Klawn은 무엇인가요?

Klawn은 기업을 위한 AI 에이전트 플랫폼입니다. 최신 AI 모델 기반 에이전트 루프, 한국어 PII 마스킹, 6단계 RBAC, 불변 감사 추적, AI 기본법 워터마킹 등 엔터프라이즈에 필요한 보안과 관리 기능을 제공합니다.

Klawn은 어떻게 설치하나요?

npx create-klawn 명령어 한 줄로 설치할 수 있습니다. 7단계 마법사가 라이선스 인증부터 배포까지 안내합니다. 전담 엔지니어가 방문하여 설치를 도와드립니다.

Klawn은 어떤 보안 기능을 제공하나요?

주민등록번호, 전화번호, 카드번호 등 10가지 한국형 개인정보 실시간 마스킹, 6단계 역할 기반 접근 제어(RBAC + ABAC), SAML/OIDC SSO, 불변 해시 체인 감사 로그, AI 기본법 워터마킹, 프롬프트 인젝션 탐지를 제공합니다.

Klawn과 범용 AI의 차이점은 무엇인가요?

Klawn은 엔터프라이즈 전용으로, 범용 AI에 없는 온프레미스 배포, PII 마스킹, 6단계 RBAC, 불변 감사 추적, PIPA/AI 기본법 컴플라이언스를 제공합니다. 데이터가 조직의 보안 경계 안에 머무릅니다.

Klawn의 가격은 어떻게 되나요?

라이선스 및 가격에 대해서는 FlowOS에 문의하시면 됩니다. 기업 규모와 요구사항에 맞는 맞춤 견적을 제공합니다.

어떤 배포 방식을 지원하나요?

전용 클라우드, 온프레미스, 매니지드 서비스 등 다양한 배포 방식을 지원합니다. 에어갭(폐쇄망) 환경도 지원됩니다.

어떤 채널과 연동되나요?

Slack(Socket Mode), JANDI(웹훅), REST Webhook을 지원합니다. ERP 연동으로는 더존(송장 조회, 전표 생성, 직원 검색)과 위하고(업무 생성, 메시지 전송, 결재 목록)를 제공합니다.

에어갭(폐쇄망) 환경에서 사용할 수 있나요?

네, 에어갭 환경에 배포할 수 있습니다. AI 모델 API 호출만 네트워크 접근이 필요합니다.

개인정보처리방침

시행일: 2026년 3월 20일

버전: 1.0

적용 대상: KLAWN 엔터프라이즈 AI 에이전트 플랫폼

주식회사 KLAWN(이하 "회사")은 「개인정보 보호법」 제30조에 따라 정보주체의 개인정보를 보호하고 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 다음과 같이 개인정보 처리방침을 수립·공개합니다.

제1조 (개인정보의 처리 목적)

회사는 다음의 목적을 위하여 개인정보를 처리합니다. 처리하고 있는 개인정보는 다음의 목적 이외의 용도로는 이용되지 않으며, 이용 목적이 변경되는 경우에는 「개인정보 보호법」 제18조에 따라 별도의 동의를 받는 등 필요한 조치를 이행합니다.

서비스 제공: AI 에이전트 운영, 메시지 라우팅, 도구 실행, 워크플로 자동화
회원 관리: 기업 계정 등록, 본인 확인, SSO(SAML 2.0/OIDC) 인증, 역할 기반 접근 제어(RBAC)
과금 및 정산: 토큰 사용량 추적, 라이선스 좌석 관리, 청구서 생성
보안 및 감사: 감사 추적(audit trail), 침해 탐지, 보안 사고 대응
서비스 개선: 에이전트 성능 분석, 도구 성공률 추적, 품질 평가

제2조 (처리하는 개인정보 항목)

1. 계정 정보

항목	필수/선택	수집 방법
이름, 이메일 주소	필수	회원 등록 또는 SSO 자동 프로비저닝
소속 기업명, 부서	필수	관리자 등록
역할(권한 등급)	필수	관리자 설정
비밀번호(해시 처리됨)	필수	직접 등록 시

2. 서비스 이용 데이터

항목	설명
대화 내용	AI 에이전트와의 메시지(세션 데이터)
도구 실행 로그	파일 I/O, 웹 검색, ERP/그룹웨어 조회 결과
사용량 데이터	API 토큰 소비량, 모델별 호출 횟수, 비용(KRW)
접속 로그	IP 주소, 접속 일시, 브라우저/디바이스 정보

3. 제3자 서비스 연동 시 처리되는 데이터

KLAWN은 기업 고객의 업무 자동화를 위해 다음 외부 서비스와 연동됩니다. 각 커넥터는 기업 관리자의 명시적 설정 및 승인 후에만 활성화되며, 해당 서비스의 데이터에 접근합니다.

