S*Lab← 홈으로

개인정보 처리방침

시행일 2026년 5월 30일최종 개정일 2026년 6월 4일버전 1.1

제1조 (총칙)

S*Lab(이하 "회사")는 「개인정보 보호법」 제30조에 따라 정보주체의 개인정보를 보호하고 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리방침을 수립·공개합니다.

본 방침은 회사가 운영하는 웹사이트 s-lab.ai및 모바일 PWA(이하 통칭 "서비스")에 적용되며, 만 14세 이상의 학원 운영자(교사·조교), 학생, 학부모, 슈퍼관리자 모두에게 적용됩니다.

회사는 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 "정보통신망법"), 「위치정보의 보호 및 이용 등에 관한 법률」, 「전자상거래 등에서의 소비자 보호에 관한 법률」 등 관련 법령을 준수하기 위하여 노력합니다.

제2조 (수집하는 개인정보 항목)

회사는 서비스 제공을 위해 다음과 같은 개인정보를 수집·처리합니다.

1. 회원 가입 시 필수 수집 항목

구분수집 항목
공통(모든 역할)이메일 주소, 비밀번호(단방향 암호화 저장), 이름, 휴대전화번호, 역할(교사/학생/학부모/슈퍼관리자)
학생위 공통 항목 + 학교명, 학교 코드, 교육청 코드(NEIS API 연동), 담당 선생님 코드
학부모위 공통 항목 + 자녀 학생 코드(자녀 계정 연결용)
소셜 로그인(카카오·구글)소셜 제공자 식별값, 이메일, 닉네임, 프로필 이미지 URL(해당 소셜 계정에서 회사에 전달하는 범위 내)

2. 회원 가입 시 선택 수집 항목

  • 프로필 사진(아바타 이미지)
  • 패스키(WebAuthn) 등록 시 공개키, 인증기 식별값, 디바이스 유형, 전송 방식 정보(생체 원본 데이터는 사용자 기기에만 저장되며 회사 서버에 저장되지 않습니다)
  • 추가 소셜 계정 연동 정보

3. 서비스 이용 과정에서 생성·수집되는 정보

  • 학사 활동 정보: 출결 기록(상태·메모·QR 세션 ID), 숙제 제출(상태·메모·첨부파일), 시험 성적·오답 정보, OMR 답안지 이미지 및 인식 결과, 시험 강평·피드백, 영상 시청 진행률, 학생 캘린더 일정
  • 소통 정보: 다이렉트 메시지 본문 및 읽음 여부, 공지사항 열람 기록, 질문 글(제목·본문·첨부 사진), 클리닉/상담 예약 내역
  • 결제·금전 정보: AI 크레딧 거래 내역(회사는 신용카드 번호, 계좌번호 등 결제 수단 자체를 직접 저장하지 않습니다)
  • 유튜브 연동 정보(교사가 직접 연동한 경우에 한함): 채널 식별값, OAuth Access/Refresh Token, 등록한 영상 메타데이터

4. 서비스 이용 과정에서 자동 수집되는 정보

  • IP 주소, 브라우저 종류·언어, 운영체제 정보, 접속 일시, 서비스 이용 기록
  • 로그인 시도 횟수, 계정 잠금 정보(보안 목적)
  • 세션 토큰 해시값, 쿠키, 로컬 저장소(localStorage) 및 세션 저장소(sessionStorage)에 저장되는 UI 상태값
  • Web Vitals 등 성능 측정 지표(개인 식별 정보 없이 임시 처리되며 영구 저장하지 않음)

5. 조교 활동 로그(조교 계정 한정)

교사가 위임한 "조교" 권한 사용자의 경우, 위임 행위의 추적성 확보를 위해 별도로 다음 정보를 수집합니다.

