ROSO 개인정보 처리방침
ROSO 시행일자: 2026년 5월 | 버전: v1.0
ROSO(이하 "회사")는 「개인정보 보호법」 제30조에 따라 정보주체의 개인정보를 보호하고 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리방침을 수립·공개합니다. 본 처리방침은 회사가 운영하는 대학 축제용 매칭 서비스 ROSO(연인 모드, 친구 모드, 크루시 모드 포함)에 적용됩니다.
목차
- 개인정보의 처리 목적
- 수집하는 개인정보의 항목 및 수집 방법
- 개인정보의 처리 및 보유 기간
- 개인정보의 제3자 제공
- 개인정보 처리의 위탁
- 정보주체의 권리·의무 및 행사 방법
- 개인정보의 안전성 확보 조치
- 만 14세 미만 아동의 개인정보
- 쿠키의 운영 및 거부
- 개인정보 보호책임자
- 권익침해 구제 방법
- 개인정보 처리방침의 변경
제1조 (개인정보의 처리 목적)
회사는 다음의 목적을 위하여 개인정보를 처리하며, 처리 목적이 변경되는 경우에는 「개인정보 보호법」 제18조에 따라 별도의 동의를 받는 등 필요한 조치를 이행합니다.
- 본인 인증 및 부정 이용 방지: 전화번호 OTP 인증을 통한 실명성 확보, 가짜 번호 및 중복 참여 차단
- 매칭 서비스 제공: 성별·MBTI·관심사·이상형 등 프로필 기반 가중치 알고리즘을 통한 1:1 또는 그룹 매칭
- 매칭 결과 안내: 매칭 성사 시 SMS 알림 및 웹앱 결과 카드 표시, 1:1 문자 또는 오픈채팅 연결
- 서비스 품질 개선: 만족도 리뷰 수집을 통한 매칭 알고리즘 고도화 및 결산 리포트 작성
- 법령상 의무 이행: 개인정보 파기 감사 로그 기록 및 보관
제2조 (수집하는 개인정보의 항목 및 수집 방법)
회사는 매칭 서비스 제공을 위해 아래와 같은 개인정보 항목을 수집합니다. 이용자가 선택한 모드(연인/친구/크루시)에 따라 수집 항목이 일부 상이합니다.
| 구분 | 수집 항목 | 수집 목적 | 보유 기간 |
|---|---|---|---|
| 필수 항목 (공통) | 전화번호, 성별, 닉네임, 나이, MBTI, 관심사 | 본인 인증, 매칭 풀 분류, 가중치 알고리즘 기반 매칭 | 매칭 종료 후 24시간 이내 파기 |
| 연인 모드 | 이상형 나이대, 선호 MBTI 그룹 | 이성 매칭 시 가중치 적용 | 매칭 종료 후 24시간 이내 파기 |
| 친구 모드 | 매칭 상대 성별 선택, 친구 찾는 이유, 학년, 소속 학과/단과대, 요즘 관심있는 것 | 관심사·가치관 기반 친구 매칭 | 매칭 종료 후 24시간 이내 파기 |
| 크루시 모드 | 그룹명, 그룹 사이즈, 참여 코드, 그룹 역할 유형 | 이성 그룹 단위 단체 매칭 | 매칭 종료 후 24시간 이내 파기 |
| 자동 생성 정보 | 접속 IP, 접속 시간, 기기 정보, 쿠키, JWT 토큰 | 부정 이용 방지, 서비스 운영 안정성 확보 | 최소 2년 (감사 로그) |
| 선택 항목 | 만족도 별점, 리뷰 코멘트 | 서비스 품질 개선, 결산 리포트 작성 | 익명 처리 후 통계 목적 영구 보관 |
| 문의 접수 | 담당자 이메일, 학교명, 단과대, 행사명 | 베타 파트너 문의 답변 | 접수 후 12개월 경과 시 자동 삭제 |
수집 방법: 개인정보는 이용자가 QR 스캔 후 모바일 웹(PWA)에서 OTP 인증 및 프로필 등록 절차를 진행하는 과정에서 직접 입력하는 방식으로 수집됩니다. 자동 생성 정보는 서비스 이용 과정에서 자동으로 수집됩니다.