Google Workspace 커넥터

서비스	접근 데이터	인증 방식	용도
Google Drive	파일 메타데이터(파일명, 생성일, 공유 설정), 파일 내용(읽기/쓰기)	OAuth 2.0	AI 에이전트가 기업 문서를 검색·요약·분석하고, 보고서를 생성하여 Drive에 저장
Gmail	이메일 제목, 본문, 발신자/수신자, 첨부 파일 메타데이터	OAuth 2.0	AI 에이전트가 이메일을 읽고 요약하거나, 기업 업무 맥락에 맞는 이메일 초안을 작성·발송
Google Calendar	일정 제목, 시간, 참석자, 장소, 설명	OAuth 2.0	AI 에이전트가 일정을 조회·생성·수정하고, 회의 준비 자료를 자동으로 정리

Google Workspace 연동 시 Google API 서비스 이용약관 및 Google의 제한적 사용 요구사항을 준수합니다.
Google로부터 수신한 데이터는 KLAWN AI 에이전트 서비스 제공 목적으로만 사용되며, 광고 목적으로 활용되지 않습니다.

Figma 커넥터

접근 데이터	인증 방식	용도
디자인 파일 메타데이터, 컴포넌트 구조, 코멘트, 버전 이력	API Key / OAuth 2.0	AI 에이전트가 디자인 파일을 분석하여 개발 사양서를 작성하거나, 디자인 리뷰 코멘트를 요약·관리

Figma 데이터는 읽기 전용으로 처리되며, 디자인 파일 원본을 수정하지 않습니다(관리자 설정에 따라 코멘트 작성 가능).
디자인 에셋(이미지, 아이콘)은 KLAWN 서버에 영구 저장되지 않으며, 실시간 API 호출을 통해 처리됩니다.

Notion 커넥터

접근 데이터	인증 방식	용도
워크스페이스 페이지, 데이터베이스, 블록 내용, 코멘트, 사용자 정보	OAuth 2.0 / Internal Integration Token	AI 에이전트가 Notion 문서를 검색·요약하고, 회의록·보고서·업무 기록을 Notion에 자동으로 생성·업데이트

Notion 연동 범위는 기업 관리자가 Integration 설정 시 선택한 페이지/데이터베이스로 제한됩니다.
Notion에 작성되는 콘텐츠에는 AI 생성 워터마크가 포함됩니다(「인공지능기본법」 준수).

기존 한국 엔터프라이즈 커넥터

서비스	접근 데이터	인증 방식	용도
더존 ERP	전표, 세금계산서, 사원 정보, 계정과목	API Key	회계·재무 데이터 조회 및 전표 생성
위하고(Wehago)	업무, 메시지, 전자결재, 캘린더	API Key	그룹웨어 업무 자동화 및 결재 상태 조회
Slack	메시지, 파일, 스레드, 리액션	Bot/App Token	팀 메시징 채널을 통한 AI 에이전트 인터페이스
JANDI	메시지, 파일, 채널	Webhook	한국 메시징 플랫폼을 통한 AI 에이전트 인터페이스

제3조 (개인정보의 처리 및 보유 기간)

회사는 법령에 따른 개인정보 보유·이용 기간 또는 정보주체로부터 개인정보를 수집 시에 동의 받은 개인정보 보유·이용 기간 내에서 개인정보를 처리·보유합니다.

데이터 유형	보유 기간	보유 근거
대화 세션 데이터	서비스 계약 기간 + 90일	서비스 제공 목적
감사 추적 로그	5년 (기본, 기업별 설정 가능)	「전자금융거래법」, 「정보통신망법」
PII 마스킹 토큰 매핑	활성 세션 중에만 (메모리 내)	실시간 처리 목적
과금 기록	5년	「국세기본법」 제26조의2
접속 로그	1년	「통신비밀보호법」
계정 정보	탈퇴 후 30일 이내 파기	서비스 제공 목적

제4조 (개인정보의 제3자 제공)

회사는 정보주체의 개인정보를 제1조에서 명시한 범위 내에서만 처리하며, 다음의 경우를 제외하고는 정보주체의 사전 동의 없이 본래 목적 범위를 초과하여 처리하거나 제3자에게 제공하지 않습니다.

정보주체가 사전에 제3자 제공에 동의한 경우
법률에 특별한 규정이 있는 경우
정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우

LLM 추론 서비스 (외부 처리위탁)

제공받는 자	제공 목적	제공 항목	보유 기간
AI 모델 제공사 (미국)	AI 모델 추론	PII 마스킹 처리된 대화 내용만 전송	API 호출 시에만 (저장하지 않음)
AI 모델 제공사 (글로벌)	AI 모델 추론 (페일오버)	PII 마스킹 처리된 대화 내용만 전송	API 호출 시에만 (저장하지 않음)

중요: 외부 LLM 서비스로 전송되는 모든 데이터는 10종 한국 PII 탐지·마스킹 파이프라인을 거칩니다. 주민등록번호, 전화번호, 사업자등록번호, 신용카드번호, 성명, 여권번호, 운전면허번호, 건강보험번호, 계좌번호, 주소가 불투명 토큰으로 치환된 후에만 전송되며, 식별 가능한 원본 개인정보는 국외로 이전되지 않습니다.

