케어링가족 돌봄 운영보드
실증 정책 v1.3실증 투명성 정책

운영 준비센터

케어링이 공개 운영으로 넘어가기 전에 누가 책임지고, 어떤 데이터를 어떻게 다루며, 사고에 어떻게 대응할지를 근거와 다음 행동으로 확인하는 곳입니다. 준비되지 않은 항목은 완료처럼 보이지 않게 그대로 차단 상태로 공개합니다.

차단공개 운영 금지

모든 하드 게이트가 통과되고 근거가 기록되기 전에는 실계정, 서버 저장, 가족 초대, 중앙 텔레메트리 또는 공개 파일럿을 시작하지 않습니다.

정책 성격
법정 개인정보 처리방침 확정 전
책임 항목
3개 책임 항목 · 운영자 확인·공개 근거 참조
Phase 0 관문
통과 0/6
01 · ACCOUNTABILITY

공개 Omnilude 책임정보를 근거와 함께 참조했습니다.

Omnilude-novel 한국어 이용약관과 개인정보 처리방침에 공개된 운영자·개인정보 보호책임자·공식 이메일을 참조하고, 운영자 확인(2026-07-12)으로 개인 운영과 비사업자 상태를 확인했습니다. 대리 없는 1인 운영의 fail-closed 규칙은 합성 검증했지만 실제 계정·기술 복원력과 재개 승인은 미검증입니다.

운영 주체

운영자 확인
공개 값
옴니루드 운영자(김종민 대표)개인 운영 · 운영자 확인(2026-07-12)
현재 근거
Omnilude 공개 운영자 정보를 참조하고 운영자가 개인 운영, 법인·개인사업자 아님, 법적 상호·사업자등록·통신판매업·사업장 주소 해당 없음을 2026-07-12 확인했습니다. 개인 거주지는 최소화 원칙상 수집·공개하지 않습니다.
다음 행동
합성 3건 PASS와 실제 운영 NO-GO를 분리하고 동일 운영자의 실제 계정 통제·기술 중단·대기 요청 확인·재개 승인 전에는 범위를 넓히지 않습니다.

개인정보 보호책임자(CPO)

공개 근거 참조
공개 값
김종민 대표담당 부서 · 해당 없음(1인 운영)
현재 근거
Omnilude-novel 한국어 개인정보 처리방침은 개인정보 보호책임자를 김종민 대표, 담당 부서를 해당 없음(1인 운영)으로 공개하며, 이 공개 값을 케어링 운영 책임정보로 참조했습니다.
다음 행동
대리 담당 없음과 합성 중단·재개 조건을 유지하고 실제 복원력은 실계정·기술 통제 근거가 생길 때 별도로 검증합니다.

고충·권리행사 연락처

공식 이메일 공개
공개 값
omnilude@gmail.com개인정보 관련 문의·불만·피해 구제·권리행사 공식 이메일
현재 근거
Omnilude-novel 한국어 개인정보 처리방침은 권리행사 이메일 omnilude@gmail.com과 본인 확인 후 법령상 기간·방식 처리를 공개하며, 케어링의 이메일 요청 경로로 참조했습니다.
다음 행동
자율 최초응답 SLA나 자동 접수를 만들지 않고 수동 runbook의 최소 기록·비례 확인·답신·이의제기 경로를 합성 시나리오로 시험합니다.
운영자 확인(2026-07-12)개인 운영
법인
해당 없음 · 법인 아님
개인사업자
해당 없음 · 개인사업자 아님
법적 상호
해당 없음
사업자등록
해당 없음
통신판매업
해당 없음
사업장 주소
해당 없음
개인 거주지
개인 거주지는 운영 책임 확인에 필요하지 않아 최소화 원칙상 수집·공개하지 않음
대리 담당
없음 · 1인 운영
자율 최초응답 SLA
없음 · 특정 일수의 자율 최초응답 SLA를 약속하지 않으며, Omnilude 공개 방침의 ‘본인 확인 후 적용 법령에서 정한 기간과 방식으로 처리’라는 출처 설명만 유지

대리 없는 부재·계정잠금·부재 중 사고의 fail-closed 규칙은 합성 3건으로 계산 검증했지만 실제 계정 통제·기술 중단·권리대응·재개 승인은 여전히 NO-GO입니다.

02 · DATA INVENTORY

현재 코드가 실제로 만드는 데이터 흐름입니다.

서비스 내부 로컬 저장만이 아니라 다운로드·클립보드·외부 앱·호스팅 계층까지 삭제 책임이 바뀌는 지점을 함께 기록했습니다. 기능이 바뀌면 이 표와 개인정보·로컬 데이터 정책을 먼저 갱신해야 합니다.

현재 구현을 기준으로 한 데이터 처리 인벤토리
데이터·위치항목·목적보관·삭제통제 경계
돌봄 작업공간평문이 브라우저의 localStorage (v3, 로드 시 v2·v1 마이그레이션)care-ring:mvp:v3항목작업공간·구성원·업무·명령·이벤트 ID와 생성·변경 시각, 별칭·생활권·필요 서비스·연령대, 로컬 구성원 이름표·관계·역할·현재 선택 역할, 업무·기한·메모·체크리스트·활동·명령 처리 이력, 저장·비교 후보와 공급자 상태, 데모 여부목적새로고침 뒤 돌봄 업무·담당·근거 복원보관작업공간 전체 삭제 또는 브라우저 사이트 데이터 삭제 전까지삭제데이터 화면의 작업공간 삭제. 저장소 제거가 실패하면 새로고침 뒤 다시 보일 수 있으므로 브라우저 사이트 데이터에서 직접 삭제앱 코드가 운영 서버·분석 도구로 자동 전송하지 않음. 로드한 v2·v1은 v3 저장 뒤 제거하며, 공유 기기·브라우저 프로필에서는 다른 사람이 볼 수 있음
저식별 실증 증적평문 · 작업공간과 분리이 브라우저의 별도 localStoragecare-ring:pilot-evidence:v1항목허용 기능의 일별 합계, 고정 선택형 도움 평가·방해 요인, NHIS·HIRA·정부24 공급자 상태와 허용된 진단 구간목적기능 사용성과 fixture 공급자 안정성을 로컬에서 점검보관KST 날짜 버킷 기준 최근 최대 30일. 저장공간 한도 오류 시 최근 7일로 줄여 다시 저장하고, 그래도 실패하면 이번 탭 메모리에만 유지삭제실증 패널의 저식별 실증 기록 지우기 또는 작업공간 전체 삭제. 저장소 제거 실패 시 브라우저 사이트 데이터에서 직접 삭제자유서술·이름표·업무 내용·검색 조건은 복사하지 않으며 앱 코드가 중앙으로 자동 전송하지 않음
화면 테마 설정비민감 환경설정이 브라우저의 별도 localStoragecare-ring:theme:v1항목밝은 테마 또는 어두운 테마 선택값. 시스템 설정을 선택하면 key를 저장하지 않음목적새로고침 뒤 이용자가 고른 화면 명암을 복원보관밝은·어두운 테마 선택을 바꾸거나 작업공간 전체 삭제·브라우저 사이트 데이터 삭제 전까지삭제테마 메뉴에서 시스템 설정 선택, 데이터 화면의 작업공간 전체 삭제 또는 브라우저 사이트 데이터 삭제기기 색상 선호 자체를 저장하거나 서버·분석 도구로 전송하지 않으며 시스템 선택은 운영체제 설정을 실시간으로 따름
암호화 작업공간 백업작업공간 본문 AES-GCM 256 · PBKDF2-SHA-256 310,000회이용자가 선택한 다운로드·클라우드·공유 위치항목전체 작업공간 암호문. 파일 형식·버전·생성 시각과 PBKDF2 salt·반복 횟수·AES-GCM IV 같은 복호화 매개변수는 평문 외피 메타데이터목적기기 변경·사이트 데이터 삭제 전 이용자 주도 복원보관다운로드 뒤 이용자가 정한 기간삭제다운로드 폴더·클라우드·공유 대상에서 이용자가 직접 삭제작업공간 본문만 암호화되고 외피 메타데이터는 보입니다. 비밀번호는 저장·복구하지 않으며 복원 파일은 브라우저에서만 읽고 운영 서버에 업로드하지 않음
평문 일회성 내보내기평문캘린더, 다운로드, 클립보드 또는 기기 공유 대상항목.ics 업무 ID·제목·기한, 가족 브리핑의 업무 수·제목·기한·선택한 이름표·가족 메모와 fixture 기관명·출처 라벨·ID·공급자 상태·마지막 정상 확인 시각·공개 사실·확인 필요 항목·공식 링크, 저식별 실증 JSON목적일정 등록, 가족 전달, 이용자 주도 실증 확인보관각 캘린더·파일·클립보드·공유 앱의 기준에 따름삭제각 외부 위치와 공유 대상에서 이용자가 직접 삭제암호화 백업과 다르며 내보낸 뒤 케어링 변경·삭제가 자동 반영되지 않음. 실증 JSON은 OWNER, 브리핑 이름표·가족 메모는 OWNER·COORDINATOR, .ics는 로컬 업무 권한으로 제한되지만 역할 전환은 인증 통제가 아님
외부 사이트·기기 앱 이동외부 제공자 정책 적용NHIS·HIRA·정부24, Kakao Map, 전화 앱항목NHIS·HIRA·정부24 공식 URL 이동, Kakao Map의 fixture 기관명 검색어, 전화 앱의 fixture 기관 전화번호목적공식 정보 재확인, 지도 검색과 전화 연결보관각 외부 제공자·기기 앱의 기준에 따름삭제각 외부 제공자·기기 앱에서 확인·요청작업공간과 실증 증적 전체는 자동으로 함께 보내지 않음
공식 권리행사 이메일외부 메일 시스템 · 평문 가능이용자 메일 제공자 ↔ Google/Gmail (omnilude@gmail.com)항목발신 이메일 주소, 제목·본문·첨부파일, 발송·수신 시각과 전달 메타데이터, 답신, 필요한 경우의 비례적 본인 확인, 같은 thread의 receivedAt·service·requestType·scope·verification·decision·outcome·closedAt 최소 처리기록목적개인정보 문의·불만·피해 구제와 열람·정정·삭제·처리정지·동의 철회 요청 및 답신보관미확정 · 이용자 메일 제공자와 Google/Gmail 정책, 계정 설정, 법령, 자율 개인정보 위험평가·법정 영향평가 대상 여부·전문 법률·제공자 검토 뒤 정할 케어링 일정에 따름삭제케어링 앱의 로컬 삭제 버튼 대상이 아님. 이용자는 보낸편지함에서 직접 삭제할 수 있지만 수신함·답신·본인확인 기록의 정확한 보관·파기 일정은 미확정메일은 이용자 메일 제공자와 Google/Gmail 환경으로 이동·보관될 수 있습니다. 첫 메일은 서비스명·요청 유형만 적고 건강·돌봄·진단·처방·가족관계·신분증·증빙·첨부를 보내지 않습니다. 별도 DB·스프레드시트 없이 같은 thread에 최소 기록만 남기는 초안이며 위탁·국외이전 판단과 정확한 보관·삭제 일정은 자율 개인정보 위험평가·법정 영향평가 대상 여부·전문 법률·제공자 검토 전까지 미확정입니다.
Sites Hosted Data·접속 계층OpenAI 호스팅·DPA 계약 경계Sites 로그인·호스팅 계층항목2026-07-09 개인용 Sites DPA Schedule의 Hosted Data 범주는 이용자가 제공한 콘텐츠와 이용 과정에서 생성된 로그·usage·기기·쿠키 정보를 예시로 듭니다. 케어링에 실제 생성·적용되는 세부 필드는 미확정입니다.목적Sites Terms·DPA에 따른 사이트 호스팅·유지보수·지원보관계약 기간과 종료 뒤 당사자의 의무 수행 및 데이터 삭제에 필요한 기간이라는 DPA 기준선만 확인 · 케어링의 실제 기간은 미확정삭제DPA는 계약 종료 뒤 이용자 지시에 따른 Hosted Data 반환·삭제와 법률상 보존 예외를 규정하지만, 현재 계정의 실제 요청·실행 경로는 미검증이며 앱 삭제 버튼 대상이 아님Sites Terms는 OpenAI가 이용자를 대신해 사이트를 호스팅한다고 설명하고 개인용 DPA는 Hosted Data에 대해 OpenAI를 processor로 설명합니다. 이는 계약 사실이며 현재 계정 적용성·실제 필드·subprocessor·국외처리와 한국법상 처리위탁·국외이전 분류는 외부검토 전 unresolved입니다.
03 · MANUAL RIGHTS RUNBOOK

