루미 개인정보처리방침

시행일: 2026년 5월 11일 · 최종 업데이트: 2026년 6월 11일

상호: 루미(lumi)
대표: 김현
사업자등록번호: 404-09-66416
통신판매업: 제2024-서울용산-1166호
주소: 서울특별시 용산구 회나무로 32-7 (이태원동) 04345
문의: lumi@lumi.it.kr · 010-6424-6284

루미(이하 "회사")는 「개인정보 보호법」 제30조에 따라 정보주체의 개인정보를 보호하고 권익을 보장하기 위해 다음과 같이 개인정보 처리방침을 수립·공개합니다. 본 방침은 회원이 회사가 운영하는 서비스 "루미"(lumi.it.kr, 이하 "서비스")를 이용함에 있어 적용됩니다.

1. 개인정보 처리 목적

회사는 다음의 목적으로 개인정보를 처리합니다. 처리한 개인정보는 다음의 목적 외 용도로 사용되지 않으며, 목적이 변경되는 경우에는 「개인정보 보호법」 제18조에 따라 별도의 동의를 받습니다.

구분	처리 목적
회원 식별·인증	카카오 OAuth를 통한 가입·로그인, 본인 확인
서비스 제공	인스타그램·쓰레드 예약 발행(틱톡 연동 기능 제공 시 틱톡 포함), 캡션·해시태그 생성, 트렌드 큐레이션, 인사이트 리포트, 벤치마크 분석(회원이 지정한 공개 계정의 공개 게시물 통계) 제공
고객 지원	문의 응대, 공지·알림 발송 (이메일)
서비스 개선	오류 감지·디버깅, AI 모델 개선을 위한 사용 데이터 분석 (식별자 분리 후)
법령 준수	관련 법령에 따른 의무 이행, 분쟁 처리

2. 처리하는 개인정보 항목

회사는 다음의 개인정보를 처리합니다.

2.1 가입·로그인 (카카오 OAuth 동의 항목)

필수: 카카오 계정 ID, 이메일, 이름, 연령대, 휴대폰 번호

2.2 매장 운영 정보

필수: 매장 이름, 업종
선택: 매장 소개, 캡션 말투 지시, 캡션 샘플

2.3 인스타그램·쓰레드 연동 정보 (Meta Graph API)

Instagram Business Account ID, IG 사용자명, Facebook 페이지 ID
Threads 사용자 ID (쓰레드 연동 시)
Access Token, Page Access Token, Threads Access Token (Supabase Vault에서 AES-256 암호화 저장)
토큰 만료 일시

2.4 틱톡 연동 정보 (TikTok API — 틱톡 연동 기능 제공 시)

TikTok 계정 식별자(Open ID·Union ID), 사용자명, 프로필 이미지 URL
Access Token, Refresh Token (Supabase Vault에서 AES-256 암호화 저장)
토큰 만료 일시, 동의 범위(scope)

2.5 게시 콘텐츠

회원이 업로드한 사진·영상
회원이 작성한 한 줄 메모
AI가 생성한 캡션·해시태그·이미지 분석 결과
예약 시간, 게시 결과(IG post ID, 게시 시각)

2.6 자동 수집 정보

접속 IP, 쿠키, 브라우저·OS 정보, 접속 시각, 서비스 이용 기록
오류 로그 (Netlify Functions, Supabase 로그)

2.7 벤치마크 분석 데이터

회원이 등록한 벤치마크 대상 인스타그램 계정의 식별자(@아이디)
해당 계정이 공개한 게시물 정보(캡션·해시태그·좋아요 수·댓글 수·게시 시각·게시물 주소)와 공개 프로필 정보(팔로워 수)

벤치마크 데이터는 누구에게나 공개된 정보만을 수집하며, 비공개 계정·비공개 정보(도달·저장 수 등)는 수집하지 않습니다. 분석 결과는 등록한 회원에게만 제공됩니다.

3. 처리 및 보유 기간

회사는 법령에 따른 보유·이용 기간 또는 회원으로부터 동의받은 기간 동안 개인정보를 보유·이용합니다.