제3조 (개인정보의 처리 및 보유 기간)
회사는 매칭 서비스의 성격상 행사 종료 직후 개인정보를 신속히 파기하는 것을 원칙으로 합니다. 「개인정보 보호법」 제21조에 따라 수집·이용 목적이 달성된 즉시 자동 파기 절차를 진행합니다.
3.1 파기 원칙
- 매칭 종료 시점부터 24시간 경과 후 개인정보 자동 파기 (node-cron 스케줄러 5분 단위 실행)
- 이용자가 매칭 진행 중 이탈 시 즉시 매칭 풀에서 제외 후 24시간 카운트다운 시작
- 법령에 따라 보존 의무가 있는 정보(감사 로그)는 별도 분리 보관
3.2 데이터별 처리 방법
| 데이터 항목 | 처리 방법 | 파기 시점 |
|---|---|---|
| 전화번호 | AES-256 암호화 저장 후 NULL 덮어쓰기 | 매칭 후 24시간 경과 시 |
| 전화번호 해시값 | SHA-256 해시 처리 후 NULL 처리 | 매칭 후 24시간 경과 시 |
| 닉네임 | '[삭제됨]' 문자열로 교체 | 매칭 후 24시간 경과 시 |
| 프로필 정보(나이, MBTI, 관심사 등) | 데이터베이스에서 완전 삭제 | 매칭 후 24시간 경과 시 |
| 매칭 이력 | 데이터베이스에서 완전 삭제 | 매칭 후 24시간 경과 시 |
| 리뷰 별점·코멘트 | 개인 식별자 제거 후 익명 통계로 전환 | 전화번호 파기 시 자동 익명화 |
| 개인정보 파기 감사 로그 | 파기 일시·대상 수·처리 결과 기록 | 개인정보보호법에 따라 최소 2년 보관 |
제4조 (개인정보의 제3자 제공)
회사는 이용자의 개인정보를 본 처리방침에서 명시한 목적 범위 내에서만 처리하며, 정보주체의 사전 동의 없이는 본래의 범위를 초과하여 처리하거나 제3자에게 제공하지 않습니다.
다만, 매칭 성사 시 상대방에게 다음 정보가 표시됩니다. 이는 서비스 본질상 필수적인 정보 제공이며, 이용자의 동의 하에 진행됩니다.
- 닉네임, 나이, MBTI, 관심사 (마스킹 없이 전체 표시)
- 전화번호 (마스킹 처리: 010-****-5678 형식. 1:1 문자 발송 시 시스템 딥링크로 연결)
- 크루시 모드의 경우 그룹명·그룹 평균 나이·공통 관심사가 상대 그룹에 표시됨
제5조 (개인정보 처리의 위탁)
회사는 원활한 서비스 제공을 위해 아래와 같이 개인정보 처리 업무를 외부 전문 업체에 위탁하고 있습니다. 위탁 계약 시 「개인정보 보호법」 제26조에 따라 개인정보의 안전한 관리를 위한 사항을 계약서에 명시하고 있습니다.
