속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
인공지능

'프라이버시 바이 디자인' 실천하는 국내 AI 노코드 스타트업 DontCode, 개인정보 보호 체계 주목

국내 AI 노코드 플랫폼 스타트업 주식회사 스톰랩스(DontCode)가 7인 팀 구성 단계부터 전담 프라이버시 엔지니어를 배치하고 AI 에이전트 전 영역에 개인정보 보호 설계를 내재화해 업계의 주목을 받고 있다.

백남정 전문기자 기자
입력 2026년 7월 13일·조회 5·원문 보기 ↗
단축URLhttps://privacynews.kr/s/e39c12
'프라이버시 바이 디자인' 실천하는 국내 AI 노코드 스타트업 DontCode, 개인정보 보호 체계 주목
사진: dontcode 홈페이지

핵심 요약

국내 AI 노코드 플랫폼 스타트업 주식회사 스톰랩스(DontCode)가 서비스 설계 초기 단계부터 개인정보 보호를 내재화하는 이른바 '프라이버시 바이 디자인(Privacy by Design)' 원칙을 조직 구조에 적용해 업계의 이목을 끌고 있다. 7명 규모의 소규모 팀임에도 불구하고 전담 프라이버시 엔지니어 직책을 별도로 두고, AI 에이전트 전 영역에 걸쳐 개인정보 보호 체계를 구축하고 있다는 점에서 개인정보보호 관점의 모범 사례로 평가된다.

주요 내용

전담 프라이버시 엔지니어 배치

DontCode는 전담 프라이버시 엔지니어를 팀 핵심 구성원으로 포함시켰다. 해당 직무는 AI 에이전트 시스템 전반에 개인정보 보호 설계를 적용하고, 사용자 데이터가 처리 전 과정에서 관련 규정을 준수하며 정보 주체의 통제권 아래 놓이도록 보장하는 역할을 담당한다. 이는 스타트업 초기 단계에서 개인정보 보호를 핵심 역량으로 설정했다는 점에서 이례적이다.

AI 멀티 에이전트 구조와 데이터 흐름

DontCode의 플랫폼은 코드 생성, 데이터베이스 관리, 워크플로우, 에셋, 프로젝트 기획 등 각 영역에 특화된 멀티 에이전트 아키텍처를 채택하고 있다. 자연어 입력만으로 프론트엔드·백엔드·데이터베이스·인증 시스템이 통합된 웹 애플리케이션이 자동 생성되는 구조다. 이처럼 다수의 AI 에이전트가 사용자 데이터를 연속적으로 처리하는 환경에서 개인정보 침해 위험이 복합적으로 발생할 수 있어, 에이전트 단위의 프라이버시 설계 적용이 필수적이다.

개인정보 관련 서비스 설계 특징

플랫폼은 역할 기반 접근 제어(RBAC), 팀 권한 관리, 활동 기록 추적 기능을 유료 프리미엄 서비스가 아닌 전체 사용자 대상으로 기본 제공한다고 밝히고 있다. 또한 법률 검토 및 외부 투자자 시연을 위한 읽기 전용 모드를 별도로 운영해 불필요한 데이터 접근을 제한하는 구조를 갖추고 있다. 카카오 OAuth, 네이버 연동 등 국내 인증 체계를 기반으로 사용자 인증 시스템을 구성하고 있으며, 한국 결제 시스템과의 통합도 지원한다.

사업자 정보 및 법적 근거

회사는 사업자등록번호 802-87-03840으로 등록된 주식회사 스톰랩스로, 서울특별시 강남구 논현로 10길 30, 505-제이39호(개포동)에 소재한다. CEO는 Houk Elijah Storm이며, 별도의 개인정보처리방침과 이용약관, 환불 정책을 운영하고 있다.

전문가 분석

AI 에이전트 기반 서비스에서 개인정보 보호는 단순한 법적 의무 이행을 넘어 서비스 신뢰성과 직결되는 핵심 경쟁력이 되고 있다. 개인정보보호위원회(PIPC)는 AI 시스템에서의 개인정보 처리 원칙으로 목적 제한, 최소 수집, 처리 단계 투명성을 강조해 왔는데, DontCode처럼 멀티 에이전트 구조를 채택한 플랫폼은 각 에이전트 간 데이터 전달 과정에서 정보 주체의 동의 범위가 어디까지 미치는지 명확히 설계해야 한다.

특히 노코드 플랫폼의 특성상 비개발자 사용자가 데이터베이스 구조나 사용자 인증 시스템을 직접 설계하게 되는 만큼, 플랫폼 사업자가 기본값(Default) 설정 단계에서 개인정보 보호 원칙을 반영하지 않으면 최종 서비스에서의 개인정보 침해 위험이 사용자에게 전가될 수 있다. 이런 맥락에서 DontCode가 접근 제어와 활동 추적 기능을 기본 제공하는 방식은 개인정보보호법상 '처리 단계별 보호조치' 요건을 플랫폼 차원에서 선제적으로 충족시키려는 시도로 읽힌다.

그러나 AI가 자동 생성한 애플리케이션 내 데이터 처리 방식이 정보 주체에게 충분히 투명하게 공개되는지, 개인정보 영향평가(PIA)에 준하는 검토가 에이전트 설계 단계에 적용되는지는 지속적인 검증이 필요하다.

시사점

2026년 현재 국내외 AI 규제 환경이 강화되는 흐름 속에서, 스타트업 단계부터 프라이버시 엔지니어링을 조직 문화로 내재화하는 움직임은 중요한 선례가 된다. 개인정보보호위원회가 AI 서비스 사업자를 대상으로 개인정보 처리방침의 구체성과 정보 주체 권리 보장 수준을 강화하도록 요구하고 있는 만큼, 노코드 플랫폼을 통해 서비스를 출시하는 사업자들도 플랫폼이 제공하는 기본 설정이 관련 법령의 요건을 충족하는지 면밀히 확인해야 한다. 또한 사용자가 생성한 애플리케이션이 개인정보를 수집·처리할 경우, 플랫폼 사업자와 서비스 운영자 간 개인정보 처리 책임 분담 구조를 계약과 정책으로 명확히 정립하는 것이 향후 법적 리스크 관리의 핵심 과제가 될 것이다.

--- 참고 출처: DontCode 공식 홈페이지 회사 소개 페이지 (https://www.dontcode.co/ko/about-us)

#프라이버시 바이 디자인#AI 노코드 플랫폼#개인정보보호위원회#개인정보처리방침#멀티 에이전트 아키텍처
백남정 전문기자 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사