  • IP 주소, User-Agent, HTTP method 및 경로, 응답 코드
  • (조교 본인의 별도 동의가 있는 경우에 한함) IP 기반 대략적 위치 정보(국가·시·도, 위도·경도). 이는 위치정보보호법상 "위치정보"에 해당하며, 조교가 동의를 철회하면 즉시 수집을 중단합니다.
회사가 수집하지 않는 정보주민등록번호, 신용카드 번호, 계좌 비밀번호, 신앙·정치 성향·노조 가입 여부 등 「개인정보 보호법」 제23조의 민감정보, 그리고 「위치정보보호법」상 실시간 위치정보는 일체 수집하지 않습니다.

제3조 (개인정보 수집 방법)

회사는 다음과 같은 방법으로 개인정보를 수집합니다.

  1. 이용자가 회원가입, 프로필 수정, 학생 등록 등 서비스 이용 중 직접 입력하는 방법
  2. 소셜 로그인(카카오, 구글) 제공자로부터 이용자가 동의한 범위에 한해 전달받는 방법
  3. 이용자의 단말(브라우저)이 서비스에 접근할 때 생성·전송되는 정보를 자동으로 수집하는 방법(쿠키, 접속 로그)
  4. 교사가 학생·학부모 계정을 사전에 등록한 후 본인이 가입을 완료하는 방법(이 경우 교사가 입력한 정보의 정확성에 대한 1차 책임은 입력자에게 있습니다)

제4조 (개인정보의 처리 목적)

회사는 수집한 개인정보를 다음의 목적을 위해서만 처리하며, 목적이 변경되는 경우에는 사전에 이용자의 동의를 받습니다.

  1. 회원 관리: 회원 식별, 본인 확인, 부정 이용 방지, 가입 의사 확인, 만 14세 이상 여부 확인, 가입·탈퇴 의사 확인, 분쟁 조정을 위한 기록 보존, 고지사항 전달
  2. 서비스 제공: 출결·성적·숙제·메시지·공지·영상·AI 시험 오피스 등 본인이 가입한 학원 운영자와의 학사 관리 기능 제공
  3. 요금 정산: AI 크레딧 충전·차감 내역 관리
  4. 마케팅·이벤트: 신규 기능 안내, 이벤트 정보 안내(이용자가 별도 동의한 경우에 한함)
  5. 안전 운영: 부정 가입·도용·해킹·악성 코드 시도 탐지, 로그 분석, 이상 행위 차단, 분쟁 조정

제5조 (개인정보의 보유 및 이용기간)

회사는 원칙적으로 개인정보의 수집·이용 목적이 달성된 후에는 해당 정보를 지체 없이 파기합니다. 다만, 다음의 정보는 명시한 이유로 명시한 기간 동안 보존됩니다.

1. 회원 정보

  • 회원 가입 정보: 회원 탈퇴 시까지(탈퇴 후 30일 이내 파기). 단, 부정 이용 방지를 위해 이메일·전화번호 해시값과 탈퇴 사유는 탈퇴 후 1년 동안 별도 보관
  • 휴면 계정(1년 이상 미접속): 별도 분리 보관 후, 이용자에게 사전 통지 후 파기 또는 영구 보관(이용자 선택)

2. 관계 법령에 의한 보존

보존 항목근거 법령기간
계약 또는 청약 철회 등에 관한 기록전자상거래법5년
대금 결제 및 재화 등의 공급에 관한 기록전자상거래법5년
소비자 불만 또는 분쟁 처리에 관한 기록전자상거래법3년
표시·광고에 관한 기록전자상거래법6개월
웹사이트 방문 기록(접속 로그·IP)통신비밀보호법3개월
전자금융 거래 기록전자금융거래법5년

3. 서비스 내 학사 데이터

학생의 출결·성적·숙제·메시지 등 학사 데이터는 학원(교사 계정)의 자료로 간주되며, 회원이 속한 학원이 서비스를 이용하는 동안 보유됩니다. 학원이 서비스 이용을 중단하거나 학생이 학원을 이탈하면 해당 학원의 정책 또는 회사의 일반 정책에 따라 30일 이내 파기됩니다.

