보안 백서
Cove 의 온디바이스 개인정보 보호 구현.
이 문서는 컴플라이언스 팀, IT 의사결정자, 회의적인 사용자를 위한 것입니다. Cove 앱이 발생시킬 수 있는 모든 외부 네트워크 호출, 모델 검증 방법, 어떤 데이터가 어디에 보존되는지, 산업 프레임워크(HIPAA / GDPR / ISO 27001)에 대한 입장을 일일이 명시합니다.
개요
Cove 앱은 모든 사용자 콘텐츠(사진, 음성, 전사, 건강 기록, 번역)를 사용자의 Android 기기 안에서 완전히 처리합니다. 어떤 콘텐츠 데이터도 Cove 서버, 제3자 AI 제공업체, 분석 플랫폼에 업로드되지 않습니다. 발생하는 외부 네트워크 호출은: Hugging Face 에서 모델 다운로드, Google Play 결제 확인, 선택적 뉴스레터 구독, 선택적 익명 충돌 보고뿐입니다. 사용자 콘텐츠를 다루는 Cove 관리 서버는 존재하지 않습니다.
외부 네트워크 호출 — 전체 목록
임의의 Cove 앱이 시작할 수 있는 모든 네트워크 호출을 목적별로 나열합니다. 이 목록은 약속이며, 새로운 호출 유형을 추가하려면 앱 버전 변경과 changelog 기록이 필요합니다.
-
Hugging Face 에서 모델 다운로드
- Purpose
- 첫 실행 시 Gemma 4 E2B 가중치 다운로드(약 2.5 GB, Q4_0 양자화 — 무료와 Pro 동일 파일)
- Endpoint
- huggingface.co/litert-community (Google 공식 Gemma 릴리스의 LiteRT-LM 미러)
- Data
- 송신 없음. 수신: 모델 가중치 파일.
- Frequency
- 기기당 1 회 — 동일한 Gemma 4 E2B 파일이 4 개 Cove 앱 간 재사용
- User control
- /sdcard/GemmaApp/models/ 에 모델 파일을 사전 배치하면 건너뛸 수 있음
-
Google Play 결제 확인
- Purpose
- Google Play Billing Library 를 통해 Pro 업그레이드 결제 확인
- Endpoint
- Google Play 서버(Billing Library 가 처리, Cove 거치지 않음)
- Data
- Google 계정 이메일 + 결제 토큰(Google 처리, Cove 서버는 보지 않음 — 존재하지 않음)
- Frequency
- Pro 업그레이드 시도 시, Pro 권한 재확인 시(Play 서비스가 약 매일 조용히 수행)
- User control
- Pro 기능 사용에 필요. 무료 등급은 이 호출을 트리거하지 않음.
-
뉴스레터 구독(옵트인)
- Purpose
- Cove 메일 뉴스레터 구독(covebase.app 사이트에서만)
- Endpoint
- 자체 호스팅 Listmonk 인스턴스(Cove 자체 인프라)
- Data
- 이메일 주소만
- Frequency
- 구독 시도 1 회당 1 회
- User control
- 웹 양식을 통한 완전 옵트인. 앱 자체는 이메일을 수집하지 않음.
-
익명 충돌 보고(옵트인)
- Purpose
- 앱 안정성 문제 진단 지원
- Endpoint
- 자체 호스팅 Sentry 인스턴스(Cove 자체 인프라)
- Data
- 스택 트레이스, Android 버전, 기기 모델, 앱 버전. 사용자 콘텐츠 없음. 전송 전 PII 제거.
- Frequency
- 충돌 발생 시(드물기를 바람)
- User control
- 기본 OFF. 설정 → 개인정보 → 충돌 보고에서 활성화.
모델 무결성 검증
Gemma 4 E2B 모델을 로드하기 전에 Cove 는 해당 모델 버전용으로 앱에 내장된 예상 SHA-256 해시와 대조합니다. 일치하지 않으면 모델이 거부되고 사용자에게 재다운로드를 요청합니다. 이는 (a) 손상된 다운로드와 (b) 파일 시스템 접근 권한이 있는 악의적 행위자의 모델 파일 변조를 방지합니다. 검증되지 않은 가중치는 로드하지 않습니다 — 엄격한 제약입니다.