이메일 요청경로와 실제 운영 능력을 분리합니다.

웹 폼, 자동 접수·전송, 메일함 자동 모니터링, 상시 확인 약속, 자동 접수번호, 처리상태 추적과 별도 자율 최초응답 SLA를 제공하지 않습니다. 공개 Omnilude 개인정보 처리방침은 본인 확인 후 적용 법령에서 정한 기간과 방식으로 처리한다고 안내합니다. 케어링은 자율 최초응답 SLA를 추가하지 않지만, 개인정보처리자에 해당하여 법상 열람·정정·삭제·처리정지 요구를 받는 경우 결과통지 10일 기준을 적용하는 보수적 초안을 둡니다.

초안 · 오프라인 합성 탁상훈련 3/3 PASS · 실 Gmail 미실시

수동 runbook의 오프라인 합성 입력·답신·8필드 record를 계산형 rubric으로 재평가한 탁상훈련 3건은 PASS했고 대리 없는 1인 연속성 합성 3건도 PASS했습니다. 그러나 실 Gmail 왕복·실제 응답시간·보관·파기·실계정 복구·실제 재개는 NO-GO입니다. 메일 발송만으로 접수 확인, 자동 접수번호, 삭제 완료 또는 처리 완료가 보장되지 않습니다.

3/3 PASS오프라인 합성 권리요청 탁상훈련

합성 입력·답신 템플릿·최소 기록을 계산형 rubric으로 재평가한 PASS이며 실제 Gmail 접수·발송·운영자 응답시간·보관·파기 또는 법률 적합성 검증이 아닙니다.

  • synthetic-only
  • no real PII
  • no real attachment
  • no external send

실 Gmail 왕복 · 미실시 · 외부 메일을 발송하지 않았고 실제 이용자·실제 개인정보·실제 첨부를 사용하지 않았습니다.

실 운영 검증 · 미실시/미승인/미확정

실 Gmail 접수·회신 왕복

미실시

외부 메일을 보내거나 받지 않았고 실제 Gmail thread를 만들지 않음

운영자 실제 응답시간

미실시

실제 접수·답신 시각을 측정하지 않았고 자율 응답 SLA도 두지 않음

실제 Gmail 계정 보안

미실시

Google 보안 진단·2단계 인증·복구 이메일·전화 설정을 실제 계정에서 확인하지 않음

Gmail 보관·파기 운영정책

운영정책 미승인

Google 공개 기준선과 별개인 케어링 보유·파기 일정과 실행 절차를 승인하지 않음

위탁·국외이전 법적 분류

전문검토 전 미확정

제공자 공개 설명만 확인했으며 케어링의 법적 분류·적법성 판단은 미확정

전문 법률 검토

미실시

권리처리·보관기간·제공자 관계에 관한 전문 검토를 실행하지 않음

자율 개인정보 위험평가

문서평가 완료·NO-GO

민감첨부·계정탈취·보관·제공자 법적 분류·1인 부재·삭제 완료 오진 6건을 계산 평가했으며 높은 잔여위험으로 공개 NO-GO

법정 개인정보 영향평가 대상 여부

전문검토 전 미확정

개인 서비스에 의무를 단정하지 않으며 대상 여부는 전문가 확인 전 미확정

수동 처리 단계

  1. 최소 이메일 시작

    서비스명과 요청 유형만 받고, 민감정보·증빙·첨부가 오지 않도록 안전 안내를 우선합니다.

  2. 처리 경계 분류

    local-only, Gmail thread, Sites·공급자, 향후 앱 데이터 중 요청 범위를 하나 이상 선택합니다.

  3. 비례적 본인 확인

    local-only 자기삭제는 추가 증빙 없이 안내하고, 운영자 조치가 필요한 경계만 최소 확인을 별도로 요청합니다.

  4. 결정·조치

    통제 가능한 조치와 제공자·기기에서 이용자가 해야 할 조치를 분리하고 제한 사유를 기록합니다.

  5. 답신·종결 기록

    결정·조치·제한 사유·다음 경로를 답신하고 같은 thread에 최소 필드만 남깁니다.

처리 경계·본인 확인

브라우저 local-only 데이터

초안
본인 확인
추가 본인증빙 없음
조치·제한
작업공간·저식별 증적 자기삭제와 브라우저 사이트 데이터 삭제 경로를 안내하고 운영자가 원격 삭제했다고 주장하지 않습니다.

Gmail 이메일 thread

초안
본인 확인
메일 요청 범위에 비례해 필요한 경우에만 별도 안내
조치·제한
해당 thread의 최소 처리기록과 메일 사본 범위를 확인하되 정확한 보관·파기 일정은 미확정으로 표시합니다.

Sites·외부 공급자 메타데이터

초안
본인 확인
운영자가 통제 가능한 범위와 제공자 경로를 먼저 구분
조치·제한
앱 로컬 삭제와 분리하고 OpenAI·공급자별 권리 경로, 확인 가능한 항목과 제한 사유를 답신합니다.

향후 계정·서버 앱 데이터

초안
본인 확인
실제 데이터가 생긴 뒤 비례적 확인 절차를 별도 승인
조치·제한
현재는 존재하지 않는 경계이므로 처리 완료를 주장하지 않고 기능 도입 전 정책·인증·삭제 runbook을 다시 승인합니다.

별도 DB·스프레드시트 없는 최소 기록

별도 DB나 스프레드시트를 만들지 않고 같은 이메일 thread 안에 receivedAt, service, requestType, scope, verification, decision, outcome, closedAt만 최소 처리기록 초안으로 남깁니다.

  • receivedAt
  • service
  • requestType
  • scope
  • verification
  • decision
  • outcome
  • closedAt

답신에는 결정, 실제 조치, 처리 제한 사유와 다음 이용 가능 경로를 구분해 적습니다. 확인되지 않은 삭제나 처리를 완료로 통지하지 않습니다. 자율 개인정보 위험평가는 완료했지만 이메일 thread의 정확한 Gmail 보관·파기 일정은 법정 영향평가 대상 여부·전문 법률 검토와 제공자 조건 확인 전까지 미확정입니다. Gmail 휴지통 30일은 운영자 보유기간으로 복사하지 않습니다.

