제14조(공공시스템운영기관의 안전조치 기준 적용) ① 다음 각 호의 어느 하나에 해당하는 개인정보처리시스템 중에서 개인정보보호위원회(이하 “보호위원회”라 한다)가 지정하는 개인정보처리시스템(이하 “공공시스템”이라 한다)을 운영하는 공공기관(이하 “공공시스템 운영기관”이라 한다)은 제2장의 개인정보의 안전성 확보 조치 외에 이 장의 조치를 하여야 한다. 1. 2개 이상 기관의 공통 또는 유사한 업무를 지원하기 위하여 단일 시스템을 구축하여 다른 기관이 접속하여 이용할 수 있도록 한 단일접속 시스템으로서 다음 각 목의 어느 하나에 해당하는 경우 16 개인정보의 안전성 확보조치 기준 안내서 가. 100만명 이상의 정보주체에 관한 개인정보를 처리하는 시스템 나. 개인정보처리시스템에 대한 개인정보취급자의 수가 200명 이상인 시스템 다. 정보주체의 사생활을 현저히 침해할 우려가 있는 민감한 개인정보를 처리하는 시스템 2. 2개 이상 기관의 공통 또는 유사한 업무를 지원하기 위하여 표준이 되는 시스템을 개발하여 다른 기관이 운영할 수 있도록 배포한 표준배포 시스템으로서 대국민 서비스를 위한 행정업무 또는 민원업무 처리용으로 사용하는 경우 3. 기관의 고유한 업무 수행을 지원하기 위하여 기관별로 운영하는 개별 시스템으로서 다음 각 목의 어느 하나에 해당하는 경우 가. 100만명 이상의 정보주체에 관한 개인정보를 처리하는 시스템 나. 개인정보처리시스템에 대한 개인정보취급자의 수가 200명 이상인 시스템 다. 「주민등록법」에 따른 주민등록정보시스템과 연계하여 운영되는 시스템 라. 총 사업비가 100억원 이상인 시스템 ② 제1항에도 불구하고 보호위원회는 다음 각 호의 어느 하나에 해당하는 개인정보처리 시스템에 대하여는 공공시스템으로 지정하지 않을 수 있다. 1. 체계적인 개인정보 검색이 어려운 경우 2. 내부적 업무처리만을 위하여 사용되는 경우 3. 그 밖에 개인정보가 유출될 가능성이 상대적으로 낮은 경우로서 보호위원회가 인정하는 경우


✅ 제14조 공공시스템운영기관의 안전조치 기준 적용

🔹 개념 요약

특정 요건에 해당하는 공공기관의 개인정보처리시스템 중,
개인정보보호위원회가 ‘공공시스템’으로 지정한 시스템에 대해서는
기본 안전조치(제2장) 외에 추가적인 강화 조치(제3장)를 반드시 이행해야 함.


✅ ① 공공시스템의 지정 대상 요건

다음 세 유형의 시스템 중 하나에 해당하면서, 보호위원회가 별도로 지정한 시스템이 ‘공공시스템’임.

1. 단일접속 시스템

  • 정의: 두 개 이상 기관이 공동으로 사용하는 중앙 시스템에 접속해 처리
  • 조건(아래 중 하나 이상 충족 시 대상):
    • 가. 100만 명 이상의 정보주체 개인정보를 처리
    • 나. 개인정보취급자 수가 200명 이상
    • 다. 민감정보를 다루며 사생활 침해 우려가 큰 경우

2. 표준배포 시스템

  • 정의: 특정 기관이 표준 시스템을 개발하여 다른 기관들이 운영 가능하도록 배포한 시스템
  • 대상 조건: 대국민 서비스, 민원처리 등 행정업무에 활용될 경우 해당

3. 개별 시스템

  • 정의: 개별 공공기관이 자체적으로 운영하는 시스템 중 아래 조건 중 하나에 해당하는 경우
  • 조건:
    • 가. 100만 명 이상 개인정보 처리
    • 나. 개인정보취급자 200명 이상
    • 다. 주민등록정보시스템과 연계되는 경우
    • 라. 총 사업비 100억 원 이상

✅ ② 예외 규정: 보호위원회가 ‘공공시스템’으로 지정하지 않을 수 있는 경우

다음 요건을 만족할 경우에는 요건을 충족하더라도 공공시스템으로 지정하지 않을 수 있음:

1. 체계적 검색 불가 개인정보 검색이 구조적으로 어렵거나 제한된 시스템
2. 내부 업무 전용 내부업무 처리 전용 시스템(예: 근태관리, 회의록 관리 등)
3. 낮은 유출 가능성 기술적, 물리적, 행정적 통제가 강하여 유출 우려가 낮다고 보호위가 판단한 경우
 

✅ 요약 표

단일접속 시스템 ① 100만명 이상 개인정보, ② 취급자 200명 이상, ③ 민감정보
표준배포 시스템 대국민 행정/민원 서비스용으로 표준 배포된 시스템
개별 시스템 ① 100만명 이상, ② 취급자 200명 이상, ③ 주민등록 연계, ④ 총사업비 100억 이상
예외 지정 제외 가능 ① 검색 어려움, ② 내부용도, ③ 유출 가능성 낮음
 

✅ 실무 적용 팁

  • 지정 여부는 보호위원회가 최종 판단하므로 기관은 사전 자가진단을 준비해야 함.
  • 공공시스템으로 지정되면 **제3장의 강화된 조치(모의해킹, 위협모델링, 로그 고도화 등)**까지 적용 대상.
  • 기관 간 협업 시스템(표준 배포, 단일접속)의 경우, 책임 소재 명확화 및 공동관리체계 수립이 중요.

