서버 개발자가 알아야 하는 회원 정책과 개인정보 처리방침

들어가며

개발자라면 매번 구현하게 되는 회원관리 로직. 아이디, 비밀번호, 이메일 입력받고 DB에 저장하면 끝이 아닙니다. 회원 정보는 개인정보이고 이를 다루는 순간 법적 책임이 생깁니다.

실제로 개인정보보호법을 위반하면 최대 5년 이하 징역 또는 5천만원 이하의 벌금이 부과될 수 있습니다.

"몰랐다"는 변명은 통하지 않기에 이번 아티클을 통해 여러 기업들은 어떻게 회원 정책을 운영하고 있는지 알아보려고 합니다.

---

1. 개인정보 처리방침과 회원 정책

개인정보 처리방침이란?

법적 의무사항입니다. 개인정보보호법 제30조에 따라 개인정보를 처리하는 모든 사업자는 개인정보 처리방침을 수립하고 공개해야 합니다. 미작성 시 1천만원 이하의 과태료가 부과됩니다.

• 필수 기재사항 11가지 (2025년 개정 기준)
  1. 개인정보의 처리 목적
  2. 개인정보의 처리 및 보유 기간
  3. 개인정보의 제3자 제공 (해당 시)
  4. 개인정보 처리 위탁 (해당 시)
  5. 정보주체의 권리·의무 및 행사방법
  6. 처리하는 개인정보 항목
  7. 개인정보의 파기 절차 및 방법
  8. 개인정보 보호책임자
  9. 개인정보 처리방침 변경에 관한 사항
  10. 개인정보의 안전성 확보조치
  11. 개인정보 자동 수집 장치(쿠키 등)의 설치·운영 및 거부

회원 정책이란?

회원이란, 개인정보를 플랫폼에 제공하고 회원가입을 완료한 개인으로써 플랫폼에서 제공하는 여러 서비스들을 회원이 플랫폼을 탈퇴하기 전까지 지속적으로 제공 받고, 플랫폼 이용에 대한 권한을 부여 받은 개인(또는 법인소속 개인)'을 뜻 합니다.

즉, **'개인정보를 플랫폼에 제공하고 플랫폼 이용에 대한 권한을 받는다'**로 정의할 수 있습니다.

• 회원 정책에 포함되는 내용
  • 회원 가입 자격 및 방법
  • 수집하는 회원 정보 (필수/선택 구분)
  • 본인 인증 방식
  • 비밀번호 생성 규칙
  • 회원 등급 및 상태 관리
  • 휴면 계정 처리 기준
  • 회원 탈퇴 절차

---

2. 정책 설정하기

Step 1: 수집할 개인정보 결정하기

원칙: 최소한의 정보만 수집

쿠팡의 이용약관을 보면 이렇게 명시되어 있습니다.

"회사는 회원의 개인정보 수집 시 서비스 제공을 위하여 필요한 범위에서 최소한의 개인정보를 수집합니다."

필요하지 않은 정보를 수집하면 그만큼 관리 책임도 커집니다.

실제 IT 기업들의 회원가입 필수 정보

기업 필수 수집 항목 선택 항목

쿠팡	이메일(아이디), 비밀번호, 이름	휴대폰번호, 주소 (구매 시)
카카오	이메일, 비밀번호, 닉네임	프로필 사진, 생년월일
네이버	아이디, 비밀번호, 이름, 생년월일, 성별, 휴대폰번호	프로필 정보
프로그래머스	이메일, 비밀번호, 이름	경력, 관심분야

필수 vs 선택 구분 기준

• 필수: 서비스 제공에 반드시 필요한 정보
• 선택: 서비스 품질 향상이나 부가 기능에 필요한 정보

⚠️ 잘못된 예: "나중에 쓸 수도 있으니" 모든 항목을 필수로 받기 ✅ 올바른 예: 회원가입 시 최소 정보만 받고 필요한 시점에 추가 수집

Ref

https://www.coupang.com/np/policies/terms

로켓배송으로 빠르게, 로켓와우 멤버십으로 할인과 무료 반품까지 | 쿠팡

https://www.kakao.com/policy/privacy

개인정보처리방침

https://policy.naver.com/policy/privacy.html

개인정보처리방침

https://programmers.co.kr/privacy

프로그래머스

Step 2: 약관 동의 처리

포괄적 동의는 금지됩니다. 쿠팡 약관에 명시되어 있는 내용을 인용하자면.

"회사는 개인정보의 수집·이용·제공에 관한 동의란을 미리 선택한 것으로 설정해두지 않습니다."