| 수탁자 | 위탁 업무 | 보유 및 이용 기간 |
|---|---|---|
| Solapi (구 CoolSMS) | OTP 인증번호 발송, 매칭 결과 SMS 알림 발송 | 발송 즉시 또는 위탁 종료 시까지 |
| Supabase Inc. | 데이터베이스 저장 및 운영, 파일 스토리지 | 회원 탈퇴 또는 위탁 계약 종료 시까지 |
| Railway Corp. | 백엔드 서버 호스팅 및 운영 | 위탁 계약 종료 시까지 |
| Vercel Inc. | 웹앱 및 어드민 패널 호스팅 | 위탁 계약 종료 시까지 |
| Resend Inc. | 문의 접수 이메일 발송 | 발송 후 30일 또는 위탁 계약 종료 시 |
| Google LLC | 웹 트래픽 분석 (Google Analytics 4) — 소개 페이지(/landing, /hosts)에 한해 적용 | GA4 기본 보존 기간(14개월) 또는 위탁 계약 종료 시 |
국외 이전 안내: 일부 수탁자는 해외에 서버를 두고 있으며, 데이터는 도쿄 리전(Supabase) 등 해외 리전에 저장될 수 있습니다. 또한 Google Analytics 사용에 따라 일부 비식별 통계 정보(IP, 쿠키 식별자, 페이지 경로, 디바이스 정보)가 미국 소재 Google LLC에 이전될 수 있습니다. 이전 정보는 매칭 서비스 본 플로우(
/user/*)에서 수집되지 않으며, 소개 페이지에 한해 발생합니다. 위탁 업체 변경 시 본 처리방침을 통해 공지합니다.
제6조 (정보주체의 권리·의무 및 행사 방법)
정보주체는 회사에 대해 언제든지 다음과 같은 개인정보 보호 관련 권리를 행사할 수 있습니다.
| 권리 | 행사 방법 |
|---|---|
| 개인정보 열람 요구 | 매칭 종료 후 24시간 이내 결과 카드 화면에서 직접 열람 가능 |
| 정정·삭제 요구 | 매칭 진행 중 프로필 화면에서 직접 수정 가능. 24시간 경과 후에는 자동 파기되어 별도 삭제 요청 불필요 |
| 처리정지 요구 | 이용자 문의 채널을 통해 요청. 처리정지 시 즉시 매칭 풀에서 제외 처리 |
| 동의 철회 | 프로필 등록 단계에서 진행 중단 시 즉시 철회 처리. 매칭 후에는 24시간 자동 파기로 갈음 |
권리 행사는 회사에 대해 「개인정보 보호법 시행령」 제41조 제1항에 따라 서면, 전자우편 등을 통해 요청하실 수 있으며, 회사는 이에 대해 지체 없이 조치하겠습니다. 다만 매칭 종료 후 24시간이 경과한 시점에는 모든 개인정보가 자동 파기되어 별도 요청 절차가 불필요합니다.
제7조 (개인정보의 안전성 확보 조치)
회사는 개인정보의 안전성 확보를 위해 다음과 같은 기술적·관리적·물리적 조치를 시행하고 있습니다.
7.1 기술적 조치
- 전화번호 등 민감 식별정보는 AES-256 암호화 알고리즘으로 저장
- 전화번호 해시값은 SHA-256 단방향 해시 처리
- 어드민 패널 접근 시 JWT HttpOnly Cookie 기반 인증 및 8시간 세션 만료
- API 전역 Rate Limit 적용으로 무차별 요청 차단 (15분당 100회)
- OTP 유효 시간 5분 설정으로 재사용 및 무차별 인증 시도 차단
7.2 관리적 조치
- 개인정보에 접근 가능한 어드민 계정은 ROSO 팀 내부 발급 및 활동 이력 보관
- 관리자(학생회) 계정은 대시보드 읽기 전용 권한만 부여, 개인정보 직접 접근 차단
- 주요 액션(세션 생성·종료·파기 재실행 등)에 대한 감사 로그 자동 기록
- 개인정보 파기 스케줄러 오류 시 어드민에게 이메일 및 SMS 즉시 통보
7.3 물리적 조치
- 어드민 패널은 별도 도메인(admin.roso.kr)에서 운영하며 IP 화이트리스트 적용 가능
- 백엔드 서버는 Railway, 데이터베이스는 Supabase 도쿄 리전의 보안 시설에서 운영
제8조 (만 14세 미만 아동의 개인정보)
ROSO는 대학교 재학생 및 성인 이용자를 대상으로 하는 서비스로, 만 14세 미만 아동의 개인정보를 수집하지 않습니다. 만약 이용자가 만 14세 미만임이 확인되는 경우 즉시 해당 정보를 파기하고 서비스 이용을 차단합니다.