🔹 1. 개인정보 현실 인식

  • 주민등록번호, 휴대폰번호 등은 사실상 공용정보가 된 상태로 더 이상 보호받는 정보로 인식되지 않음.
  • SKT 해킹 사건은 국민 개인정보 보호 인식 고취에 긍정적인 계기로 작용.

🔹 2. 신고 관련 현실과 문제

  • 개인정보 유출 시 신고 기준:
    • 개인정보보호법 시행령: 72시간 이내
    • 정보통신망법: 24시간 이내
  • 관련 법에는 과기정통부, KISA 등에 신고하도록 되어 있으나, 수사권이 없어 실질적 대응에 한계.
  • 실제론 언론 보도로 경찰이 사안을 인지하는 경우도 많음.
  • 경찰 신고는 법에 명시돼 있지 않지만 필수, 수사권은 경찰만이 가짐.

🔹 3. 수사 역량과 국제 공조

  • 최근 개인정보 침해 사건은 해외 해커 조직이 주도.
  • 한국 경찰의 국제 공조 수사 능력은 세계 최고 수준.
  • 동유럽 현지에서 해커조직 검거 사례 공개.

🔹 4. 기업들의 신고 기피와 경찰의 입장

  • 언론 노출 우려로 신고 꺼리는 경우 많음.
  • 경찰은 신고자 보호를 최우선으로 수사 진행.

🔹 5. 과태료 vs 과징금

  • 과태료(3,000만원 이하)만 인식하는 경우 많으나,
  • 실제 매출액의 최대 30%에 달하는 과징금이 더 위협적이고 중대함.

🔹 6. 개인정보 유출 원인 구분

  • 내부 요인:
    • 내부자 소행
    • 제3자 제공 시 동의 누락
    • 단체 메일 발송
    • 홈페이지 게시판에 개인정보 업로드 등
  • 외부 요인:
    • 시스템 공격 (입력값/파라미터 변조, 세션 하이재킹 등)
    • 인적 공격 (스피어 피싱, 워터링 홀 등)
  • 유출 원인 중 51%는 원인 미상, 추적 어려움.

▲APT 공격을 통한 개인정보 탈취 [자료: 국수본]


🔹 7. 보안담당자 실무 대응 방안

  • 아웃바운드 트래픽 및 로그 모니터링 강화
  • 로그 보존 정책 철저히 수립
  • 내부 방화벽 관리
  • 침해 발생 시 원본 디스크 및 로그 이미지 백업 확보 필요

▲아웃바운드 트래픽 등에 대한 모니터링 및 로그 보존 정책 강화 [자료: 국수본]


📌 요약:
이지용 경감은 "개인정보는 이미 공용정보가 된 상태"라며, 지금이야말로 보호 인식 강화가 필요한 시점이라고 강조했습니다. 신고 체계의 불명확성과 수사권 부재 문제를 지적하며 실제 사건 수사는 경찰이 주도해야 하므로 즉시 경찰에 신고할 것을 당부했습니다. 또, 기업과 보안 담당자들은 유출 방지 및 사고 발생 시 철저한 대응을 위한 준비가 필요하다고 조언했습니다.

https://www.boannews.com/media/view.asp?idx=137406

 

[PIS FAIR 2025] 이지용 경찰청 경감, “주민·휴대폰 번호, 이미 개인정보 아냐”

PIS FAIR 2025 개막 첫날, 첫번째 기조강연자로 나선 이지용 경찰청 수사국 사이버테러대응과 책임수사관(경감)은 우리나라 개인정보의 취약한 보안 현실을 설명하면서도, 최근 불거진 SK텔레콤 해

www.boannews.com

 

'개인정보' 카테고리의 다른 글

정보유출  (0) 2025.05.23
개인정보처리시스템  (0) 2025.05.22

제8조(접속기록의 보관 및 점검) ① 개인정보처리자는 개인정보취급자의 개인정보처리 시스템에 대한 접속기록을 1년 이상 보관·관리하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 2년 이상 보관·관리하여야 한다. 1. 5만명 이상의 정보주체에 관한 개인정보를 처리하는 개인정보처리시스템에 해당하는 경우 2. 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템에 해당하는 경우 3. 개인정보처리자로서 「전기통신사업법」제6조제1항에 따라 등록을 하거나 같은 항 단서에 따라 신고한 기간통신사업자에 해당하는 경우 14 개인정보의 안전성 확보조치 기준 안내서 ② 개인정보처리자는 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보의 다운로드가 확인된 경우에는 내부 관리계획 등으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다. ③ 개인정보처리자는 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하기 위한 조치를 하여야 한다.


✅ 제8조 접속기록의 보관 및 점검

◼️ ① 접속기록의 보관 기간

개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접근한 모든 접속기록을 최소 1년 이상 보관·관리해야 함.

단, 아래 세 가지 조건 중 하나라도 해당될 경우, 2년 이상 보관해야 함:

1. 대규모 처리 5만 명 이상의 정보주체에 관한 개인정보를 처리하는 시스템
2. 민감한 정보 처리 고유식별정보(예: 주민등록번호) 또는 민감정보를 처리하는 시스템
3. 특정 통신사업자 전기통신사업법 제6조 제1항에 따라 등록·신고된 기간통신사업자

📌 해당 조건에 해당하는 시스템은 로그를 2년 이상 장기 보관해야 하며, 보관 장소와 포맷도 위변조 방지를 고려해야 함.

◼️ ② 접속기록의 점검 주기 및 항목

  • 접속기록은 월 1회 이상 정기적으로 점검해야 함.
  • 점검 목적은 오·남용, 분실, 도난, 유출, 위조, 변조, 훼손 등 보안 위협 탐지.

🔎 특히 중요!

개인정보 다운로드 발생 시내부관리계획 기준에 따라 사유 확인 필수
(예: 누가, 언제, 왜 다운로드 했는지 기록 및 분석 필요)

◼️ ③ 접속기록의 보안 유지 조치

  • 접속기록은 위·변조, 도난, 분실 방지를 위해 안전하게 보관해야 함.