구분	보유 기간	근거
회원 정보 (sellers)	회원 탈퇴 시까지 — 탈퇴 후 7일 유예 후 삭제	회원 동의
게시 이력 (reservations)	회원 탈퇴 시까지 — 메타데이터는 영구 보존, 사진은 게시 30일 후 자동 삭제	회원 동의 / 시스템 비용 최적화
AI 학습 평가 (tone_feedback)	회원당 좋아요/싫어요 각 20건 롤링 — 신규 평가 시 가장 오래된 1건 자동 삭제	회원 동의
인스타그램 액세스 토큰	회원이 연동을 해제하거나 토큰이 만료될 때까지	회원 동의
오류 로그 (client_errors)	30일 — 자동 삭제	회원 동의 / 데이터 최소화
벤치마크 수집 데이터	회원이 벤치마크 계정을 삭제하거나 탈퇴할 때까지 — 삭제 시 게시물 스냅샷·리포트 즉시 함께 삭제	회원 동의 / 데이터 최소화
접속 로그	3개월	「통신비밀보호법」
전자상거래 관련 기록 (유료 도입 시)	5년	「전자상거래법」

4. 개인정보의 제3자 제공

회사는 회원의 개인정보를 원칙적으로 외부에 제공하지 않습니다. 다만, 서비스 제공을 위해 회원의 동의 하에 다음과 같이 제3자에게 정보가 전달됩니다.

제공받는 자	제공 항목	이용 목적	보유 기간
Meta Platforms, Inc. (Facebook/Instagram/Threads)	액세스 토큰, 사진·영상, 캡션·해시태그	인스타그램·쓰레드 게시	Meta 정책에 따름
TikTok Pte. Ltd. (틱톡 연동 기능 제공·이용 시)	액세스 토큰, 사진·영상, 캡션	틱톡 게시	TikTok 정책에 따름
Kakao Corp.	카카오 계정 식별자	로그인 인증	Kakao 정책에 따름
Resend (이메일 발송)	이메일 주소	공지·알림 발송	발송 후 즉시 폐기

5. 개인정보의 처리 위탁

회사는 원활한 서비스 제공을 위해 다음과 같이 개인정보 처리 업무를 위탁하고 있습니다.

수탁자	위탁 업무	위탁 사유
Supabase, Inc.	데이터베이스·스토리지·인증·암호화 토큰 관리	회원 정보·게시 이력·이미지 저장 및 보안
Netlify, Inc.	웹 호스팅·서버리스 함수 실행	서비스 운영
OpenAI, L.L.C.	회원이 업로드한 사진의 이미지 분석·캡션 생성을 위한 AI 모델 호출	AI 콘텐츠 생성
Google LLC	벤치마크 대상 공개 게시물 분석·트렌드 키워드 해설을 위한 AI 모델 호출(회원의 비공개 개인정보 미전송)	공개 데이터 분석·트렌드 제공
Apify Technologies s.r.o.	벤치마크 대상 공개 인스타그램 게시물 정보 수집	벤치마크 분석 제공

회사는 위탁계약 체결 시 「개인정보 보호법」 제26조에 따라 위탁 업무 수행 목적 외 처리 금지, 기술적·관리적 보호조치, 재위탁 제한, 손해배상 등 책임에 관한 사항을 계약서에 명시합니다.

6. 개인정보의 국외 이전

회사는 다음과 같이 일부 개인정보를 국외로 이전합니다. 회원은 본 처리방침에 동의함으로써 다음 국외 이전에 동의하는 것으로 봅니다.

이전받는 자	이전 국가	이전 항목	이전 시점	이전 방법
Supabase, Inc.	미국 (한국 서울 리전 데이터센터 우선)	회원 정보, 게시 이력, 사진·영상	회원이 서비스에 정보를 입력·업로드 시	HTTPS·TLS 암호화 통신
Netlify, Inc.	미국	접속 로그, 함수 실행 기록	서비스 이용 시 실시간	HTTPS·TLS 암호화 통신
OpenAI, L.L.C.	미국	업로드 사진(분석 시), 캡션 입력 정보	캡션 생성 요청 시	HTTPS·TLS 암호화 통신
Meta Platforms, Inc.	미국·아일랜드	인스타·쓰레드 게시 콘텐츠, 액세스 토큰	인스타·쓰레드 게시·연동 시	HTTPS·TLS 암호화 통신
TikTok Pte. Ltd. (틱톡 연동 기능 제공·이용 시)	싱가포르·미국	틱톡 게시 콘텐츠, 액세스 토큰	틱톡 게시·연동 시	HTTPS·TLS 암호화 통신
Resend, Inc.	미국	이메일 주소	공지·알림 이메일 발송 시	HTTPS·TLS 암호화 통신
Apify Technologies s.r.o.	체코·미국	벤치마크 대상 계정 식별자(@아이디)	회원이 벤치마크 분석을 요청할 때	HTTPS·TLS 암호화 통신
Google LLC	미국	벤치마크 대상 공개 게시물(공개 데이터), 트렌드 키워드(일반어) — 회원 비공개 개인정보 미포함	벤치마크 분석·트렌드 생성 시	HTTPS·TLS 암호화 통신

회원은 국외 이전을 거부할 권리가 있으나, 거부 시 서비스의 핵심 기능(인스타 예약 발행·AI 캡션 생성)을 이용할 수 없습니다.

