AuraX Bmax — 개인정보처리방침

최종 수정일: 2026년 5월 24일 | 시행일: 2026년 5월 24일 | 버전: 2.5.9

1. 개요

AuraX Bmax는 Gemini AI를 활용한 블로그 콘텐츠 자동 생성, Google Flow 이미지 자동 생성, 네이버 블로그 자동 포스팅 기능을 제공하는 Chrome 확장 프로그램입니다.

본 방침은 확장 프로그램이 수집·처리·보관·공유하는 모든 데이터의 종류, 저장 위치, 전송 여부, 사용 목적, 보유 기간 및 사용자 권리를 투명하게 설명합니다.

핵심 원칙: AuraX Bmax는 서비스 운영에 필요한 최소한의 정보만 수집하며, 광고·마케팅·제3자 판매 목적으로 데이터를 수집하거나 공유하지 않습니다. 사용자의 모든 작업은 본인 계정 범위 내에서만 이루어집니다.

2. 수집하는 데이터와 저장 위치

아래 배지는 각 데이터의 저장 위치를 나타냅니다: 기기 로컬 사용자 기기에만 저장 AuraX 서버 AuraX 자체 서버에 저장 제3자 전송 외부 서비스로 전송

데이터 항목	수집 방법	저장 위치	용도
Google 계정 정보 (이름, 이메일, 프로필 사진 URL)	Google OAuth 2.0 로그인 시 자동 수집	AuraX 서버	사용자 인증 및 베타 프로그램 승인 여부 확인
Gemini API 키	사용자가 직접 발급받아 설정 화면에 입력	기기 로컬 chrome.storage.local	Gemini API 호출 시에만 사용. AuraX 서버로 전송 안 함.
네이버 로그인 ID	사용자가 설정 화면에 직접 입력	기기 로컬 chrome.storage.sync	네이버 블로그 식별. AuraX 서버로 전송 안 함.
네이버 로그인 비밀번호	사용자가 설정 화면에 직접 입력 (선택사항)	기기 로컬 chrome.storage.local (AES-GCM 256bit 암호화)	네이버 로그인 세션이 만료된 경우에만 자동 로그인 폴백용. 평소 네이버에 로그인된 상태에서는 사용되지 않음. 외부 전송 없음.
네이버 블로그 ID	사용자가 설정 화면에 직접 입력	기기 로컬 chrome.storage.sync	포스팅 대상 블로그 식별. AuraX 서버로 전송 안 함.
Cloudflare Worker URL	사용자가 설정 화면에 직접 입력	기기 로컬 chrome.storage.sync	인증 서버 주소 저장. AuraX 서버로 전송 안 함.
블로그 포스팅 키워드	사용자가 메인 화면에 직접 입력	세션 중에만 임시 사용 (저장 안 함)	제3자 전송 Google Gemini API로 전달 — 콘텐츠 생성 목적. AuraX 서버에 저장 안 함.
블로그 작성 지침 (나만의 지침)	사용자가 설정 화면에 직접 입력 (선택사항)	기기 로컬 chrome.storage.local	Gemini 프롬프트 커스터마이징. 사용자 기기에만 저장.
페르소나 설정 (필명, 연령대, 직업, 글투, 블로그 컨셉)	사용자가 직접 입력하거나 AI 자동 생성 (블로그 글 분석)	기기 로컬 chrome.storage.local + sync	AI 글쓰기 톤 일관성 유지. 외부 전송 없음.
사용자 본인 블로그 게시물 캐시 (본인이 발행한 글의 제목·본문 텍스트)	사용자가 '블로그 DB 동기화' 버튼 클릭 시 본인 블로그에서 수집	기기 로컬 IndexedDB	중복 글 검출 및 '관련 글' 추천. 외부로 전송하지 않음.
생성된 콘텐츠 (제목, 본문, 태그, 이미지)	Gemini API 및 Google Flow가 자동 생성	세션 중 임시 + 사용자 다운로드 폴더 (이미지)	네이버 블로그 포스팅. AuraX 서버에 저장 안 함.
익명 사용 통계 (텔레메트리) 이벤트 타입, 시간대(KST), 이미지 간격, 프리셋 키, 에러 타입	이미지 생성·발행 등 핵심 이벤트 발생 시 자동 전송	AuraX 서버 사용자 ID는 SHA-256 + salt로 해시화하여 익명화	서비스 안정성 분석 및 시간대별 최적 사용 패턴 도출. 개인 식별 정보 일체 미포함.