실무상 적용 가능한 보안 조치 예시:

접근제어 접속기록 열람 권한 제한
위변조 방지 WORM(Media) 저장, 블록체인 기반 저장, 암호화된 로그 저장
정기 백업 정해진 주기(예: 매일 또는 주간) 백업 및 별도 보관
무결성 검증 체크섬(CRC), 해시값 저장 및 정기 검증
로그 수집 자동화 syslog, APM, ESM 등 시스템 로그 수집 솔루션 활용
 

✅ 요약

보관 기간 일반: 1년 이상 / 예외 조건 충족 시: 2년 이상
점검 주기 월 1회 이상 필수 점검
특이사항 확인 개인정보 다운로드 발생 시 사유 필수 확인
보안조치 위변조·도난·분실 방지 위한 안전한 보관 체계 필요

우리나라에서는 ‘기업의 기밀 정보’만 유출된 경우, 이를 상위 기관이나 정부 기관에 지체 없이 신고해야 할 법적 의무는 현재 명시적으로 규정되어 있지 않습니다. 즉, 법적 강제력은 개인정보 유출에 비해 약합니다.

 

개인정보 보호법

[시행 2025. 10. 2.] [법률 제20897호, 2025. 4. 1., 일부개정]

제34조(개인정보 유출 등의 통지ㆍ신고) ① 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출(이하 이 조에서 “유출등”이라 한다)되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사항을 알려야 한다. 다만, 정보주체의 연락처를 알 수 없는 경우 등 정당한 사유가 있는 경우에는 대통령령으로 정하는 바에 따라 통지를 갈음하는 조치를 취할 수 있다.<개정 2023. 3. 14.>

1. 유출등이 된 개인정보의 항목

2. 유출등이 된 시점과 그 경위

3. 유출등으로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보

4. 개인정보처리자의 대응조치 및 피해 구제절차

5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처

   ② 개인정보처리자는 개인정보가 유출등이 된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다.<개정 2023. 3. 14.>

   ③ 개인정보처리자는 개인정보의 유출등이 있음을 알게 되었을 때에는 개인정보의 유형, 유출등의 경로 및 규모 등을 고려하여 대통령령으로 정하는 바에 따라 제1항 각 호의 사항을 지체 없이 보호위원회 또는 대통령령으로 정하는 전문기관에 신고하여야 한다. 이 경우 보호위원회 또는 대통령령으로 정하는 전문기관은 피해 확산방지, 피해 복구 등을 위한 기술을 지원할 수 있다.<개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4., 2023. 3. 14.>

   ④ 제1항에 따른 유출등의 통지 및 제3항에 따른 유출등의 신고의 시기, 방법, 절차 등에 필요한 사항은 대통령령으로 정한다.<개정 2023. 3. 14.>

  [제목개정 2023. 3. 14.]

🔹 즉, 개인정보 유출은 “지체 없이 통지 + 신고”가 의무입니다.
🔹 랜섬웨어에 의해 개인정보가 유출되었을 경우도 여기에 해당합니다.

⚠️ [2] 기업의 기밀 정보 유출 시

  • 예시: 소스코드, 경영전략, 고객사 리스트, 계약서, 특허 기술 문서 등
  • 개인정보가 포함되지 않은 ‘자산성 정보’나 ‘영업비밀’ 유출의 경우
    • 개별 산업별 법령이나 계약, 또는 회사 내부 보안 정책에 따라 처리되며,
    • 정보보호법/개인정보보호법 등 일반 법령에 따라 즉시 ‘신고할 의무’는 없음.

예외적으로 다음과 같은 경우엔 신고가 요구될 수 있습니다:

  • 국가정보통신망법 제48조의3 (정보통신서비스 제공자 보안조치)
  • 전기통신사업법 (통신망 이용 중 발생한 사고에 대한 보고)

 

 

정보통신망 이용촉진 및 정보보호 등에 관한 법률 ( 약칭: 정보통신망법 )

[시행 2025. 7. 22.] [법률 제20678호, 2025. 1. 21., 일부개정]

제48조의3(침해사고의 신고 등) ① 정보통신서비스 제공자는 침해사고가 발생하면 즉시 그 사실을 과학기술정보통신부장관이나 한국인터넷진흥원에 신고하여야 한다. 이 경우 정보통신서비스 제공자가 이미 다른 법률에 따른 침해사고 통지 또는 신고를 했으면 전단에 따른 신고를 한 것으로 본다. <개정 2009. 4. 22., 2013. 3. 23., 2017. 7. 26., 2022. 6. 10.>

1. 삭제 <2022. 6. 10.>

2. 삭제 <2022. 6. 10.>

② 과학기술정보통신부장관이나 한국인터넷진흥원은 제1항에 따라 침해사고의 신고를 받거나 침해사고를 알게 되면 제48조의2제1항 각 호에 따른 필요한 조치를 하여야 한다. <개정 2009. 4. 22., 2013. 3. 23., 2017. 7. 26.>

③ 제1항 후단에 따라 침해사고의 통지 또는 신고를 받은 관계 기관의 장은 이와 관련된 정보를 과학기술정보통신부장관 또는 한국인터넷진흥원에 지체 없이 공유하여야 한다. <신설 2022. 6. 10.>

④ 제1항에 따른 신고의 시기, 방법 및 절차 등에 관하여 필요한 사항은 대통령령으로 정한다. <신설 2024. 2. 13.>

[전문개정 2008. 6. 13.]