오프라인 합성 권리요청 탁상훈련 · 3 PASS

local-only 삭제 요청

PASS · 합성 전용
요청 ID · 모드
CARE-RIGHTS-TT-20260712-01 · offline-synthetic-tabletop
실시일 · 범위
2026-07-12 · local-only
담당
옴니루드 운영자(김종민 대표)
합성 입력
오프라인 텍스트 템플릿 · 가상의 이용자가 이 브라우저 작업공간과 저식별 증적을 운영자에게 대신 삭제해 달라고 요청
본인확인 결정
운영자가 원격 보유·조회할 수 없는 local-only 데이터이므로 본인증빙을 요구하지 않음
처리 결정
운영자 원격 삭제 요청은 수행 불가로 결정하고 이용자 자기삭제 안내로 전환

답신 초안 4요소

결정
local-only 데이터는 이용자 자기삭제 경로로 처리
실제 조치
작업공간·저식별 증적 삭제 버튼과 브라우저 사이트 데이터 삭제 경로를 안내하는 답신 초안을 작성
제한 사유
운영자는 이용자 브라우저 localStorage에 접근할 수 없어 원격 삭제나 삭제 완료를 확인·주장할 수 없음
다음 경로
케어링 데이터 화면에서 삭제를 실행하고 실패하면 브라우저 사이트 데이터 삭제 후 재접속해 잔존 여부를 확인

합성 최소 기록 · 정확히 8필드

receivedAt
2026-07-12T09:00:00+09:00 · 합성 시각
service
케어링
requestType
local-only 삭제 안내
scope
local-only
verification
추가 본인증빙 없음
decision
자기삭제 안내로 전환
outcome
답신 템플릿 작성 · 외부 발송 없음 · 원격 삭제 완료 주장 없음
closedAt
2026-07-12T09:20:00+09:00 · 합성 시각

Rubric · PASS

합성 실행 경계 · PASS
requestId=CARE-RIGHTS-TT-20260712-01, mode=offline-synthetic-tabletop, runAt=2026-07-12, realPiiIncluded=false, realAttachmentIncluded=false, externalSend=false
필수 경계 · PASS
scope=local-only · verificationDecision=운영자가 원격 보유·조회할 수 없는 local-only 데이터이므로 본인증빙을 요구하지 않음 · decision=운영자 원격 삭제 요청은 수행 불가로 결정하고 이용자 자기삭제 안내로 전환
금지 주장 · PASS
limitationReason=운영자는 이용자 브라우저 localStorage에 접근할 수 없어 원격 삭제나 삭제 완료를 확인·주장할 수 없음 · positiveCompletionClaim=false
최소 기록 · PASS
recordFields=receivedAt|service|requestType|scope|verification|decision|outcome|closedAt · service=케어링 · scope=local-only
답신 4요소 · PASS
draftedReplyFields=decision|actualAction|limitationReason|nextRoute
잔여 gap
실제 이용자의 브라우저별 자기삭제 이해도, 실패 복구와 실 Gmail 왕복·응답시간은 시험하지 않음

Sites·공급자 메타데이터 요청

PASS · 합성 전용
요청 ID · 모드
CARE-RIGHTS-TT-20260712-02 · offline-synthetic-tabletop
실시일 · 범위
2026-07-12 · sites-provider
담당
김종민 대표(CPO)
합성 입력
오프라인 텍스트 템플릿 · 가상의 이용자가 Sites 접속 또는 외부 공급자 메타데이터의 열람·삭제를 케어링 운영자에게 요청
본인확인 결정
먼저 앱 local-only 데이터와 Sites·외부 공급자 보유 가능 범위를 분리하고, 운영자 보유가 확인될 때만 비례 확인
처리 결정
케어링 앱이 통제하는 범위와 제공자 권리 경로를 분리해 안내하고 제공자 삭제 결과는 보장하지 않음

답신 초안 4요소

결정
앱 로컬 범위와 Sites·외부 공급자 메타데이터 범위를 분리 처리
실제 조치
확인 가능한 케어링 경계와 OpenAI·외부 공급자 공식 권리 경로를 나눈 답신 초안을 작성
제한 사유
Sites 전용 실제 로그 필드·보관기간과 외부 공급자 보유 여부를 운영자가 현재 확인할 수 없어 열람·삭제 완료를 보장할 수 없음
다음 경로
해당 제공자의 공식 권리 경로를 사용하고 케어링에는 제공자 회신 범위와 남은 제한만 최소 정보로 다시 알림

합성 최소 기록 · 정확히 8필드

receivedAt
2026-07-12T09:30:00+09:00 · 합성 시각
service
케어링
requestType
Sites·공급자 메타데이터 열람·삭제
scope
sites-provider
verification
보유 경계 우선 분류 · 필요할 때만 비례 확인
decision
앱과 제공자 경로 분리 안내
outcome
답신 템플릿 작성 · 외부 발송 없음 · 제공자 삭제 보장 없음
closedAt
2026-07-12T09:55:00+09:00 · 합성 시각

Rubric · PASS

합성 실행 경계 · PASS
requestId=CARE-RIGHTS-TT-20260712-02, mode=offline-synthetic-tabletop, runAt=2026-07-12, realPiiIncluded=false, realAttachmentIncluded=false, externalSend=false
필수 경계 · PASS
scope=sites-provider · verificationDecision=먼저 앱 local-only 데이터와 Sites·외부 공급자 보유 가능 범위를 분리하고, 운영자 보유가 확인될 때만 비례 확인 · decision=케어링 앱이 통제하는 범위와 제공자 권리 경로를 분리해 안내하고 제공자 삭제 결과는 보장하지 않음
금지 주장 · PASS
limitationReason=Sites 전용 실제 로그 필드·보관기간과 외부 공급자 보유 여부를 운영자가 현재 확인할 수 없어 열람·삭제 완료를 보장할 수 없음 · positiveCompletionClaim=false
최소 기록 · PASS
recordFields=receivedAt|service|requestType|scope|verification|decision|outcome|closedAt · service=케어링 · scope=sites-provider
답신 4요소 · PASS
draftedReplyFields=decision|actualAction|limitationReason|nextRoute
잔여 gap
실제 Sites 로그·설정·계약, 제공자 응답·삭제 결과, 위탁·국외이전 판단과 실 Gmail 왕복은 미검증

민감한 첨부 수신

PASS · 합성 전용
요청 ID · 모드
CARE-RIGHTS-TT-20260712-03 · offline-synthetic-tabletop
실시일 · 범위
2026-07-12 · gmail-sensitive-placeholder
담당
김종민 대표(CPO)
합성 입력
첨부파일 없는 오프라인 텍스트 placeholder · 가상의 첫 메일에 진단·처방·가족관계·신분증·돌봄 증빙 첨부가 있다는 문장만 사용
본인확인 결정
신분증·의료·가족관계 증빙을 추가 요구하지 않고 민감정보 노출을 늘리지 않는 최소 범위만 분류
처리 결정
첨부를 재전달·복제·추가 이용하지 않고 접근을 최소화하며 검토 전 파기 완료를 주장하지 않음

답신 초안 4요소

결정
민감한 첨부의 추가 전송을 중단하고 최소정보로 안전하게 재요청하도록 안내
실제 조치
실제 파일 없이 답신 템플릿만 작성하고 재전달·복제 금지와 접근 최소화 원칙을 기록
제한 사유
Gmail UI 영구삭제는 Google 백엔드 완전삭제와 같다고 볼 수 없고 케어링 보관·파기 정책, 자율 위험평가의 높은 잔여위험 완화와 법률·제공자 검토가 미완료
다음 경로
첨부 없이 서비스명과 요청 유형만 다시 보내고 운영자가 필요한 경우에만 비례적 최소 확인을 별도 안내

합성 최소 기록 · 정확히 8필드

receivedAt
2026-07-12T10:10:00+09:00 · 합성 시각
service
케어링
requestType
민감 첨부 안전 처리
scope
gmail-sensitive-placeholder
verification
추가 신분증·건강·가족관계 증빙 요구 없음
decision
재전달·복제 금지 · 접근 최소화 · 파기 완료 주장 금지
outcome
첨부 없는 답신 템플릿 작성 · 외부 발송 및 실제 파일 처리 없음
closedAt
2026-07-12T10:35:00+09:00 · 합성 시각

Rubric · PASS

합성 실행 경계 · PASS
requestId=CARE-RIGHTS-TT-20260712-03, mode=offline-synthetic-tabletop, runAt=2026-07-12, realPiiIncluded=false, realAttachmentIncluded=false, externalSend=false
필수 경계 · PASS
scope=gmail-sensitive-placeholder · verificationDecision=신분증·의료·가족관계 증빙을 추가 요구하지 않고 민감정보 노출을 늘리지 않는 최소 범위만 분류 · decision=첨부를 재전달·복제·추가 이용하지 않고 접근을 최소화하며 검토 전 파기 완료를 주장하지 않음
금지 주장 · PASS
limitationReason=Gmail UI 영구삭제는 Google 백엔드 완전삭제와 같다고 볼 수 없고 케어링 보관·파기 정책, 자율 위험평가의 높은 잔여위험 완화와 법률·제공자 검토가 미완료 · positiveCompletionClaim=false
최소 기록 · PASS
recordFields=receivedAt|service|requestType|scope|verification|decision|outcome|closedAt · service=케어링 · scope=gmail-sensitive-placeholder
답신 4요소 · PASS
draftedReplyFields=decision|actualAction|limitationReason|nextRoute
잔여 gap
실제 Gmail 첨부 접근통제·UI 삭제·백엔드 삭제, 보관·파기, 자율 위험평가의 완화조치 재검증·법률 검토와 실 Gmail 왕복은 모두 미실시

Google 제공자 공개 기준선 · 운영정책 미승인

제공자가 공개한 일반 기준선만 기록했으며 케어링 운영정책 승인이 아닙니다. 자율 위험 6건의 문서평가는 완료했지만 Gmail 보유기간·파기 실행, 계정보안, 위탁·국외이전 판단, 민감 첨부 완화와 전문 법률 검토는 미완료이며 법정 영향평가 대상 여부도 미확정입니다.

