🔐 정보보안기사 | 정보보안 법규 핵심정리(6-1편)
개인정보보호법 제15·17·25·26·34조 핵심 조항 · 유출 통지/신고 요건 · PIA · 가명/익명 처리 · 민감정보 · 고유식별정보 · 내부관리계획 · 접속기록 보존 기간 · 안전한 인증수단/접속수단 · 인터넷망 차단 의무 · 개인정보 파기 방법까지 법규 핵심 완벽 정리.
#정보보안기사
#개인정보보호법
#안전성확보조치기준
#ISMSP
#민감정보
#고유식별정보
#가명익명처리
#유출통지72시간
📋 목차
- 1. 개인정보 제공 동의 사항 5가지 (제17조) · CCTV 안내판 (제25조)
- 2. 개인정보 처리 업무 위탁 계약 (제26조)
- 3. 개인정보 유출 통지 (72시간) · 신고 3가지 요건 (제34조)
- 4. 개인정보 영향평가(PIA) · 가명/익명 처리 · 라운딩 3종
- 5. 개인정보처리자 · 취급자 · 처리시스템 정의
- 6. 안전성 확보조치 기준 — 비밀번호 · 접속기록 · 내부관리계획
- 7. 안전성 확보조치 기준 — 인증수단 3종 · 접속수단 2종 · 인터넷망 차단 의무
- 8. 정보주체 · 개인정보파일 · 보호책임자 · 생체정보 vs 생체인식정보
- 9. 민감정보 · 고유식별정보 4종 · 동의 없이 수집 가능 경우 · 개인정보 파기 방법
- 10. 정보보안일반·법규 5-1 ~ 5-3 전체 통합 최종 요약
1. 개인정보 제공 동의 사항 5가지 (제17조) · CCTV 안내판 (제25조)
🔧 현직자 실무 포인트
개인정보보호법 조문 번호와 내용을 세트로 암기하는 것이 고득점 핵심입니다. 제15조(수집·이용), 제17조(제공), 제25조(CCTV), 제26조(위탁), 제34조(유출 통지) 다섯 개 조문은 반드시 숙지하세요.
개인정보보호법 제17조 — 개인정보의 제공
정보주체에게 알려야 할 사항 5가지
- ① 개인정보를 제공받는 자
- ② 개인정보를 제공받는 자의 개인정보 이용 목적
- ③ 제공하는 개인정보의 항목
- ④ 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
- ⑤ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익의 내용
개인정보보호법 제25조 — 고정형 영상정보처리기기(CCTV) 안내판 포함 사항
CCTV 안내판 필수 기재 항목
- ① 설치 목적 및 장소
- ② 촬영 범위 및 시간
- ③ 관리책임자의 연락처
📋 이동형 vs 고정형 영상정보처리기기
고정형(CCTV·네트워크카메라): 안내판 설치 의무
이동형(드론·웨어러블카메라 등): 불빛·소리·안내판 등으로 촬영 사실을 표시하고 알려야 함
🎯 시험 출제 포인트
- 제17조 동의 고지 5가지: 제공받는 자 · 이용 목적 · 정보 항목 · 보유 기간 · 거부 권리
- CCTV 안내판 3가지: 설치 목적·장소 · 촬영 범위·시간 · 관리책임자 연락처
2. 개인정보 처리 업무 위탁 계약 (제26조)
개인정보보호법 제26조 — 개인정보 처리 업무의 위탁
위탁 계약서 필수 포함 사항
- ① 위탁업무 수행목적 외 개인정보의 처리 금지에 관한 사항
- ② 개인정보의 기술적·관리적 보호조치에 관한 사항
- ③ 그 밖에 개인정보의 안전한 관리를 위한 사항
Q 위탁 시 공개 의무는?