전기통신사업법

[시행 2025. 9. 19.] [법률 제20792호, 2025. 3. 18., 일부개정]

제61조(전기통신설비의 유지ㆍ보수) 전기통신사업자는 그가 제공하는 전기통신역무의 안정적인 공급을 위하여 해당 전기통신설비를 대통령령으로 정하는 기술기준에 적합하도록 유지ㆍ보수하여야 한다.

 

✅ 1. 개인정보처리시스템의 정의

개인정보처리시스템이란,

개인정보파일전자적으로 처리할 수 있도록 구성된 정보시스템, 응용프로그램, 웹사이트, DBMS, 운영체제(OS) 등을 포함하는 일체의 전자적 시스템을 의미합니다.

즉, 개인정보를 수집·저장·조회·변경·삭제·전송·출력 등의 처리 행위를 전자적 수단을 통해 수행하는 모든 시스템이 해당됩니다.

📌 법적 근거: 「개인정보 보호법 시행령」 제15조 제2항


✅ 2. 개인정보처리시스템의 종류

[1] 내부업무용 시스템

  • 예시: ERP, CRM, 인사/급여 시스템, 고객상담 시스템
  • 특징: 사내 인트라넷에서 주로 사용되며 임직원이 접근함
  • 개인정보: 직원 정보, 고객 정보 등

[2] 외부 서비스용 시스템

  • 예시: 홈페이지 회원가입 시스템, 쇼핑몰, 모바일 앱, 포털 서비스
  • 특징: 외부 사용자(고객, 일반인) 대상 서비스 제공
  • 개인정보: 회원 정보, 주문 정보, 위치 정보 등

[3] DBMS (Database Management System)

  • 예시: Oracle, MySQL, PostgreSQL 등
  • 특징: 개인정보를 저장, 검색, 수정, 삭제하는 핵심 시스템
  • 개인정보: 다른 시스템의 백엔드 저장소 역할 수행

[4] 파일서버/네트워크 저장소

  • 예시: NAS, 윈도우 파일 공유 서버
  • 특징: 엑셀, 워드, PDF 등의 개인정보파일을 저장
  • 개인정보: 수기 수집자료, 주민등록 등 초안, 계약서 스캔본 등

[5] 웹서버 및 WAS (Web Application Server)

  • 예시: Apache, Nginx, Tomcat, JBoss 등
  • 특징: 웹서비스 제공을 위한 플랫폼
  • 개인정보: 웹 경유로 입력·처리되는 정보의 중간 지점

[6] 기타 전자처리장치 포함 시스템

  • 예시: 키오스크, IoT 디바이스, 단말기용 앱
  • 특징: 독립적으로 개인정보 처리 기능 수행
  • 개인정보: 방문객 정보, 생체정보 등

✅ 3. 용도 (처리 목적)

수집 개인정보를 최초 입력/획득
저장 DB 또는 파일 형태로 저장
조회/이용 업무 처리나 서비스 제공 목적으로 열람
수정 오류 정정, 변경 요청 등
삭제 보유기간 만료, 처리 목적 달성 후 파기
전송 내부 연계, 외부 위탁 등
출력 증빙서류, 통계, 리포트 등으로 출력

 

제16조(개인정보의 파기방법) ① 개인정보처리자는  제21조에 따라 개인정보를 파기할 때에는 다음 각 호의 구분에 따른 방법으로 해야 한다.<개정 2014. 8. 6., 2022. 7. 19.>

1. 전자적 파일 형태인 경우: 복원이 불가능한 방법으로 영구 삭제. 다만, 기술적 특성으로 영구 삭제가 현저히 곤란한 경우에는  제58조의2에 해당하는 정보로 처리하여 복원이 불가능하도록 조치해야 한다.

2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우: 파쇄 또는 소각

   ② 제1항에 따른 개인정보의 안전한 파기에 관한 세부 사항은 보호위원회가 정하여 고시한다.<신설 2014. 8. 6., 2014. 11. 19., 2017. 7. 26., 2020. 8. 4.>

제30조(개인정보의 안전성 확보 조치) ① 개인정보처리자는  제29조에 따라 다음 각 호의 안전성 확보 조치를 해야 한다.<개정 2023. 9. 12.>

1. 개인정보의 안전한 처리를 위한 다음 각 목의 내용을 포함하는 내부 관리계획의 수립ㆍ시행 및 점검

가.  제28조제1항에 따른 개인정보취급자(이하 “개인정보취급자”라 한다)에 대한 관리ㆍ감독 및 교육에 관한 사항

나.  제31조에 따른 개인정보 보호책임자의 지정 등 개인정보 보호 조직의 구성ㆍ운영에 관한 사항

다. 제2호부터 제8호까지의 규정에 따른 조치를 이행하기 위하여 필요한 세부 사항

2. 개인정보에 대한 접근 권한을 제한하기 위한 다음 각 목의 조치

가. 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템(이하 “개인정보처리시스템”이라 한다)에 대한 접근 권한의 부여ㆍ변경ㆍ말소 등에 관한 기준의 수립ㆍ시행

나. 정당한 권한을 가진 자에 의한 접근인지를 확인하기 위해 필요한 인증수단 적용 기준의 설정 및 운영

다. 그 밖에 개인정보에 대한 접근 권한을 제한하기 위하여 필요한 조치

3. 개인정보에 대한 접근을 통제하기 위한 다음 각 목의 조치

가. 개인정보처리시스템에 대한 침입을 탐지하고 차단하기 위하여 필요한 조치

나. 개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터 등으로서 보호위원회가 정하여 고시하는 기준에 해당하는 컴퓨터 등에 대한 인터넷망의 차단. 다만, 전년도 말 기준 직전 3개월 간 그 개인정보가 저장ㆍ관리되고 있는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제4호에 따른 이용자 수가 일일평균 100만명 이상인 개인정보처리자만 해당한다.