모델 해시 등록
| Model variant | Approx. size | Hash algorithm | Hash source |
|---|---|---|---|
| Gemma 4 E2B (Q4_0, default) | ~2.5 GB | SHA-256 | embedded + signed |
| Gemma 4 E4B (Q4_0, optional upgrade) | ~3.6 GB | SHA-256 | embedded + signed |
| Gemma 4 E2B (Q4_0, prior release — kept for rollback) | ~2.5 GB | SHA-256 | embedded + signed |
데이터 보존 — 무엇이 어디에 저장되는지
모든 사용자 콘텐츠는 기기에 머뭅니다. 아래는 인벤토리.
-
번역 기록
- Where
- 로컬 SQLite 데이터베이스(Room) /data/data/com.gemmaapp.travellens/databases/
- Retention
- 사용자가 앱 내 기록 화면에서 삭제하거나 앱이 제거될 때까지
- Encryption
- Android 기본 파일 시스템 암호화(Android 6+ 전체 기기 암호화)
-
음성 녹음 + 전사
- Where
- 오디오 파일은 앱 전용 저장소, 전사는 Room DB
- Retention
- 사용자가 앱 내 라이브러리에서 삭제하거나 앱이 제거될 때까지
- Encryption
- Android 기본 암호화
-
사진 분석 + 기록
- Where
- 로컬 SQLite /data/data/com.gemmaapp.photolens/databases/
- Retention
- 사용자 삭제 또는 앱 제거까지. 원본 사진은 사용자가 명시적으로 저장한 경우에만 저장.
- Encryption
- Android 기본 암호화
-
건강 일지 항목
- Where
- 로컬 SQLite /data/data/com.gemmaapp.healthlens/databases/, Android Keystore 파생 키로 AES-256 정적 암호화
- Retention
- 사용자 삭제 또는 앱 제거까지. SOS 관련 항목은 어디로도 동기화되지 않음.
- Encryption
- AES-256-GCM, 키는 Android Keystore 에 봉인(기기 기본을 초월한 추가 계층 — 건강 데이터에는 추가 계층이 정당)
컴플라이언스 입장
우리는 작은 독립 스튜디오이며 Cove 는 소비자용 소프트웨어입니다. 보유하지 않은 인증을 주장하지 않습니다. 자주 문의받는 프레임워크에 대한 솔직한 입장은 아래와 같습니다.
-
HIPAA(미국 의료)
Business Associate 가 아닙니다. Cove Health 는 HIPAA 적용 시스템이 아닙니다. 그러나 온디바이스 설계로 인해 Cove 에 받아쓴 환자 데이터는 기기를 떠나지 않습니다 — 소속 조직 정책이 이를 허용하는지는 사용자와 컴플라이언스 팀 간의 문제입니다.
-
GDPR(EU 개인정보)
설계상 데이터 최소화. 콘텐츠 데이터를 수집하지 않습니다. 처리되는 개인 데이터는: 선택적 이메일(뉴스레터), 선택적 충돌 보고(PII 제거), Google Play 결제 기록(Google 이 별도 처리자로 처리)뿐입니다. 삭제권: 앱 제거 + 뉴스레터 구독 해지(원클릭).
-
ISO 27001
미인증. 작은 독립 스튜디오는 ISO 인증 예산이 거의 없습니다 — $3.99 소비자 앱에는 적합하지 않습니다. 이 문서에 설명된 기술 통제는 ISO 27001 이 다루는 위협의 대부분을 커버합니다.
-
SOC 2
미인증. ISO 27001 과 동일한 이유. 사용자 콘텐츠의 클라우드 서비스를 운영하지 않으므로 SOC 2 범위의 대부분이 제거됩니다.
취약점 공개
보안 문제를 발견하시면 [email protected] ([email protected] 의 별칭이지만 이 주소를 사용하면 보안 보고로 라우팅됩니다)으로 메일 주세요. 약속: 영업일 3 일 이내 수령 확인, 14 일 이내 조사, changelog 에 보고자 명시(공개를 원할 경우). 버그 바운티 프로그램은 아직 운영하지 않습니다 — 너무 초기 — 그러나 유효한 보고에는 감사의 표시로 Cove Pro 키를 보내드립니다.
컴플라이언스 / 법무 팀의 질문
조직이 Cove 를 직원 사용을 위해 평가 중이고 보다 자세한 평가(서명된 설문지, 보안 정책 검토)가 필요하다면 구체적인 요구사항을 [email protected] 으로 보내주세요.