→ 위탁하는 업무의 내용과 수탁자를 정보주체가 언제든지 쉽게 확인할 수 있도록 공개해야 함
🎯 시험 출제 포인트
- 위탁 계약 3종: 처리 금지 · 기술적·관리적 보호조치 · 안전한 관리
- 공개 의무: 위탁 업무 내용 + 수탁자를 정보주체가 언제든지 확인 가능하도록
3. 개인정보 유출 통지(72시간) · 신고 3가지 요건 (제34조)
⏰ 유출 통지 시기: 유출되었음을 알게 된 때 지체 없이 / 정당한 사유가 없는 한 72시간 이내 통지
개인정보보호법 제34조 — 개인정보 유출 통지 내용
통지 필수 포함 사항
- ① 유출된 개인정보의 항목
- ② 유출된 시점과 경위
- ③ 개인정보처리자의 대응조치 및 피해 구제절차
- ④ 신고를 접수할 수 있는 담당부서 및 연락처
개인정보 유출 신고 의무 3가지 요건
| 번호 | 신고 요건 |
|---|---|
| ① | 1천 명 이상의 정보주체에 관한 개인정보가 유출된 경우 |
| ② | 민감정보 또는 고유식별정보가 유출된 경우 |
| ③ | 개인정보처리시스템 또는 정보기기에 대한 외부로부터의 불법적인 접근에 의해 유출된 경우 |
📋 신고 기관
유출 신고 대상 기관: 개인정보보호위원회
🎯 시험 출제 포인트
- 유출 통지 시기: 72시간 이내 (정당한 사유 없는 경우)
- 통지 4종: 유출 항목 · 시점·경위 · 대응조치·피해구제절차 · 담당부서·연락처
- 신고 3요건: 1천 명 이상 / 민감정보·고유식별정보 / 외부 불법 접근
- 신고 기관: 개인정보보호위원회
4. 개인정보 영향평가(PIA) · 가명/익명 처리 · 라운딩 3종
Q 개인정보 영향평가(PIA, Privacy Impact Assessment)란?
→ 새로운 정보시스템 도입 또는 기존 처리시스템 중대 변경 시 개인정보에 미치는 영향을 사전에 조사·예측·검토하여 개선 방안을 도출하는 체계적 절차
위험도 산정 공식: 위험도 = 개인정보 영향도 + (침해요인 발생가능성 × 법적 준거성) × 2
식별 가능성 있음
🔤 가명처리 (Pseudonymization)
개인정보 일부를 삭제·대체하여 추가 정보 없이는 식별 불가하도록 처리. 추가 정보를 결합하면 개인 식별 가능.
식별 불가
🔒 익명처리 (Anonymization)
더 이상 특정 개인을 알아볼 수 없도록 처리. 추가 정보를 결합해도 개인 식별 불가. 개인정보보호법 적용 대상 아님.
가명·익명화 기술 — 라운딩(Rounding) 3종
| 라운딩 종류 | 설명 |
|---|---|
| 일반 라운딩 | 올림·내림·반올림 기준을 적용하여 집계 처리 |
| 랜덤 라운딩 | 수치 데이터를 임의의 수 기준으로 올림 또는 내림 |
| 제어 라운딩 | 라운딩 적용 시 행이나 열의 합이 원본과 일치하도록 라운딩을 조정 |
🎯 시험 출제 포인트
- PIA = 개인정보에 미치는 영향 사전 평가 / 신규 시스템 도입·중대 변경 시
- 위험도 공식: 영향도 + (발생가능성 × 법적준거성) × 2
- 가명처리 = 추가 정보 없이 식별 불가 (추가 정보 있으면 식별 가능)
- 익명처리 = 어떤 방법으로도 식별 불가 / 개인정보보호법 적용 제외
- 라운딩 3종: 일반(올림·내림·반올림) · 랜덤(임의 수 기준) · 제어(합계 원본과 일치)
5. 개인정보처리자 · 취급자 · 처리시스템 정의
| 용어 | 정의 |
|---|---|
| 개인정보처리자 | 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관·법인·단체·개인 등 |
| 개인정보취급자 | 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 임직원·파견근로자·시간제근로자 등 |