다. 그 밖에 개인정보에 대한 접근을 통제하기 위하여 필요한 조치

4. 개인정보를 안전하게 저장ㆍ전송하는데 필요한 다음 각 목의 조치

가. 비밀번호의 일방향 암호화 저장 등 인증정보의 암호화 저장 또는 이에 상응하는 조치

나. 주민등록번호 등 보호위원회가 정하여 고시하는 정보의 암호화 저장 또는 이에 상응하는 조치

다. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제1호에 따른 정보통신망을 통하여 정보주체의 개인정보 또는 인증정보를 송신ㆍ수신하는 경우 해당 정보의 암호화 또는 이에 상응하는 조치

라. 그 밖에 암호화 또는 이에 상응하는 기술을 이용한 보안조치

5. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조ㆍ변조 방지를 위한 다음 각 목의 조치

가. 개인정보처리시스템에 접속한 자의 접속일시, 처리내역 등 접속기록의 저장ㆍ점검 및 이의 확인ㆍ감독

나. 개인정보처리시스템에 대한 접속기록의 안전한 보관

다. 그 밖에 접속기록 보관 및 위조ㆍ변조 방지를 위하여 필요한 조치

6. 개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대해 컴퓨터바이러스, 스파이웨어, 랜섬웨어 등 악성프로그램의 침투 여부를 항시 점검ㆍ치료할 수 있도록 하는 등의 기능이 포함된 프로그램의 설치ㆍ운영과 주기적 갱신ㆍ점검 조치

7. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치

8. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 조치

   ② 보호위원회는 개인정보처리자가 제1항에 따른 안전성 확보 조치를 하도록 시스템을 구축하는 등 필요한 지원을 할 수 있다.<개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 8. 4.>

   ③ 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 보호위원회가 정하여 고시한다.<개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 8. 4.>

제30조의2(공공시스템 운영기관 등의 개인정보 안전성 확보 조치 등) ① 개인정보의 처리 규모, 접근 권한을 부여받은 개인정보취급자의 수 등 보호위원회가 고시하는 기준에 해당하는 개인정보처리시스템(이하 “공공시스템”이라 한다)을 운영하는 공공기관(이하 “공공시스템운영기관”이라 한다)은  제29조에 따라 이  제30조의 안전성 확보 조치 외에 다음 각 호의 조치를 추가로 해야 한다.<개정 2024. 3. 12.>

1. 제30조제1항제1호에 따른 내부 관리계획에 공공시스템별로 작성한 안전성 확보 조치를 포함할 것

2. 공공시스템에 접속하여 개인정보를 처리하는 기관(이하 이 조에서 “공공시스템이용기관”이라 한다)이 정당한 권한을 가진 개인정보취급자에게 접근 권한을 부여ㆍ변경ㆍ말소 등을 할 수 있도록 하는 등 접근 권한의 안전한 관리를 위해 필요한 조치

3. 개인정보에 대한 불법적인 접근 및 침해사고 방지를 위한 공공시스템 접속기록의 저장ㆍ분석ㆍ점검ㆍ관리 등의 조치

   ② 공공시스템운영기관 및 공공시스템이용기관은 정당한 권한 없이 또는 허용된 권한을 초과하여 개인정보에 접근한 사실이 확인되는 경우에는 지체 없이 정보주체에게 해당 사실과 피해 예방 등을 위해 필요한 사항을 통지해야 한다. 이 경우 다음 각 호의 어느 하나에 해당하는 경우에는 통지를 한 것으로 본다.

1.  제34조제1항에 따라 정보주체에게 개인정보의 분실ㆍ도난ㆍ유출에 대하여 통지한 경우

2. 다른 법령에 따라 정보주체에게 개인정보에 접근한 사실과 피해 예방 등을 위해 필요한 사항을 통지한 경우

   ③ 공공시스템운영기관(공공시스템을 개발하여 배포하는 공공기관이 따로 있는 경우에는 그 공공기관을 포함한다. 이하 이 조에서 같다)은 해당 공공시스템의 규모와 특성, 해당 공공시스템이용기관의 수 등을 고려하여 개인정보의 안전한 관리에 관련된 업무를 전담하는 부서를 지정하여 운영하거나 전담인력을 배치해야 한다.

   ④ 공공시스템운영기관은 공공시스템별로 해당 공공시스템을 총괄하여 관리하는 부서의 장을 관리책임자로 지정해야 한다. 다만, 해당 공공시스템을 총괄하여 관리하는 부서가 없을 때에는 업무 관련성 및 수행능력 등을 고려하여 해당 공공시스템운영기관의 관련 부서의 장 중에서 관리책임자를 지정해야 한다.

   ⑤ 공공시스템운영기관은 공공시스템의 안전성 확보 조치 이행상황 점검 및 개선에 관한 사항을 협의하기 위하여 다음 각 호의 기관으로 구성되는 공공시스템운영협의회를 공공시스템별로 설치ㆍ운영해야 한다. 다만, 하나의 공공기관이 2개 이상의 공공시스템을 운영하는 경우에는 공공시스템운영협의회를 통합하여 설치ㆍ운영할 수 있다.

1. 공공시스템운영기관

2. 공공시스템의 운영을 위탁하는 경우 해당 수탁자

3. 공공시스템운영기관이 필요하다고 인정하는 공공시스템이용기관

   ⑥ 보호위원회는 공공시스템운영기관이 개인정보의 안전성 확보 조치를 이행하는데 필요한 지원을 할 수 있다.

   ⑦ 제1항부터 제6항까지에서 규정한 사항 외에 공공시스템운영기관 등의 개인정보의 안전성 확보 조치에 필요한 사항은 보호위원회가 정하여 고시한다.

  [본조신설 2023. 9. 12.]

출처 : 개인정보보호위원회, 「개인정보의 안전성 확보조치 기준 안내서」 2024.10.