Gmail 고객센터 · 메일 삭제

제공자 공개 설명
Gmail UI에서 삭제한 메일은 휴지통으로 이동하고 최대 30일 동안 복구·영구삭제할 수 있으며 30일 후 복구할 수 없다고 안내합니다.
케어링 한계
Gmail UI의 영구삭제 표시를 Google 백엔드·백업의 완전삭제 또는 케어링 파기 완료와 동일시하지 않습니다.
제공자 원문 확인 (새 창)

Google · 데이터 보관과 삭제 절차

제공자 공개 설명
Google 일반 삭제 절차는 보통 약 2개월이고 암호화 백업에는 최대 6개월 남을 수 있으며 법적·보안 목적의 장기 보관과 수신자 사본은 별도일 수 있다고 설명합니다.
케어링 한계
일반 Google 기준이며 케어링 Gmail thread의 보유기간·파기 일정 또는 법적 근거를 확정하지 않습니다.
제공자 원문 확인 (새 창)

Google 개인정보처리방침 · 데이터 이전

제공자 공개 설명
Google은 전 세계에 서버를 두며 사용자 정보가 거주 국가 밖의 서버에서 처리될 수 있다고 설명합니다.
케어링 한계
이 공개 설명만으로 케어링의 위탁·국외이전 법적 분류나 적법성 결론을 내리지 않습니다.
제공자 원문 확인 (새 창)

Google 개인 휴면계정 정책

제공자 공개 설명
개인 Google 계정이 최소 2년 동안 휴면이면 Google이 계정과 활동·데이터를 삭제할 권리를 보유한다고 안내합니다.
케어링 한계
휴면계정 정책은 케어링의 보관·파기 정책이 아니며 실제 운영 계정의 활동·복구 상태를 입증하지 않습니다.
제공자 원문 확인 (새 창)

실제 Google 계정 보안 상태 · 미검증

Google 보안 진단 · 2단계 인증 · 복구 이메일·전화 설정

실제 운영 계정에 로그인해 확인하지 않았으므로 모든 계정 보안·복구 설정은 미검증입니다.

자율 개인정보 위험평가 · 법정 영향평가 아님

민감한 돌봄·건강 문맥의 Gmail, Sites, 1인 운영, 보관·삭제와 완료 오진 위험 6건을 처리 흐름·피해·통제·잔여점수로 자율 평가했습니다. 평가는 완료됐지만 높은 잔여위험 때문에 공개 운영은 NO-GO입니다.

개인정보 보호법 제33조의 법정 영향평가는 공공기관의 장이 대통령령 기준에 해당하는 개인정보파일을 운용하는 경우를 규정합니다. 개인 운영 토이서비스인 케어링에 법정 영향평가 의무가 당연히 적용된다고 주장하지 않으며 대상 여부는 전문 검토 전 미확정입니다.

이용자용 수동 runbook 안내 보기
PHASE 0 · PRIVACY EVIDENCE v1.1

문서 위험평가는 완료했지만 실 Gmail과 공개 운영은 계속 차단합니다.

사업자 등록 유무가 아니라 업무 목적의 개인정보파일 운용 여부를 기준으로 보수적으로 판단합니다. 아래 상태는 실제 계정 설정·외부 메일·전문 법률 검토를 완료했다는 뜻이 아니며, 높은 잔여위험 하나만 있어도 NO-GO입니다.

법 기준 문서화

법 적용 시 권리요청 결과통지 10일 기준

10일은 자율 최초응답 SLA나 모든 문의의 보관기간이 아닙니다. 실제 적용 여부와 기간 계산·예외는 전문 검토가 필요합니다.

미승인 초안

실사용자 Gmail 보관·삭제

기산점은 종결시점으로 정했지만 운영자 기간·예외·승인 근거는 미확정입니다. Gmail 휴지통 30일은 제공자 UI 기준이며 운영자 보유기간이나 Google 저장시스템·백업 완전삭제 기간이 아닙니다.

문서 위험평가 완료

자율 개인정보 위험평가

6개 위험을 점수로 재계산했고 전체 결정은 공개 운영 금지입니다. 법정 개인정보 영향평가 완료로 바꾸어 말하지 않습니다.

실계정 미확인

Gmail 계정보안

필수 12개 항목 중 실제 계정에서 확인한 항목은 0개입니다. 전화·복구 이메일·IP·기기명·백업코드는 증적에 복사하지 않습니다.

전문검토 전 미확정

Gmail·Sites 위탁·국외 처리

개인·비사업자라는 이유로 면제하지 않고 제공자별 계약·관계·이전국가·법적 근거· 고지·보유·삭제를 검토자 자격과 근거 문서로 확인해야 합니다.

선행조건 미충족

실 Gmail 합성 왕복

명시적 단건 발송권한·커넥터·통제 수신처·선행 관문이 없어 미실시입니다. 오프라인 3건 PASS는 실 Gmail PASS를 대신할 수 없습니다.

법 적용 시 권리요청 결과통지 기준

개인·비사업자라는 사실만으로 자동 면제되지 않습니다. 케어링이 업무를 목적으로 이메일 주소와 요청기록을 운용하는 개인정보처리자에 해당하고 개인정보 보호법상 열람·정정·삭제·처리정지 요구가 접수되는 경우 적용하는 보수적 기준입니다.

  • 열람 요구는 요구일부터 10일 이내 열람 또는 연기·제한·거절 사유와 이의제기방법을 통지
  • 정정·삭제 요구는 요구일부터 10일 이내 조치 결과 또는 불응 사실·이유·이의제기방법을 통지
  • 처리정지 요구는 요구일부터 10일 이내 조치 결과 또는 불응 사실·이유·이의제기방법을 통지

10일은 자율 최초응답 SLA나 모든 문의의 보관기간이 아닙니다. 실제 적용 여부와 기간 계산·예외는 전문 검토가 필요합니다.

실사용자 Gmail 수명주기 · 미승인 초안

운영자 기간

기산점
요청 종결시점(closedAt)
기간
미확정 · Gmail 휴지통 30일을 복사하지 않음
법령·분쟁 예외
미승인
완전삭제 주장
금지 · Google 저장시스템·백업은 운영자가 검증할 수 없음

삭제 단계 초안

  1. 처리 종결시점과 보존 예외 필요 여부를 최소 기록에 표시
  2. 승인된 운영자 기간이 지난 thread를 Gmail 휴지통으로 이동
  3. 발신자·수신자처럼 운영자가 통제하는 각 계정의 사본을 별도로 확인
  4. 휴지통 비우기 뒤 Gmail UI에서 훈련 ID가 검색되지 않는지만 확인

훈련 종료 뒤 운영자가 통제하는 양쪽 계정에서 각 사본을 삭제하고 휴지통을 비운 뒤 UI 검색 부재만 확인합니다. Google 저장시스템·백업 완전삭제로 표현하지 않습니다.

Gmail 실제 계정보안 · 12개 모두 미검증

휴면·복구 연속성

실계정 미확인

2년 휴면 위험과 복구 알림 경로를 확인하고 분기 수동 점검 계획 수립

Google 공식 기준 · 새 창

자율 개인정보 위험등록부 · 평가 완료/NO-GO

권리요청 Gmail로 건강·진단·돌봄·가족관계 첨부가 예고 없이 들어오는 흐름

잔여 15 · 높음

피해 · 민감정보 과수집·노출·재전달과 잘못된 파기 완료 통지

기존 통제 · 첫 메일 첨부 금지 안내 · 재전달·다운로드 중단과 합성 탁상훈련

판단 · 실 Gmail과 실제 첨부 대응·파기 절차가 검증되지 않아 공개 운영을 허용할 수 없습니다.

개인 Gmail 계정에서 권리요청 주소·본문·답신을 처리하는 흐름

잔여 15 · 높음

피해 · 계정 탈취자가 요청자 정보와 민감 문맥을 열람·변조·삭제

기존 통제 · 계정 보안 체크리스트 정의 · 비밀·연락처 없는 증거 규칙

판단 · 실제 2단계 인증·패스키·복구·세션·전달 상태가 모두 미검증입니다.

종결된 Gmail thread와 사용자·운영자 양쪽 사본의 보관·삭제 흐름

잔여 12 · 높음

피해 · 불필요한 장기보관 또는 성급한 삭제로 권리보장·분쟁대응 실패

기존 통제 · closedAt 기산점 초안 · Gmail UI 30일과 운영자 기간 분리

판단 · 운영자 기간·예외·승인·전문검토가 미확정이므로 실사용자 thread를 받을 수 없습니다.

Google/Gmail과 OpenAI Sites가 이메일·접속 메타데이터를 국외 서버에서 처리할 수 있는 흐름

잔여 16 · 매우 높음

피해 · 위탁·국외이전 법적 근거·고지·권리경로 누락

기존 통제 · 제공자 공개 기준선 분리 · Gmail·Sites 전문검토 하드 게이트

판단 · 개인·비사업자 상태는 자동 면제 근거가 아니며 법적 분류가 모두 미확정입니다.

대리자 없는 1인이 권리요청·사고·정책 승인을 모두 수행하는 흐름

잔여 12 · 높음

피해 · 부재·계정잠금 때 10일 기준과 사고대응·삭제결정을 놓침

기존 통제 · 공개 운영 NO-GO · 부재 시 신규 실데이터 처리 중단 원칙

판단 · 대리자를 가정하지 않는 중단·복구 절차와 계정 복구 증적이 아직 없습니다.

로컬·Gmail UI·제공자 저장시스템의 서로 다른 삭제 결과를 답신하는 흐름

잔여 5 · 중간

피해 · 확인할 수 없는 제공자 백엔드·백업 삭제를 완료로 오인시킴

기존 통제 · 계산형 금지주장 변이 테스트 · 답신 4요소와 제공자 한계 분리

판단 · 문서 통제는 위험을 줄였지만 실 Gmail 답신과 UI 삭제 훈련 전에는 계속 완화 대상입니다.

Gmail·Sites 전문검토 · 결론 미확정

Google/Gmail

전문검토 전 미확정
처리 관계
미확정
위탁 분류
미확정
국외 처리 분류
미확정
법적 근거·고지
미확정
개인·비사업자 자동면제
근거로 사용하지 않음

Google 공개문은 전 세계 처리 가능성을 설명할 뿐 케어링의 법적 분류를 완료하지 않습니다.

OpenAI Sites

전문검토 전 미확정
처리 관계
미확정
위탁 분류
미확정
국외 처리 분류
미확정
법적 근거·고지
미확정
개인·비사업자 자동면제
근거로 사용하지 않음

2026-07-09 Sites Terms의 대리 호스팅과 개인용 Sites DPA의 Hosted Data processor 표현은 계약 기준선으로만 기록하며, 현재 계정 적용성·실제 필드·보관·삭제·subprocessor·국외처리와 한국법상 위탁·국외이전 분류를 외부검토 전에 확정하지 않습니다.