제6조 (개인정보의 제3자 제공)

회사는 이용자의 개인정보를 본 방침 제4조의 처리 목적 범위 내에서만 처리하며, 정보주체의 사전 동의 또는 「개인정보 보호법」 제17조·제18조에 해당하는 경우 외에는 제3자에게 제공하지 않습니다. 단, 다음의 경우는 예외로 합니다.

  1. 이용자가 사전에 동의한 경우
  2. 법령에 특별한 규정이 있거나, 수사 목적으로 법령이 정한 절차와 방법에 따라 수사기관의 요구가 있는 경우
  3. 학원-학생-학부모 간의 서비스 구조상 불가피한 경우(예: 학생의 출결이 해당 학생의 학부모 계정에 표시, 학원에 소속된 학생의 학사 정보가 해당 학원 교사에게 표시). 이는 서비스의 본질적 기능이며, 회원 가입 시 본 약관 및 방침에 동의함으로써 이 범위 내의 정보 공유에 동의한 것으로 봅니다.

(ChatGPT 등 외부 AI 어시스턴트 연동 — 교사 선택 기능) 교사 회원이 자발적으로 OpenAI 의 ChatGPT 등 외부 MCP(Model Context Protocol) 클라이언트를 회사의 MCP 서버 (/api/mcp)에 연결한 경우, 해당 교사가 그 도구에서 요청한 작업(학생·반·출결·성적 조회 및 변경 등)을 수행·표시하기 위해 작업에 필요한 범위의 정보가 교사 본인의 인증 토큰을 통해 OpenAI 로 전달됩니다. 본 연동은 교사가 직접 연결·해제할 수 있는 선택 기능으로, 연결하지 않으면 어떠한 정보도 OpenAI 로 전달되지 않습니다. 전달되는 정보의 범위는 해당 교사가 관리 권한을 가진 데이터로 한정되며, OpenAI 가 수신한 정보의 처리·보유는 OpenAI 의 개인정보처리방침을 따릅니다(국외 이전 사항은 제8조 참조).

제7조 (개인정보 처리 위탁)

회사는 서비스 제공 및 안정적 운영을 위해 다음과 같이 개인정보 처리 업무를 외부에 위탁하고 있으며, 「개인정보 보호법」 제26조에 따라 위탁계약 시 개인정보가 안전하게 관리되도록 필요한 사항을 규정하고 있습니다.

수탁자위탁 업무위탁 항목
Supabase Inc.
(미국 본사, 데이터 AWS 서울 리전 저장)		데이터베이스 호스팅, 인증, 파일 스토리지전체 회원 정보 및 서비스 이용 정보, 업로드된 파일
Google LLC
(미국, Gemini API)		AI 기반 문제 추출·분석·변형, 오답 분석, 학습 리포트 생성업로드한 시험지·문서의 내용, 학생 오답, AI 튜터 대화 내용
Google LLC
(미국, OAuth·YouTube Data API)		구글 소셜 로그인, 교사 유튜브 채널 영상 동기화이메일, 프로필명, 아바타 URL, YouTube 채널·영상 메타데이터
Kakao Corp.
(대한민국)		카카오 소셜 로그인카카오 식별값, 이메일, 닉네임, 프로필 이미지 URL
Resend, Inc.
(미국)		이메일 인증번호 및 비밀번호 재설정 안내 메일 발송이메일 주소, 이름, 인증번호, 재설정 링크
Vercel Inc.
(미국)		웹 애플리케이션 호스팅 및 CDN 운영전송 중 발생하는 모든 데이터(일시 처리), 접속 로그(IP·User-Agent)
S*Lab HWP 변환 서버
(자체 운영, AWS Lightsail)		HWP·HWPX 시험지 파일의 텍스트 추출 및 변형 문제 HWP 생성업로드한 HWP·HWPX 파일 바이너리, 학원·교사 식별 정보
ipapi.co
(조교 계정 위치 동의 시에만)		조교 IP의 대략적 위치(국가·시·도) 조회조교의 공인 IP 주소

회사는 위탁계약 체결 시 「개인정보 보호법」 제26조에 따라 위탁업무 수행 목적 외 개인정보 처리 금지, 기술적·관리적 보호조치, 재위탁 제한, 수탁자 감독, 손해배상 등 책임에 관한 사항을 계약서 등 문서에 명시하고, 수탁자가 개인정보를 안전하게 처리하도록 감독합니다.