비밀번호 보호 강화: v2.5.1부터 네이버 로그인 비밀번호는 AES-GCM 256bit 알고리즘으로 암호화되어 저장됩니다. 복호화 키는 사용자 기기 내부(chrome.storage.local)에만 존재하며 chrome.storage.sync로 동기화되지 않습니다. 평문 비밀번호는 자동 로그인 실행 직전에만 메모리에 일시적으로 존재하며 사용 후 즉시 폐기됩니다. 외부 서버로 전송되지 않습니다.

3. 사용 권한과 필요 이유

Chrome Web Store 정책에 따라, 요청하는 각 권한의 사용 목적을 아래에 명시합니다. 모든 권한은 확장 프로그램의 단일 목적(사용자 본인 네이버 블로그 작성 보조)을 달성하기 위해서만 사용됩니다.

identity: Google OAuth 2.0 로그인 처리. 베타 프로그램 승인 사용자 여부 확인. OAuth 스코프는 userinfo.email + userinfo.profile 두 가지로 최소화되어 있습니다 (Drive·Gmail 등 접근 안 함).
sidePanel: 확장 프로그램의 사이드패널 UI 표시. 사용자가 아이콘을 클릭한 경우에만 열립니다.
storage: chrome.storage.local · chrome.storage.sync에 사용자 설정(API 키, 블로그 ID, 작성 지침 등)을 안전하게 저장. 외부 서버로 전송하지 않습니다.
scripting: host_permissions에 선언된 도메인(labs.google, blog.naver.com, nid.naver.com 등)에만 콘텐츠 스크립트를 주입. 외부 도메인에는 주입하지 않습니다. 주입되는 모든 코드는 확장 프로그램 패키지에 포함되어 있으며, 원격 코드를 가져오지 않습니다.
downloads: Google Flow에서 사용자가 생성을 요청한 이미지를 사용자 기본 다운로드 폴더에 저장. 사용자가 작업을 시작한 경우에만 다운로드되며, 백그라운드·임의 다운로드는 발생하지 않습니다.
clipboardWrite: 네이버 SmartEditor 5는 Slate.js + iframe + contenteditable 구조로 일반적인 DOM 속성 할당(element.value·innerHTML)을 통한 콘텐츠 입력을 거부합니다. 사용자가 발행 작업을 시작한 시점에만 생성된 HTML을 임시로 클립보드에 쓰고 네이버 에디터에 붙여넣기 합니다. 클립보드를 읽거나 다른 데이터를 클립보드에 쓰지 않습니다.
notifications: 콘텐츠 생성 완료, 이미지 생성 완료, 포스팅 성공, 오류 발생 등 사용자가 시작한 장시간 작업의 진행 상황을 알림으로 표시. 광고·마케팅 알림은 보내지 않습니다.
offscreen: chrome.offscreen.createDocument로 백그라운드 문서를 생성하여 navigator.clipboard.write와 ClipboardItem API로 HTML 형식 콘텐츠를 클립보드에 씁니다. Service Worker는 DOM이나 navigator.clipboard.write에 직접 접근할 수 없어 offscreen document가 유일한 방법입니다. 네이버 SmartEditor에 서식이 포함된 콘텐츠(제목, 본문 색상, 단락 구조)를 정확히 붙여넣기 위해 필수입니다.
management: 사용자가 사이드패널의 🩺(환경 진단) 버튼을 클릭한 경우에만 chrome.management.getAll()을 읽기 전용으로 호출합니다. 다른 확장 프로그램의 활성화·비활성화·설치·제거는 절대 수행하지 않습니다. 우리와 동일 도메인(labs.google, blog.naver.com)을 자동화하는 다른 확장 프로그램(예: FlowRun)이 동시에 활성화된 경우 DOM 조작 충돌로 발행 워크플로우가 무음 실패하는 문제가 발생합니다. 충돌 가능성이 있는 확장을 사전 감지하여 사용자에게 명확한 경고를 표시하기 위한 진단 목적에만 사용됩니다. 확장 이름·ID는 외부 서버로 전송되지 않으며, 진단 세션 종료 즉시 메모리에서 폐기됩니다.
debugger: 네이버 SmartEditor 5(Slate.js)와 Google Flow는 dispatchEvent로 생성한 합성 이벤트(isTrusted=false)를 거부합니다. 실제 사용자 입력을 시뮬레이션하는 유일한 방법은 Chrome DevTools Protocol(CDP)입니다. 본 확장 프로그램은 chrome.debugger.attach(CDP 1.3)를 사용하며, 아래 4가지 메서드만 호출합니다:
- Input.dispatchKeyEvent — 사용자 키 입력 시뮬레이션
- Input.dispatchMouseEvent — 사용자 클릭 시뮬레이션
- Page.handleJavaScriptDialog — Google Flow가 작업 중 표시하는 "페이지를 떠나시겠습니까?" 다이얼로그 자동 처리
- Page.setInterceptFileChooserDialog — 이미지 업로드 시 OS 파일 다이얼로그 차단
CDP는 host_permissions에 선언된 탭(labs.google, blog.naver.com)에만 attach되며 작업 완료 즉시 chrome.debugger.detach로 분리됩니다. CDP 사용 중에는 Chrome 브라우저 상단에 "AuraX Bmax이(가) 이 브라우저를 디버깅 중입니다" 배너가 항상 표시되므로 사용자는 디버거 활성 상태를 즉시 인지할 수 있습니다. 본 권한은 네트워크 인터셉트, 외부 도메인 페이지 조작, 데이터 유출, 인증 우회, 광고 표시 등 어떠한 악의적 목적에도 사용되지 않습니다.