실 Gmail 합성 왕복 · 실행 불가

단건 외부발송 명시 승인
미충족
Gmail 연결수단 사용 가능
미충족
통제된 합성 수신계정 설정
미충족
실사용자 Gmail 수명주기 승인
미충족
실제 Gmail 계정보안 확인
미충족
자율 위험평가 잔여위험 수용
미충족
Gmail·Sites 전문검토 완료
미충족

제목·본문에 실존 정보주체의 개인정보·건강·돌봄·가족·연락처·링크를 넣지 않고 첨부·CC·BCC를 0건으로 유지합니다. 송수신 계정주소와 시각 같은 제공자 메타데이터는 생깁니다.

중단 조건

  • 잘못된 자동완성 수신자·CC·BCC 발견
  • 자동 전달·알 수 없는 위임자·연결 앱 발견
  • 서명 개인정보·실데이터·첨부·링크 발견
  • 계정보안·명시적 단건 발송권한·커넥터·전문검토 중 하나라도 미충족

합성 훈련 8필드 증적

  • runId
  • startedAt·closedAt
  • 요청자·운영자 역할 구분
  • 본문 무실데이터·첨부 0건 확인
  • 수신 성공 여부
  • 4요소 답신·응답시간
  • 양쪽 통제계정 UI 삭제·휴지통 비우기 결과
  • Google 저장시스템·백업 삭제 미검증 잔여한계
04 · INCIDENT RESPONSE

합성 대응은 실행했지만 실제 운영 재개는 닫혀 있습니다.

일부 준비

v10 첫 변경통제 1건, 대리 없는 1인 연속성 합성 3건과 기존 기술사고 합성 3건을 계산 PASS했습니다. 실제 계정 접근·외부 발송·제공자 변경·법률 판단·사고 복구·서비스 재개는 수행하지 않아 실운영은 NO-GO입니다.

대응 역할

사고 지휘

옴니루드 운영자(김종민 대표)

사고 선언, 기능·접근 중단, 복구 재개 최종 승인

대리 담당 없음 · 부재 시 중단·복구 승인과 호스팅 협조 경로 검증 필요

개인정보 판단

김종민 대표(CPO)

영향 범위, 권리 침해, 신고·통지·법률 검토 판단

대리 담당 없음 · 자율 개인정보 위험평가·법정 영향평가 대상 여부·전문 법률 검토와 부재 시 판단 중단 기준 필요

기술 통제

옴니루드 운영자(김종민 대표)

Sites 접근 제한·배포 중단, 원인 보존, 수정과 안전한 복구

실제 공급자·Sites 통제 권한과 1인 운영 장애 시 복구 경로 확인 필요

이용자 소통

김종민 대표(CPO)

신고 접수, 안전 안내, 진행·결과·후속조치 통지

자율 최초응답 SLA 없음 · 수동 runbook·최소 thread 기록과 답신 절차 시험 필요

대응 단계와 남겨야 할 근거

  1. 발견·접수

    첫 이메일에는 서비스명·요청 유형만 받고 민감한 원문이나 첨부를 추가 전송하지 않도록 안내한 뒤, 사고 처리는 별도 최소 사실로 분리합니다.

    완료 근거
    사고 식별번호, 최초 발견 시각, 접수자와 사실 기반 현상 기록
  2. 격리·보존

    외부 공유를 멈추고 필요하면 Sites 접근 또는 배포를 제한합니다. 원인 확인에 필요한 최소 증거만 보존합니다.

    완료 근거
    중단 범위·시각·승인자, 보존한 증거와 접근자 기록
  3. 범위·위험 평가

    로컬 작업공간, 내려받은 파일·공유 대상, 공식 이메일, 외부 앱, 호스팅 메타데이터 중 어느 경계가 영향을 받았는지 구분합니다.

    완료 근거
    영향 데이터·이용자·기간, 암호화 여부, 외부 이동 여부와 불확실성
  4. 법률 판단·통지

    지정된 CPO와 전문 검토자가 적용 법령·계약의 신고 및 통지 요건과 기한을 확인해 실행합니다.

    완료 근거
    판단 근거, 검토자, 적용 기한, 신고·통지 또는 미실시 사유
  5. 복구·재발 방지

    원인을 제거하고 삭제·접근 회수·안전 안내를 확인한 뒤 사고 지휘 승인으로만 운영을 재개합니다.

    완료 근거
    수정 검증, 잔여 위험, 정책·인벤토리 변경, 재개 승인과 회고
P0 · INTERNAL OPERATIONAL EVIDENCE

1인 운영 중단·재개 연속성 · 합성 3/3 PASS

대리 담당을 만들거나 계정을 공유하지 않았습니다. 같은 개인 운영자가 합성 입력으로 조기 재개 거절과 재개 전 확인 규칙을 계산 검증했습니다. 실제 부재, Google 계정잠금, Sites 중단·복구 또는 실제 침해사고를 실행한 기록이 아닙니다.

합성 연속성 PASS실제 서비스 재개 NO-GO

저장소 안에서 재실행 가능한 합성 판단 증적입니다. 실제 Gmail·Sites 계정 접근, 외부 발송, 제공자 변경·응답, 법률 결론, 대리자 또는 실제 서비스 재개를 수행·입증하지 않습니다.

v10 첫 변경통제
1건 PASS · retain-NO-GO
1인 연속성
3/3 합성 PASS
기술사고 tabletop
3/3 합성 PASS
실제 계정·외부 발송
0건 · 미실시
대리·가족협업
대리 0명 · 가족협업 비활성
현재 identity
한 기기 local role simulation
CHANGE CONTROL · 01

v10 첫 변경통제 실행 · 정책 v1.1 유지

계산 PASS

정책 v1.1을 유지한 채 v10 내부 운영증적, fail-closed 판정, 읽기 전용 증거보드와 회귀검증 범위만 추가

처리경계 diffPASS

새 개인정보 수집·서버 저장·가족 초대 없이 정적 운영증적과 계산형 판정만 추가함

정책 v1.1PASS

실증 정책 v1.1의 Gmail·법률·제공자·공개 운영 차단 상태를 변경하지 않음

rollbackPASS

신규 증적 모듈·보드와 governance 연결만 되돌리며 데이터 migration은 필요하지 않음

검증PASS

전체 테스트·정적 타입·lint·production build·diff 형식 검증을 동일 변경에서 통과

기존 관문 유지PASS

Gmail·전문검토·제공자·identity-security와 실제 가족협업 관문을 닫힌 상태로 유지

NO-GO 유지PASS

합성 증적의 PASS와 실제 계정·기술복구·공개 운영 NO-GO를 별도 계산값으로 기록

실행 ID
CARE-CC-V10-20260712-01
rollback
신규 운영증적 모듈과 컴포넌트, governance 참조와 스타일·테스트만 역순 제거하고 기존 v1.1 정책과 로컬 데이터 형식은 그대로 유지
최종 결정
기존 Gmail·법률·provider·identity-security 관문 유지 · 공개 운영 NO-GO
FAIL-CLOSED CONTINUITY · 03

부재·계정잠금·부재 중 사고의 중단과 합성 재개판정

실운영 NO-GO
CARE-CONT-TT-20260712-01

운영자 부재

합성 PASS

동일 개인 운영자가 일시적으로 어떤 운영 판단이나 변경 승인도 수행할 수 없다는 합성 입력

  1. 1
    합성 trigger 기록

    운영자 행동 가능 여부를 false인 합성 플래그로만 기록하고 실제 부재를 주장하지 않음

  2. 2
    중단 선언

    신규 처리·외부 전달·배포·공개 확대를 모두 중단하는 규칙을 우선 선택함

  3. 3
    위험 행동 동결

    케어링 쓰기·내보내기·외부 이동·로컬 역할 변경을 합성 통제 목록으로 동결함

  4. 4
    조기 재개 거절

    대리 판단이나 자동 재개를 거부하고 같은 운영자가 돌아오기 전 NO-GO를 유지함

  5. 5
    합성 복구조건 대조

    동일 운영자 복귀·경계 분류·합성 대기표식·정책·검증·잔여위험 조건을 순서대로 대조함

  6. 6
    합성 재개판정

    모든 fixture가 참일 때만 합성 재개를 승인하고 실제 서비스 재개는 계속 NO-GO로 둠

실제 한계
  • 실제 운영자 부재를 탐지하거나 이용자에게 자동으로 알리는 기술 통제는 검증하지 않음
  • 실제 계정 통제권·대기 중 권리요청·기술 rollback과 실제 재개 승인은 확인하지 않음
CARE-CONT-TT-20260712-02

운영 계정잠금

합성 PASS

운영 계정 통제권을 사용할 수 없고 Gmail·Sites 변경을 수행할 수 없다는 합성 잠금 입력

  1. 1
    합성 trigger 기록

    계정잠금 문장만 입력하고 실제 계정 로그인·보안설정·세션·복구정보에는 접근하지 않음

  2. 2
    중단 선언

    대체 이메일 공표·공동계정·계정공유 없이 모든 제공자 변경과 공개 확대 중단을 선언함

  3. 3
    위험 행동 동결

    워크스페이스 쓰기·내보내기·외부 앱 이동·로컬 역할 변경을 합성 통제 목록으로 동결함

  4. 4
    조기 재개 거절

    계정 통제가 확인되지 않은 상태의 조기 재개와 대리자 승인을 명시적으로 거부함

  5. 5
    합성 복구조건 대조

    동일 운영자 통제 복구를 가정한 fixture와 경계·정책·검증·잔여위험 조건을 대조함

  6. 6
    합성 재개판정

    fixture 판정만 합성 승인하고 실제 Gmail·Sites 복구 또는 서비스 재개로 표시하지 않음

실제 한계
  • 실제 Gmail·Sites 계정 접근·보안설정·복구절차와 제공자 지원 결과는 전혀 확인하지 않음
  • 합성 계정잠금 PASS는 실제 운영 계정 통제권 회복이나 기술적 접근 회수의 증거가 아님
CARE-CONT-TT-20260712-03