제8조 (개인정보의 국외 이전)

회사는 「개인정보 보호법」 제28조의8에 따라 다음과 같이 개인정보를 국외로 이전합니다. 이용자는 회원가입 시 본 방침에 동의함으로써 아래 국외 이전에 동의하는 것으로 봅니다.

이전받는 자이전 국가이전 항목·시점·방법이용 목적·보유기간
Supabase Inc.미국(본사) / 대한민국(데이터 저장 리전: AWS ap-northeast-2)회원·서비스 데이터 전반 / 가입 및 서비스 이용 시점 / 네트워크 전송DB·Auth·Storage 제공 / 위탁 종료 시까지
Google LLC미국AI 입력 콘텐츠·OAuth 로그인 정보·YouTube 채널 토큰 / 각 기능 이용 시점 / API 호출AI 분석·소셜 로그인·영상 연동 / 위탁 종료 시까지(Google 자체 보존 정책 별도)
Resend, Inc.미국이메일 주소·발송 본문 / 이메일 발송 시점 / API 호출이메일 전송 / 위탁 종료 시까지(Resend 자체 발송 로그 30일)
Vercel Inc.미국전송 중 데이터·접속 로그 / 모든 요청 / Edge Network 처리호스팅·CDN / 위탁 종료 시까지(접속 로그는 30일 이내)
OpenAI, L.L.C.
(교사가 ChatGPT 앱 연동 시에만)		미국교사가 ChatGPT 에서 요청한 작업에 필요한 학생·반·출결·성적 등 관리 데이터 / 교사가 ChatGPT 커넥터를 연결해 도구를 사용하는 시점 / 교사 본인 인증 토큰 기반 HTTPS API 호출교사 요청 작업 수행 및 ChatGPT 내 결과 표시 / OpenAI 자체 보존 정책에 따름(교사가 연동 해제 시 전달 중단)

이용자는 회사가 제공하는 본 방침 또는 별도 동의 절차를 통해 국외 이전 거부 의사를 표시할 수 있으나, 거부 시 서비스의 본질적 기능 일부 또는 전부를 이용할 수 없게 될 수 있습니다.

제9조 (정보주체의 권리·의무 및 행사방법)

이용자(법정대리인 포함)는 언제든지 회사가 보유한 자신의 개인정보에 대해 다음의 권리를 행사할 수 있습니다.

  1. 개인정보 열람·정정·삭제 요구: 계정 설정 페이지(/account)에서 직접 수정하거나, 본 방침에 명시된 연락처로 요청 가능
  2. 처리 정지 요구: 회사가 처리하는 개인정보의 처리 중단을 요구할 권리
  3. 회원 탈퇴(동의 철회): 계정 설정 페이지에서 직접 탈퇴 가능
  4. 국외 이전 거부: 단, 거부 시 서비스의 본질적 기능 이용이 제한될 수 있음

권리 행사는 서면, 이메일(sntedu.dev@gmail.com) 등을 통하여 할 수 있으며, 회사는 정당한 사유가 없는 한 지체 없이(10일 이내) 조치합니다.

만 14세 이상 미성년자(주로 학생 회원)의 법정대리인은 자녀의 개인정보 열람·정정·삭제·처리 정지를 요구할 수 있습니다. 회사는 법정대리인 관계를 확인한 후 처리합니다.

다만, 「개인정보 보호법」 제35조 제4항, 제37조 제2항 등에 따라 다음의 경우에는 권리 행사가 제한될 수 있습니다.