4. 호스트 권한 (Host Permissions)

확장 프로그램은 아래 도메인에서만 동작합니다. 외부 도메인에서는 어떠한 작업도 수행하지 않습니다.

https://labs.google/* — Google Flow 이미지 생성 서비스. 사용자가 입력한 프롬프트 전송 및 생성된 이미지 수집
https://flow.google/* — Google Flow 리다이렉트 도메인
https://*.naver.com/* — 사용자 본인의 네이버 블로그 (blog.naver.com, m.blog.naver.com, section.blog.naver.com, nid.naver.com 포함). 에디터 붙여넣기, 본인 글 캐시 수집, 카테고리 조회, 다국어 다이얼로그 자동 처리
https://*.naver.net/* — 네이버 정적 리소스 (이미지 업로드 시 필요)
https://*.googleusercontent.com/* — Google CDN. 생성된 이미지 다운로드 경로
https://*.gstatic.com/* — Google Flow 정상 동작에 필요한 Google 정적 리소스
https://generativelanguage.googleapis.com/* — Google Gemini API 엔드포인트. 사용자 본인이 발급받은 API 키로 호출

5. 제3자 서비스 및 데이터 전송

AuraX Bmax는 수집한 정보를 제3자에게 판매하거나 광고·마케팅 목적으로 제공하지 않습니다. 또한 신용도 판단·대출 목적으로 데이터를 사용하거나 전송하지 않습니다.

서비스 기능 수행을 위해 다음 외부 서비스로 데이터가 전송됩니다:

AuraX 인증 서버 (Cloudflare Workers): Google 계정 정보(이름, 이메일)를 전송하여 베타 프로그램 승인 사용자인지 확인합니다. AuraX 자체 서버이며 제3자가 아닙니다.
AuraX 통계 서버 (Cloudflare Workers): 익명화된 이벤트 데이터(SHA-256 해시 사용자 식별자, 이벤트 타입, 시간대, 이미지 간격 등)가 자동 전송됩니다. 개인 식별 정보는 일체 포함되지 않으며, 서비스 안정성 분석에만 사용됩니다.
Google Gemini API: 사용자가 입력한 키워드와 글쓰기 요청이 전송되어 블로그 콘텐츠가 생성됩니다. Google 개인정보처리방침 적용.
Google Flow (labs.google): 이미지 생성을 위한 프롬프트가 전송됩니다. Google 개인정보처리방침 적용.
네이버 블로그 (blog.naver.com): 사용자가 발행을 명시적으로 실행한 경우에만 생성된 콘텐츠(제목, 본문, 이미지, 태그)가 사용자 본인의 네이버 블로그로 전송됩니다. 네이버 개인정보처리방침 적용.
법령에 따른 제공: 관련 법령에 의한 의무가 있는 경우에만 해당 기관에 제공될 수 있습니다.