부재 중 사고 징후

합성 PASS

운영자 판단 불가 상태에서 비인가 접근 또는 오전송 징후가 생겼다는 합성 사고 입력

  1. 1
    합성 trigger 기록

    실제 로그·사고정보 없이 영향 가능 경계와 발생 시각 표식만 합성 신호로 기록함

  2. 2
    중단 선언

    추가 처리·외부 공유·제공자 변경·배포·공개 확대를 즉시 중단하는 규칙을 선택함

  3. 3
    위험 행동 동결

    실제 증거 복사 없이 합성 최소 기록만 남기고 케어링의 네 가지 위험 기능을 동결함

  4. 4
    조기 재개 거절

    원인·범위·잔여위험을 모르는 상태의 재개와 대리 판단을 명시적으로 거부함

  5. 5
    합성 복구조건 대조

    동일 운영자 복귀를 가정하고 범위·원인·합성 대기표식·정책·검증·잔여위험을 대조함

  6. 6
    합성 재개판정

    합성 조건 충족만 승인하며 실제 사고 종결·통지·서비스 재개는 계속 NO-GO로 유지함

실제 한계
  • 실제 사고 탐지·로그 보존·영향자 확인·신고·통지·복구 조치는 수행하지 않음
  • 법률 판단이나 제공자 협조 없이 작성한 합성 판정이므로 실제 사고 종결 근거가 아님
TECHNICAL INCIDENT TABLETOP · 03

기존 세 기술사고도 합성 절차만 계산 검증했습니다.

실제 복구 미실시
CARE-INC-TT-20260712-01

로컬 삭제 실패

합성 PASS

localStorage 제거가 실패해 새로고침 뒤 합성 작업공간 표식이 다시 보인다는 문서 입력

통제 선택
local-input-freeze · browser-delete-guidance-selected · remote-delete-not-claimed
결정
retain-NO-GO · 실제 사고 종결 주장 없음
남은 한계
지원 브라우저별 실제 삭제 실패 재현과 잔존 키 제거 성공은 확인하지 않음 합성 문서훈련은 이용자 기기의 원격 삭제나 실제 복구 완료를 입증하지 않음
CARE-INC-TT-20260712-02

평문 가족 브리핑 오전송

합성 PASS

개인정보가 없는 합성 브리핑 표식이 통제하지 않는 가상 대상으로 이동했다는 문서 입력

통제 선택
additional-sharing-freeze · synthetic-recipient-only · external-recall-not-claimed
결정
retain-NO-GO · 실제 사고 종결 주장 없음
남은 한계
실제 외부 수신자·파일·공유 앱이 없으므로 회수·삭제·통지 결과는 검증하지 않음 평문 내보내기와 클립보드 사본의 실제 기술적 회수 가능성은 여전히 미확정임
CARE-INC-TT-20260712-03

Sites 접근사고

합성 PASS

Sites 접근계층에 의도하지 않은 가상 주체가 접근했을 가능성이 있다는 문서 입력

통제 선택
site-expansion-freeze · local-provider-boundary-separated · provider-response-not-claimed
결정
retain-NO-GO · 실제 사고 종결 주장 없음
남은 한계
실제 Sites 계정 접근·권한 회수·로그 확인·제공자 문의와 응답은 수행하지 않음 합성 호스팅 사고 PASS는 실제 비인가 접근 차단이나 제공자 복구 결과의 증거가 아님

V11 RELEASE CONTROL · OWNER-ONLY

v11 후보 변경통제 · 3/3 PASS

v10을 rollback 기준으로 두고 정책 v1.2 후보 commit, 테스트·타입·lint·build·diff를 대조했습니다. owner-only 재배포만 허용하며 공개 운영 GO로 전환하지 않습니다.

PUBLIC RELEASE · NO-GO
변경통제3/3 PASS세 서비스 후보 commit 고정
배포 범위OWNER-ONLY기존 허용 사용자 1명 유지
외부검토NOT STARTED법률·Gmail·Sites 미실시
운영 결정NO-GO공개 확장과 실계정 차단
G

GROCERY

v11 · 정책 v1.2

후보 commit
30b5c0c0dd01ca9715eb1a5dffd1ee8de728bd09
검증
73 tests · type · lint · build · diff
배포
owner-only만 eligible
운영
retain-no-go
R

RUNWAY

v11 · 정책 v1.2

후보 commit
8b9bb95519543ffc798316e4d1853a0c5011f0ed
검증
75 tests · type · lint · build · diff
배포
owner-only만 eligible
운영
retain-no-go
C

CARE

v11 · 정책 v1.2

후보 commit
8f161eb2270d4c9f1bcf6da83589df58c089936c
검증
93 tests · type · lint · build · diff
배포
owner-only만 eligible
운영
retain-no-go

실 Gmail·계정보안·외부 전문검토·실제 사고 복구는 수행하지 않았습니다. 이 PASS는 비공개 재배포 절차만 허용하며 공개 모집, 실제 사용자, 서버 개인화, provider mutation 또는 SLA 확대를 허용하지 않습니다.

V12 CANDIDATE CONTROL · CUSTOM OWNER-ONLY

v12 후보 변경통제 · 3/3 PASS

직전 owner-only v11 commit을 rollback 기준으로 고정하고 정책 v1.2 후보와 내부 검증을 대조했습니다. custom owner-only 후보만 적격이며 공개 운영으로 전환하지 않습니다.

PUBLIC RELEASE · NO-GO
후보 통제3/3 PASS세 서비스 material commit 고정
필수 접근CUSTOMowner-only일 때만 후보 적격
외부검토NOT STARTED검토 결과로 대체 불가
운영 결정NO-GO공개·실계정·복구 차단 유지
G

GROCERY

v12 · 정책 v1.2

v11 rollback
adb3d6ea42b88021bd2a1c758c7eed7ebd04e7e5
v12 후보
3b9a76d12358bc99f14eff82211a0a7437ff4efe
검증
91 tests · type · lint · build · diff
접근 조건
custom · owner-only
잔여 관문
Gmail·계정보안·실복구 blocked · 외부검토 not-started
R

RUNWAY

v12 · 정책 v1.2

v11 rollback
04f861154108657d7845a1fe128fa69761a0c91f
v12 후보
d5f5fec39e51654aa8b82c7e4cddfc9c0160587b
검증
88 tests · type · lint · build · diff
접근 조건
custom · owner-only
잔여 관문
Gmail·계정보안·실복구 blocked · 외부검토 not-started
C

CARE

v12 · 정책 v1.2

v11 rollback
c09c4cf8daf5e8571921c321b1b4bd0f79b754ef
v12 후보
849ad225d6bc3f2624f69c15be09075969af3fa9
검증
106 tests · type · lint · build · diff
접근 조건
custom · owner-only
잔여 관문
Gmail·계정보안·실복구 blocked · 외부검토 not-started

이 기록은 v12 후보 변경통제이며 현재 Sites 접근 상태를 실측한 증거가 아닙니다. 실제 provider 확인·실 Gmail·계정보안·외부 전문검토·실제 사고 복구는 수행하지 않았고, 이 PASS로 공개 모집·실사용자·provider mutation·운영 GO를 허용할 수 없습니다.

V13 LOCAL RETURN CONTROL · CUSTOM OWNER-ONLY

v13 로컬 반환 검증 후보통제 · 3/3 PASS

배포된 owner-only v12 증거 commit을 rollback 기준으로 고정하고, 브라우저 메모리와 로컬 CLI의 반환 JSON 구조 검증 후보를 대조했습니다. custom owner-only 후보만 적격이며 외부검토 완료나 공개 운영을 뜻하지 않습니다.

PUBLIC RELEASE · NO-GO
브라우저MEMORY ONLY64 KiB · no network/persistence/raw display
로컬 CLIEXIT 3redacted summary · structurally-valid-unverified
외부검증NOT STARTED서명·자격 검증과 분리
운영 결정NO-GO실계정·복구·공개 차단 유지
G

GROCERY

v13 · 정책 v1.2

v12 rollback
6b3f0be3c01e16b87cb62a5153244bfc4aaecec5
v13 후보
7e133321f499a224ddbb472a78702aacce0012ef
검증
109 tests · type · lint · build · diff · threat audit
구조 판정
browser structure-match-unverified · CLI exit 3
잔여 관문
외부검토·서명·자격 not-started · Gmail·계정보안·실복구 blocked
R

RUNWAY

v13 · 정책 v1.2

v12 rollback
36aafeb655a659304973b76fd3139072e4468048
v13 후보
62e2118bb768b373336a6ec9f6832fb674fc51a7
검증
106 tests · type · lint · build · diff · threat audit
구조 판정
browser structure-match-unverified · CLI exit 3
잔여 관문
외부검토·서명·자격 not-started · Gmail·계정보안·실복구 blocked
C

CARE

v13 · 정책 v1.2

v12 rollback
d774d2cc893dfa0a4c736292a7f0dbb5087a33ff
v13 후보
db7d46a32e141bd85c6024eee1ac73fd7bac7816
검증
124 tests · type · lint · build · diff · threat audit
구조 판정
browser structure-match-unverified · CLI exit 3
잔여 관문
외부검토·서명·자격 not-started · Gmail·계정보안·실복구 blocked

이 기록의 PASS는 로컬 반환 검증 후보의 구조와 차단 동작만 다룹니다. 현재 Sites 접근 상태를 실측한 증거가 아니며, 구조 일치와 CLI exit 3은 서명·검토자 자격·실 Gmail·계정보안·실제 사고 복구·운영 준비 또는 공개 승인을 증명하지 않습니다. 로컬 시스템 시계는 신뢰 증거가 아니고 원본 파일을 삭제하지 않습니다.