약관 동의 체크리스트

□ 서비스 이용약관 (필수)
□ 개인정보 수집 및 이용 동의 (필수)
□ 개인정보 제3자 제공 동의 (해당 시 필수)
□ 마케팅 정보 수신 동의 (선택)
□ 위치기반 서비스 이용약관 (해당 시 선택)

각 약관은 개별적으로 동의를 받아야 하며 선택 항목 미동의를 이유로 서비스 가입을 거부할 수 없습니다.

Step 3: 비밀번호 정책 수립

https://www.kisa.or.kr/2060305/form?postSeq=14&lang_type=KO

KISA 한국인터넷진흥원

KISA(한국인터넷진흥원) 권고 기준

• 최소 길이: 8자 이상 (10자 이상 권장)
• 조합: 영문, 숫자, 특수문자 중 2종류 이상
• 연속된 문자 금지: "1234", "abcd" 등
• 개인정보 포함 금지: 아이디, 생년월일 등

실제 IT 기업의 비밀번호 정책

기업 정책

네이버	8~16자, 영문/숫자/특수문자 조합
카카오	8자 이상, 영문/숫자/특수문자 중 2가지 이상
쿠팡	8자 이상, 영문 대소문자/숫자/특수문자 조합 권장
토스	6자 이상 (간편 비밀번호), 생체인증 병행

추가 보안 정책

• 비밀번호 암호화: BCrypt, Argon2 등 단방향 해시 사용
• 로그인 실패 제한: 5회 실패 시 계정 잠금 (10~30분)
• 비밀번호 변경 주기: 권고 사항 (강제는 X)

Step 4: 본인 인증 방식 선택

본인 인증이 필요한 경우

1. 전자상거래: 구매/결제 시 (전자상거래법)
2. 금융거래: 송금, 투자 등 (전자금융거래법)
3. 청소년 유해매체: 성인 인증 (청소년보호법)
4. 법적 분쟁 시 본인 확인

본인 인증 방식별 특징

방식 비용 신뢰도 활용 사례

휴대폰 인증	유료 (건당 100~300원)	높음	쿠팡, 네이버
이메일 인증	무료	중간	대부분의 서비스
신용카드 인증	유료	높음	금융 서비스
공동인증서	무료	높음	공공기관, 금융
생체인증	무료	높음	토스, 카카오페이

개발 시 고려사항

• 인증 시간 제한: 이메일/SMS 인증번호 유효시간 3~5분
• 재전송 제한: 1분당 1회 등 악용 방지
• PG사 연동: 휴대폰 인증은 NICE, KCB 등 본인인증기관 이용

---

3. 개인정보 보유 및 파기

개인정보 보유 기간

원칙: 수집 목적 달성 시 즉시 파기

하지만 법령에서 정한 경우 일정 기간 보관이 의무입니다.

법정 보관 의무 기간 (전자상거래법 기준)

항목 보관 기간 근거 법령

계약 또는 청약철회 등에 관한 기록	5년	전자상거래법
대금결제 및 재화 등의 공급에 관한 기록	5년	전자상거래법
소비자 불만 또는 분쟁처리에 관한 기록	3년	전자상거래법
표시·광고에 관한 기록	6개월	전자상거래법
웹사이트 방문 기록 (로그)	3개월	통신비밀보호법
세금계산서 등 세무 관련 서류	5년	국세기본법

실제 기업들의 개인정보 보유 기간

쿠팡

• 회원 정보: 회원 탈퇴 시까지
• 거래 정보: 5년 (전자상거래법)
• 부정 이용 기록: 1년 (부정 거래 방지)

카카오

• 회원 정보: 회원 탈퇴 후 즉시 파기
• 법령 보관: 관련 법령에 따라 보관
• 휴면 계정: 1년 미접속 시 별도 분리 보관

네이버

• 회원 정보: 회원 탈퇴 시까지
• 휴면 계정: 1년 미접속 시 휴면 전환 (별도 보관)
• 법령 보관: 5년 (거래 기록)

회원 탈퇴 처리

즉시 삭제 vs 유예기간

방식 장점 단점 채택 기업

즉시 삭제	명확한 처리, 법적 리스크 최소화	실수로 탈퇴 시 복구 불가	카카오
유예기간 (7~30일)	사용자 편의성, 재가입 유도	관리 복잡도 증가	네이버, 쿠팡

