🔒Security & Permissions

애드사이트는 어떻게
광고 데이터를 안전하게 다룹니까?

최종 수정일: 2026년 5월 6일 · 시행일: 2026년 5월 6일

핵심 요약

Meta 광고 권한은 읽기 전용만 사용 — 광고 생성·수정·예산 변경 불가
모든 데이터는 한국 서울 리전에 AES-256 암호화 저장
토큰은 httpOnly secure 쿠키로 60일 만료 자동 회전
사용자별 데이터 RLS(행 수준 보안) 격리 — 타 사용자 데이터 접근 불가
광고 계정 연결·해제는 1-클릭으로 언제든 가능
Adsight 직원 접근은 로그 기록 + 최소 권한 원칙 준수

1. Meta 광고 권한 — 무엇을 받고, 무엇은 받지 않는가

받는 권한

ads_read — 광고 성과 데이터 조회 (지출 / ROAS / CTR / 구매 등)
business_management — 비즈니스 매니저에 연결된 광고 계정 목록 조회

받지 않는 권한

ads_management 권한 — 요청하지 않습니다. 광고 생성·수정·중단 불가
Meta 계정 비밀번호 — 절대 수집하지 않으며, Meta Login 표준 OAuth로만 인증
광고 예산 변경 / 캠페인 ON/OFF — 권한 자체가 없어 기술적으로 불가능
친구 목록 / 페이지 게시물 / 메시지 — 광고 분석과 무관하므로 받지 않음

→ 애드사이트는 분석 도구이지 광고 관리 도구가 아닙니다. 광고 운영은 사용자가 Meta 광고 관리자에서 그대로 진행하시고, 애드사이트는 그 데이터를 더 잘 볼 수 있도록 정리해드립니다.

2. 데이터 저장 — 어디에, 어떻게 보관됩니까

저장 위치	Supabase (한국 서울 리전, AWS ap-northeast-2)
저장 시 암호화	AES-256 (PostgreSQL Transparent Data Encryption)
전송 시 암호화	TLS 1.2+ (HTTPS 강제, HSTS preload)
호스팅 인프라	Vercel (icn1 서울 리전) + Supabase (서울 리전)
보관 기간	Solo 90일 · Pro 1년 · Agency 무제한 (사용자 삭제 요청 시 즉시 삭제)
제3자 공유	없음 — 절대 판매·공유하지 않음 (단, AI 분석 시 Google Gemini API 호출은 집계 데이터·개인 식별자 제거 후 전송)

3. 접근 권한 — 누가 데이터를 볼 수 있나

사용자 간 격리 (RLS)

Supabase의 Row Level Security로 사용자별 데이터가 데이터베이스 레벨에서 격리됩니다. A 사용자가 B 사용자의 광고 데이터·AI 분석 결과·공유 링크 등을 조회하는 것은 기술적으로 불가능합니다.

토큰 보관

Meta OAuth 액세스 토큰은 httpOnly + Secure 쿠키로 저장돼 JavaScript로 읽을 수 없습니다. XSS 공격이 발생해도 토큰 탈취 불가. 60일마다 자동 만료되며, 사용자가 로그아웃하면 즉시 삭제됩니다.

Adsight 직원 접근

애드사이트 직원은 운영 필수 상황(예: 사용자가 직접 문의해 트러블슈팅 요청한 경우)에만 데이터에 접근하며, 모든 접근은 Supabase audit log에 기록됩니다. 직원의 데이터 접근은 최소 권한 원칙에 따라 필요한 사용자·필요한 테이블에만 제한됩니다.

4. 연동 로그 — 무엇이 기록되나

다음 이벤트는 사용자별 메타데이터(user_metadata)에 기록됩니다:

Meta 광고 계정 연결 시각 + Paddle customer ID
광고 계정 변경 / 해제 이력
플랜 변경 / 결제 / 해지 이력
AI 분석 호출 카운트 (월간 사용량 추적용)
로그인 IP / User-Agent (보안 이상 탐지용 — 60일 후 자동 삭제)

본인의 로그 열람·삭제 요청은 dan@growthcompany.kr으로 보내주시면 영업일 기준 3일 안에 처리해드립니다.

5. 권한 해제 — 1-클릭으로 가능합니다

방법 1: Adsight 내부 (가장 빠름)

대시보드 좌측 사이드바 → 광고 계정 변경 클릭
해제할 계정 옆 ✕ → 즉시 분리
전체 로그아웃: 사용자 카드 → 로그아웃 → 모든 토큰 즉시 삭제

방법 2: Meta Business Manager 에서 직접 해제

Meta Business Manager 접속 → 설정 → 비즈니스 통합
Adsight 찾기 → 제거 클릭
Meta가 토큰을 즉시 무효화 → 애드사이트도 데이터 접근 불가

완전 계정 삭제 요청

저장된 모든 데이터(가입 정보·광고 데이터·AI 분석 결과·공유 링크)를 영구 삭제하고 싶다면:

https://adsight.co.kr/api/data-deletion 페이지에서 직접 요청
또는 dan@growthcompany.kr로 이메일
요청 접수 후 영업일 기준 3일 안에 모든 데이터 삭제 완료

6. 대행사·다계정 운영자를 위한 안내

여러 광고주 계정을 대신 운영하는 대행사·인하우스 팀의 경우:

Agency 플랜에서 동시 10개 광고 계정 연결 (+ add-on $15/계정)
공유 링크 권한 격리 — 조회자는 광고 데이터만 볼 수 있고 AI 분석·계정 변경·다른 계정 조회는 불가
공유 링크에 비밀번호 + 만료일 설정 가능
SSO 및 클라이언트별 권한 격리 (Agency 플랜 로드맵)
화이트라벨 PDF 보고서로 자사 도메인 + 로고 적용 후 클라이언트 전달

기업 전용 보안 요건(SOC 2, ISO 27001, 별도 DPA 등)이 필요한 경우 dan@growthcompany.kr 또는 카카오톡 상담으로 문의해주세요.

🛡️ 보안 취약점 신고

애드사이트에서 보안 취약점을 발견하시면 공개 채널 대신 dan@growthcompany.kr로 직접 알려주세요. 모든 신고는 영업일 기준 48시간 안에 confirm 받고, 책임 있는 공개(responsible disclosure) 절차에 따라 처리됩니다.

주식회사 그로스컴퍼니 · 대표 구양일 · 사업자등록번호 374-81-02214

경기도 안양시 동안구 흥안대로427번길 57-2, 1111호

대표 이메일: dan@growthcompany.kr · 전화: 070-8018-6875

관련 문서: 개인정보처리방침 · 이용약관 · 환불 정책

애드사이트는 어떻게광고 데이터를 안전하게 다룹니까?