제9조 (쿠키의 운영 및 거부)
회사는 이용자의 서비스 이용 편의 제공 및 부정 이용 방지를 위해 쿠키를 사용합니다.
9.1 자체 쿠키
- 사용 목적: JWT 세션 유지, 모드 선택 상태 저장, 매칭 결과 재진입 시 자동 복원
- 거부 방법: 웹브라우저 설정에서 쿠키 저장을 거부할 수 있으나, 거부 시 OTP 인증 및 매칭 서비스 이용이 제한될 수 있음
9.2 Google Analytics 4 (제3자 분석 쿠키)
회사는 소개 페이지의 방문 통계 분석을 위해 Google LLC가 제공하는 Google Analytics 4를 사용합니다.
- 적용 범위:
/landing(학생회 대상 소개),/hosts(업체 대상 소개) 두 페이지에 한정. 매칭 서비스 본 플로우(/user/*,/dashboard등)에서는 GA 스크립트가 적재되지 않으며, 매칭 관련 개인정보가 Google에 전송되지 않습니다. - 수집 항목: 쿠키 식별자, IP 주소, 페이지 경로, 체류 시간, 디바이스/브라우저 정보
- 수집 목적: 소개 페이지 트래픽 분석 및 콘텐츠 개선
- 보유 기간: 최대 14개월(GA4 기본 설정)
- 국외이전: Google LLC (미국)
- 거부 방법:
- 웹브라우저 설정에서 쿠키 저장 거부
- Google Analytics 차단 부가기능 설치 (https://tools.google.com/dlpage/gaoptout)
제10조 (개인정보 보호책임자)
회사는 개인정보 처리에 관한 업무를 총괄해서 책임지고, 개인정보 처리와 관련한 정보주체의 불만 처리 및 피해 구제 등을 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.
| 구분 | 내용 |
|---|---|
| 성명 | 박효주 |
| 직책 | 개인정보 보호책임자 |
| 연락처 | 010-2368-5240 |
| 이메일 | support@roso.kr |
정보주체는 회사의 서비스를 이용하시면서 발생한 모든 개인정보 보호 관련 문의, 불만 처리, 피해 구제 등에 관한 사항을 개인정보 보호책임자에게 문의하실 수 있습니다. 회사는 정보주체의 문의에 대해 지체 없이 답변 및 처리해드릴 것입니다.
제11조 (권익침해 구제 방법)
정보주체는 개인정보 침해로 인한 구제를 받기 위하여 개인정보분쟁조정위원회, 한국인터넷진흥원 개인정보침해신고센터 등에 분쟁 해결이나 상담 등을 신청할 수 있습니다. 그 밖의 개인정보 침해의 신고, 상담에 대하여는 아래의 기관에 문의하시기 바랍니다.
| 기관 | 연락처 | 홈페이지 |
|---|---|---|
| 개인정보분쟁조정위원회 | (국번없이) 1833-6972 | www.kopico.go.kr |
| 개인정보침해신고센터 | (국번없이) 118 | privacy.kisa.or.kr |
| 대검찰청 사이버수사과 | (국번없이) 1301 | www.spo.go.kr |
| 경찰청 사이버수사국 | (국번없이) 182 | ecrm.police.go.kr |
제12조 (개인정보 처리방침의 변경)
본 개인정보 처리방침은 시행일로부터 적용되며, 법령 및 방침에 따른 변경 내용의 추가, 삭제 및 정정이 있는 경우에는 변경사항의 시행 7일 전부터 공지사항을 통하여 고지할 것입니다. 다만 이용자의 권리에 중대한 영향을 미치는 변경의 경우에는 30일 전에 고지합니다.
- 공고일자: 2026년 5월
- 시행일자: 2026년 5월
- 버전: v1.0
부칙
본 처리방침은 2026년 5월부터 시행됩니다.