프라이버시 & 보안

OV는 로컬 우선(local-first) 입니다. 텔레메트리 없음, 분석 없음, 노트 내용을 서버로 보내지 않음. 데이터는 당신의 vault 폴더에, API 키는 OS 키체인에, 크래시 덤프는 당신의 디스크에.

외부 통신은 두 가지뿐

무엇을	언제	왜
OpenAI API 호출	AI Copilot 사용 시에만	당신이 명시적으로 메시지를 보낼 때
GitHub Releases 확인	시작 시 1회 + 6시간마다	새 OV 버전 알림

그 외에 OV는 인터넷에 접속하지 않습니다.

데이터	위치
노트 (`.md` 파일)	당신의 vault 폴더 (`~/Documents/OV/` 기본)
첨부 파일	`<vault>/.attachments/`
API 키	OS 키체인 (macOS: Keychain, Windows: DPAPI, Linux: libsecret)
채팅 히스토리	OS 키체인 (암호화)
앱 설정	Electron `userData/` (테마, 사이드바 너비 등 — 노트 내용 아님)
크래시 덤프	`userData/Crashpad/` (로컬에만)

설정에서 활성화하면 OV가 매번 시작할 때 비밀번호를 요구합니다. 평문 비밀번호는 메모리에만 존재합니다.

특정 노트를 AES-GCM-256으로 암호화할 수 있습니다.

암호화된 노트는 .md 파일 안에 base64 ciphertext + frontmatter로 저장됩니다 (Obsidian으로도 열리되 내용은 보이지 않음).

OpenAI 키는 Electron의 safeStorage API로 OS 키체인에 암호화 저장됩니다.

평문으로 디스크에 쓰이지 않습니다.

모든 파일 I/O는 assertVaultRoot + safeJoin 헬퍼를 거칩니다 (15곳 적용). ../, 절대경로, symlink escape를 막습니다.

노트 저장은 tmp → fsync → rename 패턴. 도중에 크래시나도 부분 저장된 파일이 남지 않습니다.

당신이 OV에서 편집하는 도중 외부(Obsidian, 다른 컴퓨터)에서 같은 노트를 수정하면, OV가 감지해서 충돌 모달을 띄웁니다. 데이터를 덮어쓰지 않습니다.

script-src 'self'
connect-src 'self' ws: wss:

스크립트는 OV 번들에서만, 네트워크는 self + 명시적 외부 호출(OpenAI, GitHub)만.

iCloud 동기화 — vault를 iCloud Drive에 두면 데스크탑과 모바일이 같은 노트를 봅니다. 동기화는 당신의 iCloud를 통해서만 이뤄지고 OV 서버를 거치지 않아요 (Apple의 iCloud 정책이 적용됩니다).
모바일 키 저장 — OpenAI 키는 iOS Keychain / Android Keystore에 암호화 저장됩니다.
온디바이스 AI — iPhone에서는 Apple Intelligence가 기기 안에서 동작해, 요약·할 일 제안이 네트워크 없이 처리됩니다.

OV는 당신의 개인 데이터를 수집하지 않으므로 GDPR/CCPA의 "데이터 처리자" 의무가 발생하지 않습니다. AI 사용 시 데이터는 OpenAI로 직접 전송되며, OpenAI의 정책이 적용됩니다.

모든 코드는 GitHub에 공개되어 있습니다. 보안 이슈 발견 시 이슈를 제보해주세요.

관련 페이지: 기능 · FAQ · 전체 문서