제5조 (개인정보의 안전성 확보 조치)

회사는 「개인정보 보호법」 제29조에 따라 다음과 같은 기술적·관리적·물리적 안전성 확보 조치를 하고 있습니다.

1. 암호화 (Encryption)

적용 범위	암호화 방식
전송 중 (In Transit)	모든 엔드포인트에 TLS 1.2+ 적용. 클라이언트-서버, 서버-LLM, 서버-커넥터 간 모든 통신 암호화
저장 시 (At Rest)	관리형 키를 통한 AES-256 암호화. 모든 데이터 스토리지 전체 적용
감사 로그 무결성	SHA-256 해시 체이닝으로 변조 탐지 가능한 불변 감사 추적
세션 데이터	스토리지 계층에서 자동 암호화

2. 접근 제어

6단계 RBAC: viewer → member → operator → team-admin → enterprise-admin → super-admin
ABAC: 시간대 제한, IP 화이트리스트, 도구별 권한 게이트
SSO 연동: SAML 2.0, OIDC 프로토콜을 통한 기업 IdP 연동
도구 수준 권한: 모든 도구 실행 전 RBAC 검증 수행

3. PII(개인정보) 보호 파이프라인

10종 한국 PII 자동 탐지: 주민등록번호(Mod-11 검증), 전화번호, 사업자등록번호, 신용카드번호(Luhn 알고리즘), 성명, 여권번호, 운전면허번호, 건강보험번호, 계좌번호, 주소
마스킹 아키텍처: LLM 처리 전 PII를 불투명 토큰으로 치환, 응답 시 원본 복원
메모리 제한: 토큰 매핑 10K 상한(LRU), 세션 종료 시 즉시 폐기
프롬프트 인젝션 방어: 8개 공격 카테고리 50+개 패턴 탐지
ReDoS 방지: 모든 정규식 검사에 10K 문자 입력 제한

4. 인프라 보안

컨테이너 격리: 컨테이너 기반 도구 실행, 마운트 화이트리스트, 경로 이탈 방지
네트워크 보안: VPC 프라이빗 서브넷, NAT 게이트웨이, 최소 권한 보안 그룹
웹훅 보안: 타이밍-세이프 토큰 비교, 1MB 요청 본문 제한, 스키마 검증
리소스 제한: 컨테이너별 CPU/메모리 제한으로 자원 소진 방지

5. 감사 및 모니터링

불변 감사 추적: SHA-256 해시 체인으로 연결된 모든 에이전트 행위, 도구 실행, 관리 변경 기록
실시간 모니터링: CloudWatch 대시보드
알림 시스템: SNS를 통한 즉시 알림
30항목 보안 감사: 서버 시작 시 자동 실행

6. 온프레미스 배포 옵션

데이터 주권이 필요한 기업 고객을 위해 온프레미스 및 에어갭(air-gap) 배포를 지원합니다. 온프레미스 배포 시 모든 데이터가 고객 인프라 내에서만 처리·저장되며, 외부 LLM 호출도 고객의 네트워크 정책에 따라 제어됩니다.

제6조 (개인정보의 국외 이전)

이전받는 자	이전 국가	이전 항목	이전 목적	보호 조치
AI 모델 제공사	미국/글로벌	PII 마스킹된 대화 데이터	AI 모델 추론	TLS 1.2+ 암호화 전송, 10종 PII 마스킹, 데이터 비저장
클라우드 인프라 제공사	한국(서울)	암호화된 서비스 데이터	인프라 운영	AES-256 암호화, 네트워크 격리, 키 관리

주 데이터 소재지: 대한민국 서울 리전
국외 이전 원칙: 식별 가능한 원본 개인정보는 국외로 이전되지 않음. PII 마스킹 처리된 데이터만 LLM 추론 목적으로 전송
「개인정보 보호법」 제17조 준수: 표준계약조항(SCC) 또는 동등한 보호 장치 적용
온프레미스 옵션: 데이터 완전 주권이 필요한 경우 고객 인프라 내 자체 배포 가능

제7조 (정보주체의 권리·의무 및 행사 방법)

정보주체는 회사에 대해 언제든지 다음 각 호의 개인정보 보호 관련 권리를 행사할 수 있습니다.