6. 원격 코드(Remote Code) 미사용

본 확장 프로그램은 원격 코드를 사용하지 않습니다. 모든 JavaScript 코드는 확장 프로그램 패키지 내부에 포함되어 있으며, 외부 URL에서 스크립트를 불러오거나 eval() · new Function() · 동적 import()로 외부 코드를 실행하지 않습니다.

7. 개인정보 보유 및 이용 기간

Google 계정 정보 (AuraX 서버): 사용자가 탈퇴 또는 삭제 요청 시 즉시 삭제합니다.
익명 텔레메트리 (AuraX 통계 서버): 개인 식별이 불가능한 익명 해시 형태로만 저장되며, 90일 후 자동 폐기됩니다.
기기 로컬 데이터: 사용자가 Chrome에서 확장 프로그램을 제거하거나 설정 화면에서 직접 삭제하면 즉시 삭제됩니다.
본인 블로그 캐시 (IndexedDB): 확장 프로그램의 '데이터 초기화' 또는 제거 시 즉시 삭제됩니다.
세션 임시 데이터 (키워드, 생성 콘텐츠): 작업 완료 즉시 폐기되며 어디에도 영구 저장되지 않습니다.

8. 개인정보 보호 조치

전송 암호화: AuraX 서버와의 모든 통신은 HTTPS(TLS)로 암호화됩니다.
비밀번호 암호화 저장: 네이버 로그인 비밀번호는 Web Crypto API의 AES-GCM 256bit 알고리즘으로 암호화되어 저장됩니다. 복호화 키는 사용자 기기 내부에만 존재합니다.
익명 통계: 사용 통계는 SHA-256 + 솔트 해시로 익명화되어 개인 식별이 불가능합니다.
로컬 격리: Gemini API 키, 네이버 계정 정보 등 민감 정보는 사용자 기기의 브라우저 로컬 스토리지에만 저장되며 외부로 전송되지 않습니다.
API 키 보호: Gemini API 키는 HTTP 헤더(x-goog-api-key)를 통해 전달되며, URL에 노출되지 않습니다.
최소 권한 원칙: 서비스 운영에 반드시 필요한 권한만 요청합니다.
접근 제한: AuraX 서버에 저장된 정보는 관리자만 접근할 수 있으며 사용자 인증 목적으로만 사용합니다.
디버거 가시성: chrome.debugger 권한 사용 시 Chrome이 항상 디버깅 배너를 표시하므로 사용자는 활성 상태를 즉시 확인할 수 있습니다.

9. 사용자 권리

사용자는 아래 권리를 행사할 수 있으며, 요청 시 7일 이내에 처리합니다:

열람: AuraX 서버에 저장된 본인 데이터 목록 확인
삭제: 계정 탈퇴 및 저장된 모든 데이터 삭제
수정: 저장된 정보의 오류 수정
처리 정지: 특정 데이터 처리 중단 요청 (텔레메트리 옵트아웃 포함)
로컬 데이터 직접 삭제: 설정 화면에서 API 키·네이버 계정 정보를 직접 삭제하거나, 확장 프로그램 제거로 즉시 삭제

10. 아동 개인정보 보호

AuraX Bmax는 만 14세 미만 아동의 개인정보를 의도적으로 수집하지 않습니다. 아동의 개인정보 수집이 확인될 경우 즉시 삭제 조치합니다.

11. 방침 변경 안내

본 방침은 법령 변경 또는 서비스 업데이트에 따라 개정될 수 있습니다. 중요한 변경사항은 이 페이지에 게시하며 버전과 수정일을 함께 표시합니다.

12. 변경 이력

v2.5.9 (2026-05-24): offscreen 권한 추가 (서식 클립보드 쓰기), management 권한 추가 (충돌 확장 진단), 비밀번호 AES-GCM 암호화 저장, 익명 텔레메트리 추가, 호스트 권한 정리 (*.naver.com · *.naver.net 통합)
v1.11.13 (2026-05-12): 초기 공개 버전

13. 문의

개인정보 관련 문의, 열람·삭제·수정 요청은 아래 경로로 연락해 주세요. 요청 접수 후 7일 이내에 처리합니다.

이메일: smorky850612@gmail.com
GitHub Issues