  • 법령에서 정한 보존 기간 내에 있는 경우
  • 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
  • 학원-학생-학부모 간의 학사 데이터(예: 출결 기록, 성적)는 학원의 운영 자료에 해당하여 학생 본인 요청만으로는 삭제할 수 없으며, 해당 학원과의 협의가 필요합니다.

제10조 (만 14세 미만 아동의 개인정보)

회사는 만 14세 미만 아동의 개인정보를 수집하는 경우, 「개인정보 보호법」 제22조의2 및 「정보통신망법」 제31조에 따라 그 법정대리인의 동의를 받습니다.

  1. 회사는 회원 가입 절차에서 만 14세 미만으로 확인되는 사용자의 직접 가입을 제한합니다.
  2. 만 14세 미만 아동이 학원에 등록되어 서비스를 이용해야 하는 경우, 다음 절차를 따릅니다.
    1. 학원(교사 계정)이 해당 학생을 사전 등록
    2. 법정대리인(학부모)의 본인 확인 및 동의 절차를 거친 후 학생 계정 활성화
    3. 법정대리인은 언제든지 동의를 철회하고 자녀의 개인정보 열람·정정·삭제를 요구할 수 있음
  3. 회사는 만 14세 미만 아동의 개인정보에 대해 광고성 정보 전송, 제3자 제공 등을 위한 별도 동의를 법정대리인으로부터 받지 않는 한 처리하지 않습니다.
학원(교사)의 책임만 14세 미만 학생을 사전 등록하는 교사·학원은 해당 학생의 법정대리인으로부터 본 약관 및 개인정보 처리방침에 대한 동의를 사전에 받을 책임이 있으며, 동의를 받지 않은 상태에서 개인정보를 입력함으로 인해 발생하는 모든 분쟁의 책임을 부담합니다.

제11조 (개인정보의 파기 절차 및 방법)

회사는 개인정보 보유기간의 경과, 처리목적 달성 등 개인정보가 불필요하게 되었을 때에는 지체 없이 해당 개인정보를 파기합니다.

파기 절차

이용자가 입력한 정보는 목적 달성 후 별도의 DB(종이의 경우 별도 서류함)에 옮겨져 내부 방침 및 기타 관련 법령에 따라 일정 기간 저장된 후 혹은 즉시 파기됩니다. 이때 별도 DB로 옮겨진 개인정보는 법령에서 정한 경우가 아니고서는 보유되는 이외의 다른 목적으로 이용되지 않습니다.

파기 방법

  • 전자적 파일 형태: 복구 및 재생할 수 없도록 안전한 방법(예: 데이터베이스 레코드 삭제 후 백업 순환 종료, Supabase Storage 객체 삭제)으로 영구 삭제합니다.
  • 종이에 출력된 개인정보: 분쇄기로 분쇄하거나 소각합니다.

제12조 (개인정보의 안전성 확보 조치)

회사는 「개인정보 보호법」 제29조에 따라 다음과 같이 안전성 확보에 필요한 기술적·관리적·물리적 조치를 하고 있습니다.

  1. 관리적 조치: 내부관리계획 수립·시행, 정기적 임직원 교육, 접근권한자 최소화
  2. 기술적 조치
    • 비밀번호 단방향 암호화 저장(bcrypt, 12 rounds)
    • HTTPS(TLS) 전송 구간 암호화
    • 데이터베이스 접근 IP 제한 및 SQL Injection 방지(Prisma ORM 사용)
    • 로그인 실패 시 계정 잠금 및 IP 기반 Rate Limiting
    • 패스키(WebAuthn) 등 강화된 인증 수단 제공
    • 업로드 파일 형식·크기·MIME 검증
  3. 물리적 조치: 클라우드 인프라(Supabase·Vercel·AWS) 제공자의 데이터센터 보안 인증(ISO 27001, SOC 2 등)에 의존
  4. 접근 통제: 슈퍼관리자·교사·조교·학생·학부모 역할별 권한 분리(API 레벨 인가 검사)

제13조 (쿠키·로컬 저장소 등 자동 수집 장치)

회사는 이용자의 편의 제공 및 서비스 운영을 위해 다음의 자동 수집 장치를 사용합니다.