7. AI 모델 학습·개선 활용 고지

회사는 회원이 업로드한 사진·캡션 등 개인정보의 AI 처리(이미지 분석·캡션 생성)에 유료 OpenAI API만 사용하며, OpenAI 정책에 따라 전송된 데이터는 모델 학습에 사용되지 않습니다(Default Off). 트렌드 키워드 해설 및 회원이 지정한 공개 계정의 공개 게시물 분석에는 Google Gemini 모델을 사용하며, 이 과정에는 회원의 비공개 개인정보(업로드 사진·캡션)가 전송되지 않고 공개적으로 게시된 정보 또는 일반 키워드만 처리됩니다.

회사 자체 AI 학습은 다음과 같이 제한적으로 활용됩니다.

회원이 직접 평가한 캡션 데이터(좋아요/싫어요)와 코멘트는 해당 회원에 한정해 다음 캡션 생성 시 프롬프트에 입력됩니다.
회사는 회원의 개별 게시 내용을 다른 회원의 캡션 학습에 사용하지 않습니다.
업종별 트렌드 키워드 큐레이션은 네이버 데이터랩·검색광고 등 공개 트렌드 데이터와 공개된 인스타그램 인기 해시태그 정보를 기반으로 수집하며, 개별 회원 정보를 사용하지 않습니다.

8. 정보주체의 권리·의무 및 행사 방법

회원은 회사에 대해 언제든지 다음의 권리를 행사할 수 있습니다.

개인정보 열람 요구
오류 등이 있을 경우 정정·삭제 요구
처리정지 요구
회원 탈퇴 (개인정보 삭제) 요구
처리되는 개인정보를 다른 처리자에게 이전 요구 (데이터 이동권 — 「개인정보 보호법」 제35조의2)

권리 행사는 다음 경로로 가능합니다.

설정 → 회원 탈퇴 버튼 클릭 → 확인 모달에서 "회원 탈퇴" 입력 후 신청. 신청 즉시 7일 유예 기간이 시작됩니다.
탈퇴 신청 취소: 유예 기간 중에는 같은 회원 탈퇴 버튼(라벨이 "탈퇴 신청 취소"로 자동 변경됨)을 다시 눌러 즉시 취소할 수 있습니다. 별도 절차나 사유 제출 없이 한 번의 클릭으로 복구됩니다.
설정 메뉴에서 매장 정보 직접 수정·인스타·쓰레드 연동 해제도 가능합니다.
설정 → "내 데이터 다운로드"에서 회원 정보 JSON 형식으로 내보내기
이메일 lumi@lumi.it.kr 로 요청

9. 개인정보의 파기 절차 및 방법

파기 절차: 회원이 설정 → 회원 탈퇴 버튼으로 탈퇴를 신청하면 신청 시각부터 정확히 7일의 유예 기간이 시작되며, 유예 기간 만료 시 자동으로 영구 삭제됩니다. 유예 기간 중에는 회원이 같은 회원 탈퇴 버튼을 다시 눌러 언제든 취소할 수 있고, 취소 시 계정이 즉시 정상 활성화됩니다. 법령에 따라 보존이 필요한 정보는 별도 분리 보관 후 보존 기간 종료 시 즉시 파기됩니다.
파기 방법:
- 전자적 파일 형태: DB 행 영구 삭제(Soft delete가 아닌 Hard delete) 및 Storage 파일 삭제. 백업본은 차회 백업 주기에 자연 폐기
- 외부 플랫폼 토큰: 회원 탈퇴 또는 인스타·쓰레드 연동 해제 시 Supabase Vault 의 액세스 토큰 행 즉시 폐기 (재연동 시 새 토큰 발급)
- 출력물(서면): 분쇄 또는 소각

9-1. 데이터 삭제 요청 안내 (Data Deletion)

회원이 본인의 개인정보 즉시 삭제를 원할 경우 다음과 같이 요청할 수 있습니다. 이는 Meta Developer Data Use Policy 의 "데이터를 부당한 지체 없이(without undue delay) 삭제" 요건을 충족하기 위한 회사의 자체 처리 약속입니다.