SITES PROVIDER SNAPSHOT · READ-ONLY

v11 배포·복원 후보 관찰 증거 · STALE · BLOCKED

Sites 제어면을 읽기 전용으로 확인해 관찰 당시 v11 archive와 v10 복원 후보, owner-only 접근 수를 결속했습니다. 실시간 감시나 실제 rollback·사고 복구 실행 증거는 아닙니다.

ACTUAL RECOVERY · NO-GO
확인 범위3/3 SERVICES관찰 2026-07-12T16:44:18+09:00 · v11 기준
관찰 당시 접근OWNER 1 · GROUP 0custom access revision 1
복원 후보BLOCKEDarchive digest 확인 · rehearsal 미실시
재확인 기한2026-07-19경과 시 자동 STALE · BLOCKED
G

GROCERY

custom · access rev 1

관찰 당시 버전
v11 · adb3d6ea42b88021bd2a1c758c7eed7ebd04e7e5
복원 후보
v10 · 5a148729b96536456fa2dc656e7ce8e7f78a2c6c
관찰 당시 허용
user 1 · group 0
R

RUNWAY

custom · access rev 1

관찰 당시 버전
v11 · 04f861154108657d7845a1fe128fa69761a0c91f
복원 후보
v10 · aae417fd9b4783fd0dace3d631af2c6f29d633da
관찰 당시 허용
user 1 · group 0
C

CARE

custom · access rev 1

관찰 당시 버전
v11 · c09c4cf8daf5e8571921c321b1b4bd0f79b754ef
복원 후보
v10 · 403c3176a168184cd04bc7adf7e8caf7583348f2
관찰 당시 허용
user 1 · group 0

이 관찰본은 live monitor나 현재 버전 보증이 아닙니다. 새 배포 또는 Sites 접근·버전 변경이 있으면 기한 전에도 즉시 재검증해야 하며, 실제 rollback rehearsal와 사고 원인 격리·권리요청 대기열 확인·명시적 재개 승인이 없으면 실제 복구와 공개 확장은 계속 NO-GO입니다.

EXTERNAL REVIEW HANDOFF · HISTORICAL V13 · UNREVIEWED

외부검토 전달팩 재검토 필요 · 운영 차단

세 서비스 v10 내부 증적·정책 v1.1 기준선, v11 정책 v1.2 변경, v12 통제 강화와 v13 로컬 반환 검증 후보의 redacted 증적 18건을 법률·Gmail·Sites 검토 질문 12개로 묶은 과거 후보 증거입니다. 현재 정책 v1.3의 테마 저장 변경은 이 전달팩 범위에 포함되지 않습니다. 전달팩이 준비됐다는 뜻일 뿐 전문가 의견, provider 답변, 계정 확인 또는 운영 승인을 받았다는 뜻은 아닙니다.

RELEASE · BLOCKED
과거 v13 전달팩STALE · BLOCKEDexternal-review-handoff/v1 · v10→v11 정책 · v11→v12 통제 · v12→v13 로컬 검증
외부검토NOT STARTED법률 0/6 · Gmail 0/3 · Sites 0/3
실계정·외부행위0계정 접근·메일 발송·provider mutation 없음
운영 결정NO-GO공개 확장·서버 개인화·SLA 차단
01

개인 운영 사실은 그대로, 자동 면제는 금지

제공할 수 없는 사업자 값과 개인 거주지를 새로 요구하지 않습니다.

운영 형태
개인·비사업자
법인·사업자
아님 · 관련 값 해당 없음
개인 거주지
비요청·비수집·비공개
책임정보
기존 Omnilude 공개 이름·이메일만 참조

개인·비사업자라는 이유로 법 적용을 자동 면제하거나 Google consumer로 자동 분류하지 않습니다.

02

Sites 계약 사실과 한국법 결론을 분리

2026-07-09 공개된 공식 Sites 문서를 새 기준선으로 반영했습니다.

  • Sites Terms: OpenAI가 이용자를 대신해 사이트를 호스팅
  • 개인용 Sites DPA: Hosted Data에 대해 OpenAI를 processor로 설명
  • DPA 목적: 호스팅·유지보수·지원
  • Hosted Data 범주: 제공 콘텐츠와 생성 로그·usage·device·cookie
  • 보관: 계약 기간과 종료 후 의무·삭제에 필요한 기간

이 계약상 표현을 한국 개인정보 보호법상 처리위탁·국외이전 결론으로 자동 복사하지 않습니다. 현재 계정 적용성과 실제 필드·보관도 미확정입니다.

03

Google 약관 전환일에 자동으로 실패 폐쇄

2026-07-30 이후 또는 다른 출처의 revalidateAfter 경과 뒤 재수집·재검토 없이는 pack을 stale로 차단합니다.

현행
2024-05-22 시행
예정
2026-07-30 시행
계정 유형
미확정 · 실제 계정 확인 필요
Gmail lifecycle
미승인 · 실왕복 미실시
04

반환 JSON은 선택한 기기 안에서만 판정

이용자가 명시적으로 선택한 최대 64 KiB의 redacted 외부검토 반환 JSON만 브라우저 메모리에서 구조·현재성을 한 번 확인합니다.

  • 허용 범주: pack·result ID와 digest·유효시각, 3 track의 비식별 reviewer·provenance ref·자격 유형·관할·이해상충, 12문항의 판정·제한·adverse·unresolved·source/evidence ref, verification·declared status enum
  • 실제 이름·이메일·주소·사업자 값·비밀은 허용하지 않음
  • 업로드·네트워크 전송·영구저장·입력 로그 없음
  • 원문·파일명 표시 없음
  • 로컬 시스템 시계를 일회성 판정 기준으로 사용
  • 초기화·새 파일 선택·화면 이탈 시 메모리 판정 폐기
  • 원본 로컬 파일은 앱이 삭제하지 않음
  • CLI는 일반 파일만 읽고 redacted 요약만 출력하며, 미검증 결과는 exit 3

구조·현재성 통과는 서명, 검토자 신원·자격 또는 법률 결론의 독립 검증이 아닙니다. 외부검토·운영·공개 gate는 계속 차단됩니다.

LEGAL · 6
  1. LEGAL-01실제 처리 흐름상 개인정보처리자 해당 여부와 적용 범위는 무엇인가? 개인·비사업자를 자동 면제 근거로 쓰지 않는다.
  2. LEGAL-02서비스별 처리 항목·목적·법적 근거·최소수집·민감정보 제한은 충분한가?
  3. LEGAL-03처리방침·투명성·책임정보 요건과 기존 공개 이름·이메일의 충분성은 무엇인가?
  4. LEGAL-04열람·정정·삭제·처리정지, 비례적 본인확인, 법 적용 시 10일 결과통지와 예외를 어떻게 운영해야 하는가?
  5. LEGAL-05요청 종결 후 보유·파기·법적 보존·분쟁 예외와 최소 처리기록 기간은 무엇인가?
  6. LEGAL-06Gmail·Sites의 처리위탁·국외이전·안전조치와 법정 영향평가 적용 대상 여부는 무엇인가?
GMAIL · 3
  1. GMAIL-01한국 Google 약관상 현재 계정 유형과 공식 권리요청 채널 이용 가능성은 무엇인가? 개인이라는 이유로 consumer로 자동 분류하지 않는다.
  2. GMAIL-02Gmail 처리 항목·주체·위치·하위처리자·권리·침해사고 지원 경계는 무엇인가?
  3. GMAIL-03Gmail UI 삭제·휴지통·백업·수신자 사본과 운영자 보유기간을 어떻게 분리하는가?
SITES · 3
  1. SITES-01Sites Terms·개인용 DPA가 현재 계정과 owner-only 사이트에 적용되는가?
  2. SITES-02Hosted Data의 실제 항목과 역할은 무엇인가? 계약상 processor 표현과 한국법상 분류를 분리한다.
  3. SITES-03보관·내보내기·삭제·서비스 종료·하위처리자·국외처리·사고지원·민감정보 제한은 무엇인가?

출처 digest는 페이지 본문 아카이브 해시가 아니라 source ID descriptor 무결성 표시입니다. evidence digest는 이 JSON에 내장된 payload를 JSON.stringify한 UTF-8 값의 SHA-256입니다. 외부검토자는 원문을 다시 열어 현재성·적용성을 확인해야 합니다. 어떤 attestation도 아직 없으며, 검토가 완료돼도 Gmail lifecycle, 계정보안, live 왕복과 실제 사고대응 gate가 남아 있으면 공개 운영은 차단됩니다.

05 · CHANGE CONTROL

기능보다 경계 문서를 먼저 바꿉니다.

저장 항목, 내보내기, 공식 이메일, 외부 이동, 인증 또는 호스팅 경계가 바뀌면 기능을 열기 전에 인벤토리·개인정보 정책·권리 안내·사고 시나리오와 테스트를 함께 갱신합니다.

v10 첫 실행 1건 · retain-NO-GO

정책 v1.1과 처리경계, rollback, 검증, 기존 관문 유지 여부를 첫 변경통제로 계산 확인했습니다. 제공자·실계정·법률·공개운영 검토를 완료했다는 뜻은 아닙니다.

로컬 자기삭제 경로

v10 1회 대조 · PASS
담당
옴니루드 운영자(김종민 대표)
통제 구현 상태
코드·문서 확인
현재 근거
OWNER 로컬 역할에서 작업공간·legacy 키·저식별 증적 제거를 각각 시도하고 실패 상태를 화면에 알리는 코드와 테스트가 있습니다.
남은 조건
실제 운영에서는 인증된 이용자 권리행사와 구분하고 브라우저별 실패 훈련을 계속합니다.

내보내기 수명주기 안내

v10 1회 대조 · PASS
담당
김종민 대표(CPO)
통제 구현 상태
코드·문서 확인
현재 근거
암호화 백업과 평문 ICS·브리핑·클립보드·공유 사본의 포함 항목, 보관 위치와 직접 삭제 책임을 정책·권리센터에 구분했습니다.
남은 조건
출력 필드가 바뀌면 코드·정책·권리센터·fixture 테스트를 같은 변경에서 갱신합니다.