1. 쿠키(Cookie)

  • 세션 쿠키: 로그인 유지를 위한 인증 토큰(만료 시 자동 삭제)
  • OAuth state 쿠키: 소셜 로그인 CSRF 방어용 일회성 토큰(로그인 완료 후 즉시 삭제)
  • WebAuthn challenge 쿠키: 패스키 등록·인증 과정의 일회성 챌린지 값

2. 로컬 저장소(localStorage)

  • 사이드바 토글 상태, 선택된 자녀·반 ID, 탭 상태 등 UI 환경 설정(개인정보 미포함)
  • Supabase Auth 세션 토큰(브라우저 종료 후에도 로그인 유지)

3. 세션 저장소(sessionStorage)

  • QR 출석 스캔 결과의 일시적 보관(브라우저 탭 종료 시 삭제)
  • 일회성 토스트 메시지

4. Service Worker 캐시

PWA 오프라인 지원을 위해 서비스 워커가 정적 자원과 일부 API 응답을 사용자의 브라우저에 캐싱합니다./api/auth/* 등 인증 관련 응답은 캐시하지 않습니다. 캐시는 모두 사용자 단말에 저장되며 회사 서버로 추가 전송되지 않습니다.

5. 수집 거부 방법

이용자는 웹브라우저의 옵션 설정을 통해 쿠키 저장을 거부할 수 있으며, 사이트 데이터 삭제 기능으로 로컬 저장소·세션 저장소·서비스 워커 캐시를 비울 수 있습니다. 단, 쿠키를 거부할 경우 로그인이 필요한 서비스의 이용이 어려울 수 있습니다.

제14조 (개인정보 보호책임자)

회사는 개인정보 처리에 관한 업무를 총괄해서 책임지고, 개인정보 처리와 관련한 정보주체의 불만 처리 및 피해 구제 등을 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.

보호책임자
S*Lab 운영팀 (개인정보 보호책임자 별도 지정 시 추후 공지)
이메일
sntedu.dev@gmail.com
처리 부서
S*Lab 고객지원팀

이용자는 회사의 서비스를 이용하시며 발생한 모든 개인정보 보호 관련 문의, 불만 처리, 피해 구제 등에 관한 사항을 보호책임자에게 문의하실 수 있습니다. 회사는 정보주체의 문의에 대해 지체 없이 답변 및 처리해드릴 것입니다.

제15조 (권익 침해 구제 방법)

개인정보 침해로 인한 신고 또는 상담이 필요하신 경우에는 아래 기관에 문의하시기 바랍니다.

기관연락처홈페이지
개인정보 침해신고센터(국번 없이) 118privacy.kisa.or.kr
개인정보 분쟁조정위원회1833-6972kopico.go.kr
대검찰청 사이버수사과(국번 없이) 1301spo.go.kr
경찰청 사이버수사국(국번 없이) 182ecrm.police.go.kr

또한, 회사의 개인정보 처리로 인하여 권리·이익의 침해를 받은 자는 「행정심판법」이 정하는 바에 따라 행정심판을 청구할 수 있습니다.

제16조 (개인정보 처리방침의 변경)

이 개인정보 처리방침은 시행일로부터 적용되며, 법령 및 방침에 따른 변경 내용의 추가, 삭제 및 정정이 있는 경우에는 변경 사항의 시행 7일 전부터 서비스 내 공지사항 또는 이메일을 통하여 사전 공지합니다. 다만, 이용자의 권리에 중요한 변경이 있을 경우에는 최소 30일 전에 공지합니다.

공고일자
2026년 6월 4일
시행일자
2026년 5월 30일
버전
1.0 (최초 공고)
이용약관개인정보 처리방침문의: sntedu.dev@gmail.com
© 2026 S*Lab. All rights reserved.