✅ 1. 법적 구조 개요

상위법 개인정보 보호법 제29조(안전조치의무)
시행령 제16조(파기방법), 제30조(안전성 확보 조치), 제30조의2(공공시스템의 조치 등)
고시 개인정보의 안전성 확보조치 기준 안내서 (개인정보보호위원회 고시)

→ 이 구조에서 ‘고시’는 시행령에서 위임받은 세부 기준을 담고 있으며, 위반 시 법 제29조 및 시행령 위반으로 간주됩니다.


✅ 2. 각 조항과 ‘안내서’의 관계 및 위반 시 법 위반이 되는 이유

🔹 [제16조] 개인정보의 파기방법

  • ①항에서 개인정보를 파기할 때는 ‘복원이 불가능한 방법’으로 해야 한다고 규정함.
  • ②항에서 "안전한 파기에 관한 세부사항은 보호위원회가 고시한다"고 명시 → ‘안내서’가 바로 그 고시임.

📌 따라서 안내서에 제시된 파기 방법(논리적 삭제, 물리적 파쇄 등)을 따르지 않으면, 시행령 제16조②를 위반하고, 이는 결국 법 제21조 및 **제29조(안전조치의무)**를 위반하는 결과로 이어집니다.


🔹 [제30조] 개인정보의 안전성 확보조치

  • ①항의 각 호는 기술적‧관리적‧물리적 보호조치를 포괄적으로 명시함.
  • ③항에서 "세부 기준은 보호위원회가 정하여 고시한다"고 규정 → ‘안내서’가 해당 고시.

📌 즉, 이 조항은 법 제29조의 위임을 받아 보호조치의 세부사항을 고시로 정한 것이며,
안내서의 기준(예: 내부관리계획 구성요소, 암호화 수준, 접근권한 통제, 백신 등)을 지키지 않으면
시행령 제30조 위반, 더 나아가 법 제29조 위반이 성립합니다.


🔹 [제30조의2] 공공시스템 운영기관의 조치

  • 공공기관 대상 특례조항으로, 제30조의 보호조치 외에 추가적인 사항(운영협의회, 접속기록 점검 등)을 규정
  • ⑦항에서 "필요사항은 보호위원회가 고시한다"고 규정 → ‘안내서’ 및 공공부문 특화 고시와 연결

📌 공공기관이 ‘안내서’에서 요구한 기준을 따르지 않으면 제30조의2의 조치 의무 위반, 이는 법 제29조 및 관련 시행령 위반과 동일한 법적 책임으로 이어짐.


✅ 3. 정리: 안내서 미준수 = 법령 위반이 되는 이유

법률적 위임 시행령 각 조항은 개인정보보호위원회 고시에 세부사항 위임을 명시함
고시의 효력 고시는 단순 참고자료가 아니라 법령상 의무 이행의 구체 기준
미준수 시 결과 안내서 기준 미준수는 시행령 위반, 나아가 개인정보 보호법 제29조 위반이 됨
법적 책임 보호법 위반은 행정처분(과태료 등)형사처벌 대상이 될 수 있음

✅ 결론

‘개인정보의 안전성 확보조치 기준 안내서’는 시행령이 위임한 법령상 세부기준 고시이므로, 이를 준수하지 않으면 단순한 권고사항 위반이 아니라 개인정보 보호법 제29조 및 그 시행령(제16조, 제30조, 제30조의2)을 위반한 것과 동일한 법적 책임이 발생합니다.

제29조(안전조치의무) 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.

출처 : 개인정보보호위원회, 「개인정보의 안전성 확보조치 기준 안내서」 2024.10.
출처 : 개인정보보호위원회, 「개인정보의 안전성 확보조치 기준 안내서」 2024.10.

1. 법적 근거: 개인정보 보호법 제29조(안전조치의무)

「개인정보 보호법」 제29조는 개인정보처리자에게 개인정보의 유출, 위조, 변조, 훼손 등 각종 침해로부터 안전하게 보호하기 위한 조치를 법적으로 의무화하고 있습니다.

해당 조항에 따르면, 개인정보처리자는 다음과 같은 조치를 반드시 이행해야 합니다.

  • 내부 관리계획의 수립
  • 접속기록의 보관 및 점검
  • 접근 통제 시스템 운영
  • 암호화 등의 기술적 조치
  • 물리적 접근 제한 조치 등

🔹 핵심 요지: 제29조는 "기술적‧관리적‧물리적 조치"를 대통령령에 따라 필수로 이행해야 한다고 명시하고 있습니다.


2. 안내서의 법적 지위와 최소 기준의 역할

「개인정보의 안전성 확보조치 기준 안내서」는 법령에서 위임한 대통령령 및 고시의 구체적인 실행기준으로서 다음과 같은 성격을 가집니다.

  • ‘제29조의 기술적‧관리적‧물리적 조치’는 추상적이기 때문에, 구체적인 이행 기준은 안내서에서 정리하고 있음.
  • 따라서 이 안내서의 기준은 단순 참고자료가 아닌, 법적으로 요구되는 최소한의 의무 수준에 해당함.
  • 안내서 기준을 준수하지 않으면, 곧바로 제29조 위반으로 판단될 수 있습니다.

🔹 핵심 요지: 안내서는 법의 추상적 의무를 구체화한 기준서이며, 이 기준을 지키지 않으면 법 위반으로 간주됩니다.