탈퇴 시 처리 사항

1. 개인정보 비식별화: 이름, 이메일, 전화번호 등 마스킹
2. 서비스 이용 정지: 즉시 로그인 불가
3. 법정 보관 데이터 분리: 거래 기록 등은 별도 DB 보관
4. 제3자 제공 데이터 삭제 요청: PG사, 배송사 등에 삭제 통보

실제 탈퇴 절차 예시 (쿠팡)

1. 사용자가 '회원 탈퇴' 요청
2. 본인 인증 (비밀번호 재확인)
3. 유의사항 안내
   - 진행 중인 주문 확인
   - 적립금/쿠폰 소멸 안내
   - 탈퇴 후 재가입 제한 (30일)
4. 탈퇴 처리
   - 개인정보 즉시 파기
   - 거래 기록 5년 보관 (법령)
5. 탈퇴 완료 안내 이메일 발송

---

개발 단계 보안 고려사항

□ 비밀번호 암호화 적용 (BCrypt 등)
□ HTTPS 적용 (개인정보 전송 구간 암호화)
□ SQL Injection 방지
□ XSS(Cross-Site Scripting) 방어
□ CSRF 토큰 적용
□ 로그인 실패 횟수 제한
□ 세션 타임아웃 설정 (30분 권장)
□ API Rate Limiting (무차별 대입 공격 방지)

운영 단계 보안 고려사항

□ 개인정보 접근 로그 기록
  └ 누가, 언제, 어떤 정보를 조회/수정했는지

□ 정기적인 보안 점검
  └ 개인정보 영향평가 (5만명 이상 수집 시 의무)
  └ 취약점 점검 (분기 1회 권장)

□ 개인정보 처리방침 업데이트
  └ 수집 항목 변경 시
  └ 제3자 제공/위탁 변경 시
  └ 변경 7일 전 공지 필수

□ 휴면 계정 관리
  └ 1년 미접속 시 휴면 전환
  └ 휴면 전환 30일 전 이메일 안내

---

4. 자주 하는 실수

1. 일단 만들고 나중에 약관 작성

문제점: 서비스 오픈 후 개인정보 처리방침 없이 운영 시 즉시 과태료 대상

해결책:

• 개발과 동시에 약관 작성 진행
• 개인정보보호 포털의 '처리방침 만들기' 활용
• 법률 검토 필수 (스타트업은 법률 자문 서비스 이용)

2: 일단 정보 많이 받아놓기

문제점: 불필요한 정보 수집은 개인정보보호법 위반

해결책:

• "서비스 제공에 필수적인가?" 자문
• 선택 항목은 명확히 구분하고 미동의 시에도 서비스 이용 가능하도록

3: 회원 탈퇴하면 DB에서 바로 DELETE

문제점: 법정 보관 의무 데이터까지 삭제 시 법 위반

해결책:

• Soft Delete 방식 사용 (삭제 플래그 처리)
• 법정 보관 데이터는 별도 테이블로 분리
• 스케줄러로 보관 기간 만료 시 자동 삭제

4: 단순한 비밀번호 암호화

문제점: MD5, SHA-1 등 단순 해시는 레인보우 테이블 공격에 취약

해결책:

• BCrypt, Argon2, PBKDF2 등 검증된 알고리즘 사용
• Salt 자동 생성 라이브러리 활용
• Spring Security의 PasswordEncoder 사용 권장

5: "로그는 남기지 말자. 용량만 차지해"

문제점: 개인정보 유출 사고 발생 시 원인 파악 불가, 법적 대응 어려움

해결책:

• 개인정보 접근 로그 최소 6개월 보관
• 로그에는 개인정보 원본 저장 금지 (사용자 ID만 기록)
• ELK Stack 등 로그 분석 시스템 활용

---

5. 참고 자료

공식 가이드

• 개인정보보호위원회: https://www.pipc.go.kr
  • 개인정보 처리방침 작성 가이드
  • 개인정보 처리방침 간단히 만들기
• 개인정보보호 포털: https://www.privacy.go.kr
  • 개인정보 처리방침 자동 생성 도구
  • 분야별 가이드라인

법령 정보

• 개인정보 보호법
• 전자상거래 등에서의 소비자보호에 관한 법률
• 정보통신망 이용촉진 및 정보보호 등에 관한 법률

https://maily.so/kkumaeunsonyeon/posts/10z301nezlw

[백엔드 정책] 회원 기본정책

https://maily.so/kkumaeunsonyeon/posts/1gz27724r3q

[백엔드 정책] 회원 기본정책

https://www.privacy.go.kr/front/contents/cntntsView.do?contsNo=283

https://hyeyun133.tistory.com/9

02. 회원 정책 정의