정보 처리 방법에 관한 고시” [별지 제11호] 서식에 따른 위임장을 제출하셔야 합니다. 정보주체의 개인정보 열람 및 처리정지 요구는 「개인정보 보호법」 제35조제4항 및 제37조제2항에 따라 제한될 수 있으며, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 해당 개인정보의 삭제를 요구할 수 없습니다.
16. 자동화된 결정에 관한 사항
회사는 「개인정보 보호법」 제37조의2에 따른, 정보주체에게 법적 효력이나 이에 준하는 중대한 영향을 미치는 ‘완전히 자동화된 결정’을 하지 않습니다. 회사가 제공하는 진단 리포트와 비용 최적화 추천은 클라우드 사업자의 공식 분석 엔진 등에 기반한 참고 정보로 제공됩니다.
17. 개인정보 보호책임자
- 성명 : 김택수
- 직책 : 대표
- 연락처 : kal6529@gmail.com
정보주체는 서비스를 이용하시면서 발생한 모든 개인정보보호 관련 문의, 불만처리, 피해구제 등에 관한 사항을 개인정보 보호책임자에게 문의할 수 있으며, 회사는 정보주체의 문의에 대해 지체 없이 답변 및 처리하겠습니다.
18. 국내대리인 지정에 관한 사항
회사는 국내에 주소 또는 영업소를 두고 있어 「개인정보 보호법」 제31조의2에 따른 국내대리인 지정 대상에 해당하지 않습니다. (해당사항 없음)
19. 정보주체의 권익침해에 대한 구제방법
- 개인정보 분쟁조정위원회 : (국번 없이) 1833-6972 (www.kopico.go.kr)
- 개인정보침해 신고센터 : (국번 없이) 118 (privacy.kisa.or.kr)
- 경찰청 : (국번 없이) 182 (ecrm.police.go.kr)
20. 자율적 개인정보 보호 노력
- 보안 중심 설계(Security by Design) : 클라우드 계정 연결은 읽기 전용·최소 권한만 사용하며, 장기 자격증명(액세스 키) 대신 External ID를 결합한 임시 역할 위임(AssumeRole) 방식을 사용합니다.
- durable 쓰기 자격증명 미보관 : 회사는 이용자 인프라를 변경할 수 있는 쓰기 자격증명을 보관하지 않습니다.
- 향후 ISMS-P 등 국내외 개인정보보호 인증 획득을 추진할 예정입니다.
21. 개인정보 처리방침의 변경
이 개인정보 처리방침(v2)은 2026년 7월 15일부터 적용됩니다. 본 개정은 서비스 베타 개시에 따라 신규 처리 업무(회원 가입·관리, AWS 계정 연동, 진단 리포트 제공 등)에 관한 사항을 추가한 것으로, 기존 정보주체(웨이팅리스트 등록자)의 개인정보 처리에 관한 불리한 변경이 없어 공고와 동시에 시행합니다. 회사는 법령·서비스의 변경사항을 반영하기 위하여 본 방침을 개정할 수 있으며, 개정 시에는 개정 사항을 시행일 7일 전(정보주체 권리에 중대한 영향을 미치는 변경의 경우 30일 전)부터 웹사이트를 통해 공지합니다.
이전의 개인정보 처리방침은 아래에서 확인할 수 있습니다.