3. "왜 반드시 따라야 하는가?" – 제도적/실무적 이유

이유설명
① 법적 위반 소지 안내서 기준을 지키지 않으면 개인정보보호법 제29조 위반으로 행정처분(과태료 등) 또는 형사처벌을 받을 수 있습니다.
② 감사 및 조사 시 기준이 됨 개인정보보호위원회, 공공기관, 감사원 등에서 수행하는 감사 및 조사 시, 해당 기준의 준수 여부가 핵심 점검 항목입니다.
③ 보안사고 발생 시 책임 판정 근거 만약 정보 유출 등 사고가 발생했을 경우, 안내서 기준을 따르지 않았다면 과실 책임이 더 크게 인정되어 손해배상 책임이 커질 수 있습니다.
④ 행정처분 면책 가능성 확보 반대로 기준을 충실히 이행했다면, 사고 발생 시 면책 사유로 작용할 수 있습니다.
 

4. 결론

👉 「개인정보의 안전성 확보조치 기준 안내서」는 단순한 권고사항이 아니라, 법 제29조를 준수하기 위한 최소한의 기준이며, 이를 따르지 않으면 법적 책임을 피할 수 없습니다.
👉 따라서 모든 개인정보처리자는 업무 특성, 처리환경, 위험요소를 고려하여 기준에 따라 필요한 보호조치를 반드시 시행해야 합니다.

📌 1. 연계정보란?

정의 (방송통신위원회 고시 2025-42조제1호)

연계정보”정보통신서비스 제공자의 서비스 연계를 위하여, 이용자의 주민등록번호를 비가역적으로 암호화한 정보말한다.

즉, 연계정보는 주민등록번호를 직접 사용하지 않고, 유사한 연결성과 고유성을 유지하면서도 역산이 불가능하도록 암호화한 대체 식별자입니다.


🎯 2. 도입 목적

🔒 개인정보 보호 강화 주민등록번호 직접 수집·이용 최소화 (정보통신망법 개정의 취지 반영)
🔄 서비스 사용자 연계 다양한 서비스 동일인 식별 통합 제공 가능
📉 주민등록번호 유출 피해 최소화 연계정보는 유출되더라도 주민등록번호로 복원이 불가함

 


⚙️ 3. 연계정보 생성 방식

기본 원칙

  • 주민등록번호 기반
  • 비가역적 암호화(해시) 방식
  • 서비스 제공자나 본인확인기관이 생성

주요 암호화 방식 예시

SHA-256 해시 + Salt 가장 널리 사용. Salt 값은 서비스별 또는 사용자별로 다르게
HMAC 인증키 기반 해시로 재현 가능하지만 없이는 복원 불가
PBKDF2, bcrypt 반복계산을 통한 연산복잡도 강화로 역추적 방지

단순 해시는 무작위 대입(brute-force) 공격 위험이 있으므로 Salt/Pepper 병행 사용권장됨


🧪 4. 연계정보의 활용 예시

본인확인 대체 수단 회원가입, 로그인, 인증 주민번호 없이 연계정보로 동일인 식별
전자문서 고지 서비스 공공기관 고지서 전달 시, 연계정보를 기준으로 고유 사용자 식별
신용정보 전송 서비스 개인신용정보 전송 요구 동일인 연결 수단으로 사용
공공기관 연계 서비스 주민번호 없이도 복지, 세무 정보 통합 제공 가능
 

🚨 5. 개인정보보호 관련 주요 쟁점

🔄 식별 가능성 연계정보는 개인정보에 해당할 있음 (비록 주민번호는 아니지만, 식별 가능한 고유 값이므로)
🔐 보안조치 필요 생성·이용 과정에서 기술적‧관리적 보호조치를 취해야
📝 이용자 동의 고지 연계정보 생성 이용에 대한 이용자 고지 동의 필요 (고시 별표2-4 참조)
🗑 파기 시점 명확화 필요 이용 목적 종료 연계정보도 파기해야 하며, 이력을 남겨야
 

🧾 6. 연계정보 vs 주민등록번호 비교

항목 주민등록번호 정보
목적 국민 고유 식별 서비스 동일인 연결
복원 가능성 항상 가능 복원 불가(비가역 암호화)
개인정보 여부 명백한 고유식별정보 상황에 따라 개인정보로 간주 가능
보호 수준 고위험 보호 대상 보호 필요성은 있지만 상대적으로 낮음
법적 제한 수집·이용 원칙적 금지 고시 기준에 따라 승인 생성·이용 가능
 

📌 7. 실무 적용 핵심 정리

  1. 연계정보는 주민번호를 대체하지만, 개인정보일 있으므로 기술적·관리적 보호 필요
  2. 무조건적인 수집/이용은 불가, 고시에 따른 승인 절차 목적 명시 필수
  3. 비가역 암호화 방식으로 생성해야 하며, 단순 해시(SHA256사용)위험함
  4. 동일인을 연결하되, 역추적이 불가능해야
  5. 연계정보 생성 이용은 로그 기록 이력 보관 3이상 필요

✅ 프라이버시 vs 개인정보 자기결정권 비교 정리

구분 프라이버시 개인정보자기결정권
성격 소극적 권리
→ "나를 내버려 두라"는 권리
적극적 권리
→ "내 정보를 어떻게 쓸지 내가 결정한다"는 권리
목적 사생활의 자유와 비밀을 보장 개인정보의 보호
개념 - 헌법에서 보장하는 사생활 비밀과 자유
- 내 삶의 영역에 타인이 마음대로 들어오지 못하게 하는 권리
- 예: 집, 대화, 이메일 내용 등을 보호
- 내 정보
① 언제,
② 누구에게,
③ 어디까지
알려질지를 내가 결정할 수 있는 권리
- 단순 비밀유지보다 더 넓은 권리
사례 - 타인이 나에 대해 알아보지 못하게 하는 선택
- 숨길 권리, 공개를 거부할 권리
- 예: 전화번호, 위치, 가족 정보 등을 숨기기
- 나의 개인정보가 조사, 수집, 보관, 처리, 이용되는 것을 통제할 수 있는 권리
- 예: 마케팅 정보 수신 거부, 앱 권한 설정 등

🎯 핵심 차이 요약

항목 프라이버시 개인정보자기결정권
초점 비밀 보호 정보 통제
권리 방향 소극적: 타인의 개입 거부 적극적: 내가 결정하고 통제
예시 숨길 권리, 감시 받지 않을 권리 동의/철회, 수집범위 제한 등

📌 대법원 2017. 4. 7. 선고 2016도13263 판결

사건 개요:

  • 피고인은 회사의 인사노무팀장으로 재직 중, 직원들의 동의 없이 단체보험 계약을 체결하고, 이를 위해 직원들의 개인정보를 보험사에 제공하였습니다.