권리	행사 방법	처리 기한
열람 요구 (제35조)	관리자 대시보드 또는 DPO에게 서면 요청	10일 이내
정정·삭제 요구 (제36조)	관리자 대시보드를 통한 직접 수정 또는 DPO에게 요청	10일 이내
처리정지 요구 (제37조)	DPO에게 서면 요청. RBAC 역할 강등으로 즉시 처리 정지 가능	10일 이내
동의 철회	DPO에게 서면 요청	10일 이내
데이터 이동 (제20조)	JSONL 형식 세션 데이터 내보내기	30일 이내

기업 관리자(enterprise-admin)는 관리자 대시보드를 통해 소속 직원의 요청을 직접 처리할 수 있습니다.
권리 행사에 대한 불이익한 처우는 하지 않습니다.

제8조 (개인정보의 파기)

회사는 개인정보 보유 기간의 경과, 처리 목적 달성 등 개인정보가 불필요하게 되었을 때에는 지체없이 해당 개인정보를 파기합니다.

파기 절차

보유 기간 만료 또는 서비스 계약 종료
데이터 파기 대상 확인 및 관리자 통지
세션 데이터, 사용량 데이터, 계정 정보 완전 삭제
감사 추적 로그는 톰스톤(tombstone) 처리(해시 체인 무결성 유지)
파기 완료 서면 확인서 발급

파기 방법

전자적 파일: 복원이 불가능한 방법으로 영구 삭제
기록물·인쇄물: 파쇄 또는 소각
PII 매핑 데이터: 세션 종료 시 메모리에서 즉시 폐기

서비스 계약 종료 시

서비스 계약 종료 후 30일 이내에 모든 개인정보를 삭제하거나 반환하며, 파기 완료를 서면으로 인증합니다.

제9조 (자동 수집 장치의 설치·운영 및 거부)

회사는 웹 기반 관리자 대시보드 운영을 위해 쿠키(Cookie)를 사용할 수 있습니다.

목적: 로그인 세션 유지, 사용자 설정 저장
거부 방법: 브라우저 설정에서 쿠키 저장 거부 가능
쿠키 거부 시 일부 서비스 이용에 제한이 있을 수 있습니다.

제10조 (인공지능(AI) 관련 고지 — 「인공지능기본법」 준수)

KLAWN은 「인공지능기본법」을 준수하여 다음과 같은 투명성 및 안전성 조치를 시행합니다.

1. AI 생성 콘텐츠 식별

AI 에이전트가 생성한 모든 응답에 AI 생성 워터마크를 적용합니다(텍스트, 문서 메타데이터, HTTP 헤더 삼중 워터마크).
생성된 문서(DOCX, PDF)에는 메타데이터에 AI 생성 표시가 포함됩니다.

2. 투명성

사용 중인 AI 모델, 역할, 한계를 고지합니다.
모든 AI 의사결정 과정은 감사 추적을 통해 추적 가능합니다.

3. 위험 관리

PII 보호: 10종 개인정보 탐지·마스킹
보안 경계: 컨테이너 격리, 경로 이탈 방지
인적 감독: 6단계 RBAC, 전자결재 승인 게이트
신뢰도 에스컬레이션: 고위험 거래, PII 관련 질의, 위험 도구 사용 시 자동 에스컬레이션
품질 모니터링: 드리프트 탐지, 품질 스코어링, 부정적 피드백 학습

제11조 (개인정보 보호책임자)

회사는 개인정보 처리에 관한 업무를 총괄해서 책임지고, 개인정보 처리와 관련한 정보주체의 불만 처리 및 피해 구제 등을 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.

개인정보 보호책임자 (DPO)

부서: 보안팀
연락처: official@flowos.work
접수 방법: 이메일 또는 관리자 대시보드 내 문의

기업 고객은 별도의 개인정보보호책임자(DPO)를 지정해야 하며, KLAWN은 enterprise-admin RBAC 역할을 통해 전용 DPO 대시보드 접근을 제공합니다.

제12조 (권익 침해 구제 방법)

개인정보 침해에 대한 신고나 상담이 필요한 경우 아래 기관에 문의하시기 바랍니다.

기관	연락처	웹사이트
개인정보보호위원회	(국번없이) 1833-6972	www.pipc.go.kr
개인정보 침해신고센터	(국번없이) 118	privacy.kisa.or.kr
대검찰청 사이버수사과	(국번없이) 1301	www.spo.go.kr
경찰청 사이버안전국	(국번없이) 182	cyberbureau.police.go.kr

제13조 (개인정보 처리방침의 변경)

이 개인정보 처리방침은 시행일로부터 적용되며, 법령 및 방침에 따른 변경 내용의 추가, 삭제 및 정정이 있는 경우에는 변경사항의 시행 7일 전부터 웹사이트 공지사항을 통하여 고지할 것입니다.

버전: 1.0
시행일: 2026년 3월 20일
최종 수정일: 2026년 3월 20일