| 개인정보처리시스템 | 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템 |
| 정보주체 | 처리되는 정보에 의해 알아볼 수 있는 사람으로 그 정보의 주체가 되는 사람 |
| 개인정보파일 | 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열·구성한 집합물 |
| 개인정보 보호책임자 | 개인정보 처리에 관한 업무를 총괄해서 책임지거나 업무처리를 최종적으로 결정하는 자 |
🎯 시험 출제 포인트
- 개인정보처리자 = 업무 목적으로 스스로 또는 타인 통해 처리하는 주체
- 개인정보취급자 = 처리자의 지휘·감독을 받아 처리하는 자 (임직원·파견·시간제)
- 개인정보파일 = 체계적으로 배열·구성한 집합물
- 보호책임자 = 업무 총괄 책임·최종 결정자
6. 안전성 확보조치 기준 — 비밀번호 · 접속기록 · 내부관리계획
비밀번호 기준
🔑 내부망 비밀번호 길이
문자+숫자 조합: 최소 8자리 이상
문자만: 최소 10자리 이상
내부망 = 인터넷 접근이 통제·차단되는 구간
문자만: 최소 10자리 이상
내부망 = 인터넷 접근이 통제·차단되는 구간
내부 관리
📋 내부관리계획
개인정보가 분실·도난·유출·위조·변조·훼손되지 않도록 안전성을 확보하기 위한 조직 내부의 관리계획. 임기응변이 아닌 체계적·전사적 보호 목적.
안전성 확보조치 기준 — 접속기록
접속기록 정의 및 보존 기간
- 접속기록 = 개인정보처리시스템 접속자의 식별자·접속일시·접속지 정보·처리한 정보주체 정보·수행업무를 전자적으로 기록한 것
- 기본 보존 기간: 최소 1년 이상
- 강화 보존 기간(2년 이상) 적용 대상:
- 5만 명 이상의 정보주체 정보를 처리하는 개인정보처리자
- 고유식별정보 또는 민감정보를 처리하는 경우
🎯 시험 출제 포인트
- 내부망 비밀번호: 문자+숫자 8자리 이상 / 문자만 10자리 이상
- 접속기록 기본: 1년 이상 / 5만 명 이상·고유식별·민감정보 처리: 2년 이상
- 내부관리계획 = 체계적·전사적 개인정보 안전성 확보 관리계획
- 접속기록 5대 항목: 식별자·접속일시·접속지·처리한 정보주체·수행업무
7. 안전성 확보조치 기준 — 인증수단 3종 · 접속수단 2종 · 인터넷망 차단 의무
| 안전한 인증수단 | 설명 |
|---|---|
| 인증서 (PKI 기반) | 신원 확인 및 전자서명 검증에 사용하는 수단 |
| 보안토큰 | 스마트카드·USB 토큰 등 내부에 저장된 인증서를 외부 복사·재생성이 되지 않도록 보호하는 수단 |
| OTP (일회용 비밀번호) | 무작위 난수를 일회용으로 생성하여 한 번만 사용 가능한 방식 |
| 안전한 접속수단 | 설명 |
|---|---|
| VPN (가상사설망) | 원격 접속 시 IPsec 또는 SSL 기반 암호 프로토콜 + 터널링 기술로 암호통신 제공 |
| 전용선 | 물리적으로 독립된 회선으로 두 지점 간을 연결하는 접속수단 |
인터넷망 차단 조치 의무 대상
다음 중 하나에 해당하는 경우 인터넷망에서 개인정보처리시스템 접근 차단 필수
- 전년도 말 기준 직전 3개월간 개인정보가 저장·관리되고 있는 이용자 수가 일일 평균 100만 명 이상인 개인정보처리자
- 클라우드컴퓨팅 서비스를 이용하여 개인정보처리시스템을 운영하는 경우
🎯 시험 출제 포인트
- 안전한 인증수단 3종: 인증서(PKI) · 보안토큰 · OTP
- 안전한 접속수단 2종: VPN(IPsec·SSL 기반) · 전용선(물리적 독립 회선)
- 인터넷망 차단 의무: 직전 3개월 일일 평균 100만 명 이상 또는 클라우드 운영
8. 생체정보 vs 생체인식정보 · 악성프로그램 방지 · 개인정보 파기
상위 개념
👁️ 생체정보
지문·얼굴·홍채·정맥·음성·필적 등 개인의 신체적 또는 행동적 특징에 관한 정보.