쟁점:

  • 피고인이 직원들의 동의 없이 보험사에 개인정보를 제공한 행위가 개인정보 보호법 위반에 해당하는지 여부.

대법원 판단:

  • 대법원은 피고인이 직원들의 동의 없이 보험사에 개인정보를 제공한 행위가 개인정보 보호법 제17조 제1항 및 제18조 제1항을 위반한 것으로 판단하였습니다.

결론:

  • 피고인의 행위는 개인정보 보호법 위반에 해당하며, 이에 따라 유죄 판결이 선고되었습니다.

✅ 핵심 주제: "개인정보 보호법 vs 상법 중 무엇이 우선인가?"

💡 배경

  • 개인정보 보호법은 정보주체(예: 근로자)의 동의 없이는 개인정보를 제3자(예: 보험사)에게 제공하지 못한다고 함.
  • 하지만 다른 법률에 특별한 규정이 있는 경우, 그 법이 우선 적용될 수 있음.
    → 이게 바로 개인정보 보호법 제15조 제1항 제2호제18조 제2항 제2호에서 말하는 "특별한 규정"이에요.

⚖️ 사례 상황

  • 회사가 근로자를 위한 복리후생 목적으로 단체보험 계약을 체결하고,
  • 그 보험가입을 위해 근로자의 개인정보를 보험사에 제공해야 할 때,
  • 근로자의 동의 없이 보험사에 정보를 넘겨도 될까? 가 쟁점이에요.

✅ 결론: "상법이 우선 적용될 수 있음"

  1. 상법 제731조 제1항:
    → “타인의 사망을 보험의 목적으로 하는 계약에서는 반드시 **그 사람(피보험자)**의 서면 동의가 필요하다”고 명시함.
  2. 그러나 단체보험의 경우,
    → 계약 대상이 개별 피보험자가 아니라 단체이며,
    단체 계약에 관한 사항이 규약으로 정해져 있다면
    피보험자의 개별 동의 없이도 계약 체결 가능하다고 상법은 허용함.
  3. 상법 제735조의3
    → 단체협약, 취업규칙, 정관 등 내부 규정에 의해 구성원들의 동의가 간주되는 구조를 허용

🎯 그래서 어떻게 되는가?

  • 단체보험에 대해 단체협약, 취업규칙 등에 관련 내용이 포함되어 있다면
    ✅ 회사는 근로자의 동의 없이 보험사에 개인정보를 제공할 수 있음
    ✅ 이 경우엔 상법이 개인정보 보호법보다 우선 적용됨

⚠️ 주의할 점

  • 단체협약이나 취업규칙에 관련 내용이 없다면
    ❌ 그냥 보험사에 개인정보를 넘기면 불법
    → ✅ 반드시 개별 근로자의 동의를 받아야 함!

법률이 아닌 시행령, 시행규칙, 고시, 조례 등에 개인정보 보호법과 다른 특별한 규정이 있을 경우에도 개인정보 보호법을 우선하여 적용하는 것이 현재의 개인정보 보호법이다. 그러나 그 시행령 등이 법률의 위임을 받은 것일 경우에 한하여 그 시행령 등이 우선하여 적용될 수 있다는 것도 개인정보 보호법이다.

이와 관련하여, 개인정보 보호법 제6조는 다음과 같이 규정하고 있습니다.

제6조(다른 법률과의 관계) 개인정보 보호에 관하여는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다.

또한, 개인정보 보호법 제18조 제2항 제2호는 다음과 같이 규정하고 있습니다.

제18조(개인정보의 목적 외 이용·제공 제한) ② 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다.

다른 법률에 특별한 규정이 있는 경우

이러한 규정에 따라, 법률에 특별한 규정이 있는 경우에는 해당 법률이 개인정보 보호법보다 우선 적용될 수 있습니다. 그러나 시행령, 시행규칙, 고시, 조례 등은 법률의 위임을 받은 경우에 한하여 개인정보 보호법보다 우선 적용될 수 있습니다.

이와 관련하여, 개인정보 보호위원회는 다음과 같이 해석하고 있습니다.

'법률'로 한정되어 있으므로 시행령·시행규칙에만 관련 규정이 있는 경우에는 제2호에 따른 목적 외 이용·제공이 허용되지 않는다. 다만 법률에 위임근거가 있고 이에 따라 시행령·시행규칙에 제공 관련 규정이 있는 경우는 허용된다.

또한 목적 외 이용·제공과 관련하여 '특별한 규정이 있는 경우'에 한하므로, 법률에서 개인정보의 목적 외 이용·제공을 구체적으로 허용하고 있어야 하며, '법령상 의무이행'과 같이 포괄적으로 규정된 경우에는 허용되지 않는다.

다만, 해당 법률에 목적 외 이용·제공되는 개인정보의 항목이 구체적으로 열거되어 있지 않더라도 당해 업무의 목적, 성격 등을 고려하였을 때 목적 외 이용·제공 대상에 개인정보가 포함될 것이 합리적으로 예견되는 경우에는 허용될 수 있다.

그러나 현재까지 확인된 바로는, 이러한 내용을 수행한 구체적인 판례는 확인되지 않았습니다.