방법 ① — 루미 앱 안에서 직접: 설정 → 계정 → 회원 탈퇴 버튼 클릭. 신청 후 7일 유예 기간 동안 언제든 복구 가능, 7일 후 자동 영구 삭제.
방법 ② — 이메일로 즉시 삭제 요청: lumi@lumi.it.kr 로 가입 이메일과 함께 "데이터 삭제 요청" 발송 → 회사 본인 확인 후 지체 없이, 늦어도 7일 이내에 모든 개인정보를 완전히 삭제하며 처리 결과를 이메일로 안내합니다.
방법 ③ — Facebook 설정에서: Facebook 앱 권한에서 lumi 를 제거하면 Meta 가 lumi 에 데이터 삭제 콜백을 전송하며, 회사는 해당 요청을 지체 없이, 늦어도 7일 이내에 처리합니다. 처리 진행 상황은 데이터 삭제 처리 상황 페이지에서 처리 코드로 조회 가능합니다.

삭제 후 백업본은 차회 백업 주기(최대 30일)에 자연 폐기됩니다. 법령상 보존 의무가 있는 정보(예: 통신비밀보호법상 로그)는 해당 보존 기간 종료 시 즉시 파기됩니다.

Data Deletion (English) — Users may request deletion of their personal data at any time. LUMI processes all deletion requests promptly and at the latest within 7 days, satisfying Meta Platform Terms 3(d)(i) and the Korean Personal Information Protection Act. Two options: (1) Account → Delete in-app (7-day grace period for recovery, automatic permanent deletion after); (2) Email lumi@lumi.it.kr for immediate deletion. Meta-initiated deletion callbacks are processed within 7 days. Status lookup: data-deletion-status.

10. 개인정보의 안전성 확보 조치

회사는 「개인정보 보호법」 제29조에 따라 다음과 같은 안전성 확보 조치를 취하고 있습니다.

관리적 조치: 개인정보 보호 책임자 지정, 접근 권한 최소화, 정기 점검
기술적 조치:
- 인스타그램 액세스 토큰: Supabase Vault에 AES-256 암호화 저장, 평문 노출 차단
- 전송 구간: HTTPS·TLS 1.3 강제
- 비밀번호: 카카오 OAuth 사용 (회사가 직접 비밀번호를 보관하지 않음)
- 접근 통제: 환경변수·서비스 키 분리, Supabase Service Role 키는 서버 측에서만 사용
- RLS(Row Level Security) 정책: 회원 본인 데이터만 접근 가능
물리적 조치: 클라우드 인프라(Supabase·Netlify) 제공자의 데이터센터 보안 정책에 따라 처리

11. 쿠키·로컬 스토리지 등 자동 수집 장치

회사는 서비스 제공·운영을 위해 다음과 같이 자동 수집 장치를 사용합니다.

로컬 스토리지(localStorage): 로그인 토큰(lumi-auth)과 자동 로그인 갱신 토큰(lumi_refresh) 보관 — 브라우저 종료해도 유지되며, 회원이 로그아웃 시 즉시 삭제됩니다.
세션 쿠키: OAuth 인증 과정에서 일시적으로 사용
거부 방법: 브라우저 설정에서 쿠키·스토리지를 차단할 수 있으나, 차단 시 로그인 등 핵심 기능을 이용할 수 없습니다.

12. 개인정보 보호책임자

회사는 개인정보 처리에 관한 업무를 총괄해서 책임지고, 개인정보 처리와 관련한 정보주체의 불만 처리 및 피해 구제 등을 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.

이름	김현 (개인정보 보호책임자)
이메일	lumi@lumi.it.kr
전화	010-6424-6284
응대 시간	평일 10:00 - 18:00 (주말·공휴일 제외)

13. 권익침해 구제 방법

개인정보 침해로 인한 신고나 상담이 필요하신 경우 아래 기관에 문의하실 수 있습니다.

개인정보침해신고센터: privacy.kisa.or.kr / 국번 없이 118
개인정보분쟁조정위원회: kopico.go.kr / 1833-6972
대검찰청 사이버수사과: spo.go.kr / 02-3480-3573
경찰청 사이버수사국: ecrm.cyber.go.kr / 국번 없이 182

14. 처리방침의 변경

본 개인정보처리방침은 시행일로부터 적용되며, 법령·정책 또는 보안기술의 변경에 따라 내용 추가·삭제·수정이 있을 경우 적용 7일 전 서비스 화면을 통해 사전 공지합니다. 다만 회원의 권리에 중대한 변경이 발생하는 경우 30일 전에 공지하고 등록된 이메일·알림 등으로 개별 통지합니다.

이용약관 보기 →