정책 우선 변경통제

v10 1회 실행 · PASS
담당
김종민 대표(CPO)
통제 구현 상태
코드·문서 확인
현재 근거
처리 인벤토리, 정책, 권리센터, 운영 준비센터의 양방향 링크와 정적 렌더 회귀 테스트가 있습니다.
남은 조건
변경 승인자·검토 주기·릴리스 차단 권한과 기록 위치를 실제 절차로 확정하고 첫 변경에서 실행합니다.

책임자 승인·릴리스 차단

v10 1회 실행 · retain-NO-GO
담당
옴니루드 운영자(김종민 대표)
통제 구현 상태
부분 구현
현재 근거
대리자를 만들지 않고 부재·계정잠금·부재 중 사고의 6단계 합성 trace 3건을 PASS했으며 실제 서비스 재개는 NO-GO로 계산했습니다.
남은 조건
동일 운영자의 실제 계정 통제·기술 중단·대기 요청 확인·재개 승인 근거 전에는 실제 재개를 계속 차단합니다.

공급자·호스팅 변경 검토

미실시
담당
옴니루드 운영자(김종민 대표)
통제 구현 상태
미구현·미승인
현재 근거
2026-07-09 Sites Terms와 개인용 DPA에서 OpenAI의 이용자 대신 호스팅 및 Hosted Data processor 계약 표현은 확인했습니다. 그러나 현재 계정 적용성·실제 필드·보관·삭제·subprocessor·국외처리와 한국법상 위탁·국외이전 판단은 외부검토 미실시입니다.
남은 조건
공통 외부검토 전달팩의 Sites 질문 3개에 대해 현재 계정·계약 적용성, 실제 Hosted Data와 한국법상 분류를 검토받고 adverse·unresolved 결론도 그대로 기록합니다.
06 · TABLETOP DRILLS

기술사고 합성 tabletop 3건을 실행했습니다.

실제 개인정보·계정 접근·외부 발송·제공자 변경 없이 중단·경계분리·금지 주장을 계산 검증했습니다. 실제 브라우저 장애·오전송·Sites 사고 대응이나 복구 완료 기록이 아니므로 사고대응 관문은 일부 준비에 머뭅니다.

로컬 삭제 실패

합성 tabletop PASS · 실복구 NO-GO
담당
옴니루드 운영자(김종민 대표)
상황
작업공간 삭제를 눌렀지만 브라우저가 localStorage 제거를 막아 새로고침 뒤 평문 작업공간 또는 증적이 다시 나타납니다.
훈련 행동
앱 실패 안내 확인, 추가 입력 중단, 브라우저 사이트 데이터 직접 삭제 안내, 재접속 확인과 원인 기록을 순서대로 연습합니다.
완료 근거
CARE-INC-TT-20260712-01 · 합성 신호·중단·경계분리·금지주장·잔여한계 계산 증적
남은 한계
실제 브라우저 삭제 실패 재현·잔존 키 제거·기술복구를 수행하거나 완료로 주장하지 않음

평문 가족 브리핑 오전송

합성 tabletop PASS · 실회수 NO-GO
담당
김종민 대표(CPO)
상황
이름표·가족 메모·업무·fixture 기관 정보가 포함된 평문 브리핑을 잘못된 클립보드·파일·공유 대상으로 전달합니다.
훈련 행동
추가 공유 중단, 가능한 공유 회수·파일 삭제 요청, 포함 항목과 수신 대상을 최소 범위로 확인하고 안내·통지 판단을 에스컬레이션합니다.
완료 근거
CARE-INC-TT-20260712-02 · 합성 신호·공유중단·경계분리·금지주장·잔여한계 계산 증적
남은 한계
실제 가족정보·파일·수신자·외부 발송 없이 수행했으며 회수·삭제·통지를 완료로 주장하지 않음

Sites 호스팅 비인가 접근

합성 tabletop PASS · 제공자 대응 NO-GO
담당
옴니루드 운영자(김종민 대표)
상황
Sites 접근·인증 계층에서 의도하지 않은 사용자가 사이트에 접근했거나 인증 상태가 오용되었다는 징후가 발생합니다.
훈련 행동
Sites 접근 제한·배포 중단 가능 여부를 확인하고, 앱 로컬 데이터와 호스팅 메타데이터 영향 경계를 나눠 보존·평가·통지 판단을 연습합니다.
완료 근거
CARE-INC-TT-20260712-03 · 합성 신호·확대중단·경계분리·금지주장·잔여한계 계산 증적
남은 한계
실제 Sites 계정·로그·권한·제공자 지원에 접근하지 않았으며 접근 회수·복구를 주장하지 않음
07 · HARD GATES

Phase 0 · 운영 책임과 통제 확정

‘일부 준비’는 통과가 아닙니다. 모든 관문은 문서가 있다는 사실만으로 닫히지 않으며, 책임자의 승인과 실제 검증 근거가 있어야 통과로 바꿀 수 있습니다.

통과 0일부 준비 4차단 2

책임 주체·연락처

일부 준비
현재 근거
운영자 확인(2026-07-12)으로 개인·비사업자·대리 없음과 주소 최소화를 기록하고, 대리 없는 부재·계정잠금·부재 중 사고의 fail-closed 합성 3건을 PASS했습니다. 실제 계정 통제·기술 중단·재개 승인은 미검증입니다.
다음 행동
합성 PASS를 실제 복원력으로 확대하지 않고 실제 계정·기술 통제·권리대응·재개 승인 근거가 모두 생길 때까지 NO-GO를 유지합니다.

처리·보관·삭제 기록

일부 준비
현재 근거
현재 코드의 로컬 저장·내보내기·권리 이메일 인벤토리와 8필드 기록을 작성하고, Sites Terms·개인용 DPA의 Hosted Data processor 계약 사실을 반영했습니다. Gmail 수명주기, 현재 Sites 계정 적용성·실제 필드·한국법상 위탁·국외이전과 케어링 운영정책은 승인되지 않았습니다.
다음 행동
Gmail thread 보관·파기와 Sites Hosted Data의 실제 범위·보관·삭제·subprocessor·국외처리를 외부검토 질문으로 결정하고 unresolved이면 계속 차단합니다.

동의·권리행사·파기

일부 준비
현재 근거
영구 권리·삭제 안내센터, 공식 이메일, local-only 우선 자기삭제, 비례적 본인 확인, thread 최소 처리기록과 답신 규칙을 수동 runbook 초안으로 만들고 외부 발송 없는 오프라인 합성 입력·답신·8필드 record를 계산형 rubric으로 재평가한 탁상훈련 3건을 PASS했습니다. 웹 폼·자동접수·메일함 자동 모니터링·상시 확인 약속·번호·자율 SLA·대리 담당은 없고 실 Gmail 왕복은 미실시입니다.
다음 행동
실 Gmail 왕복과 운영자 실제 응답시간은 개인정보 없는 별도 승인 훈련으로 검증하고 Gmail 보관·파기, 제한·이의제기 답신을 자율 위험평가·전문 법률·제공자 검토로 승인합니다.

침해·장애 대응

일부 준비
현재 근거
대리 없는 1인 연속성 합성 3건과 로컬 삭제 실패·평문 브리핑 오전송·Sites 접근사고 합성 3건을 fail-closed evaluator로 PASS했습니다. 실정보·실계정·외부 발송·제공자 대응·법률 판단·실제 복구는 0건입니다.
다음 행동
실제 브라우저 장애·계정 통제·접근 회수·기술 rollback·대기 요청·사고 종결과 동일 운영자 재개 승인까지 검증하기 전 실운영 NO-GO를 유지합니다.

인증·접근통제·보안

차단
현재 근거
가족협업은 비활성이며 OWNER·COORDINATOR·HELPER·VIEWER는 한 브라우저의 local role simulation일 뿐 로그인·본인 인증·서버 권한·접근 회수가 아닙니다.
다음 행동
실제 협업 전에 서버 강제 인증·워크스페이스 격리·RBAC·초대·회수·감사로그·암호화 설계를 위협 모델로 검증합니다.

자율 위험평가·법정 영향평가 대상 여부·전문 법률 검토

차단
현재 근거
자율 위험 6건은 높은 잔여위험으로 NO-GO입니다. 세 서비스 공통 외부검토 전달팩은 법률 6·Gmail 3·Sites 3 질문과 2026-07-09 Sites 계약 사실을 구조화했지만 외부검토는 not-started이고, 케어링의 법정 영향평가 대상 여부·한국법상 위탁·국외이전·전문 법률 결론은 unresolved입니다.
다음 행동
외부검토 전달팩의 필수 12문항을 실제 검토자에게 전달하고, 계정보안·Gmail·Sites 판단과 adverse 결론을 반영해 위험평가를 재실행합니다. 그 전에는 legal·identity gate와 공개 운영을 차단합니다.
08 · NEXT ORDER

운영 경계는 이 순서로만 넓힙니다.

  1. 실제 복원력 검증대리 없는 부재·계정잠금·사고의 합성 3건 PASS와 실제 계정·기술 중단·재개 NO-GO를 분리해 유지합니다.
  2. 통제 검증오프라인 합성 권리요청의 계산형 rubric 결과와 실 Gmail 훈련을 구분하고, 인벤토리·사고 대응·Gmail·자율 개인정보 위험평가·법정 영향평가 대상 여부·법률·제공자 검토를 완료합니다.
  3. 기술 경계 구축실제 협업 전 서버 강제 인증·격리·RBAC·회수·감사로그를 검증합니다.
  4. 동의 기반 실증중앙 텔레메트리 대신 이용자 승인 저식별 내보내기로 제한된 코호트를 검증합니다.
  5. 단계적 공개owner-only, 초대형, 기관 코호트, 공개 운영을 각각 별도 승인합니다.