하위 개념 (민감정보 해당)
🔐 생체인식정보
생체정보 중 특정 개인을 인증 또는 식별할 목적으로 처리된 정보. 생체정보의 하위 개념. 민감정보에 포함.
Q 안전성 확보조치 기준 — 악성프로그램 방지 조치는?
→ 개인정보처리시스템 및 개인정보 처리에 이용하는 정보기기에 악성프로그램 방지 소프트웨어 설치·운영. 항시 점검·치료 가능하도록 유지. 최신 상태 유지·주기적 갱신·점검 의무.
Q 개인정보 파기 방법은?
→ 보유 기간 경과·처리 목적 달성 등으로 불필요해진 경우 지체 없이 파기
• 전자적 파일: 복원이 불가능한 방법으로 영구 삭제
• 기록물·인쇄물·서면 등: 파쇄 또는 소각
• 파기에 관한 사항을 기록으로 남겨야 함
• 전자적 파일: 복원이 불가능한 방법으로 영구 삭제
• 기록물·인쇄물·서면 등: 파쇄 또는 소각
• 파기에 관한 사항을 기록으로 남겨야 함
🎯 시험 출제 포인트
- 생체정보 = 신체적·행동적 특징 정보 (상위 개념)
- 생체인식정보 = 인증·식별 목적으로 처리된 것 (하위 개념, 민감정보 해당)
- 악성프로그램 방지: 방지 SW 설치·운영 + 최신 상태 유지 + 주기적 점검
- 파기 방법: 전자파일 = 복원 불가능한 영구 삭제 / 종이 = 파쇄·소각
9. 민감정보 · 고유식별정보 4종 · 동의 없이 수집 가능 경우
개인정보보호법 — 민감정보 범위
민감정보 = 사생활을 현저히 침해할 우려가 있는 정보 / 별도 동의 또는 법령 근거 필요
- 사상·신념 / 노동조합·정당 가입·탈퇴 / 정치적 견해
- 건강 및 성생활에 관한 정보
- 유전자 정보
- 범죄경력 자료에 해당하는 정보
- 생체인식정보
- 인종이나 민족에 관한 정보
개인정보보호법 — 고유식별정보 4종
개인을 고유하게 식별하기 위해 부여된 식별정보 / 별도 동의 또는 법령 근거 + 암호화 필수
- ① 주민등록번호
- ② 여권번호
- ③ 운전면허번호
- ④ 외국인등록번호
개인정보보호법 제15조 — 동의 없이 수집·이용 가능한 경우
다음 중 하나에 해당하는 경우 동의 없이 수집 가능
- ① 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위한 경우
- ② 공공기관이 법령 등에서 정한 소관 업무 수행을 위해 불가피한 경우
- ③ 정보주체와의 계약 체결 및 이행을 위해 불가피하게 필요한 경우
- ④ 정보주체의 생명·신체에 대한 급박한 위험을 방지하기 위한 경우
- ⑤ 개인정보처리자의 정당한 이익 달성을 위한 경우
🎯 시험 출제 포인트
- 민감정보 = 별도 동의 또는 법령 근거 필요 / 생체인식정보·유전자정보 포함
- 고유식별정보 4종: 주민등록번호·여권번호·운전면허번호·외국인등록번호
- 고유식별정보 처리 조건: 별도 동의·법령 근거 + 암호화 필수
- 제15조 동의 없이 수집 가능 5가지: 법령·공공 소관업무·계약 이행·급박한 위험·정당한 이익
10. 📌 정보보안일반·법규 5-1 ~ 5-3 전체 통합 최종 요약
🎯 5-3편 법규 핵심 절대 암기 포인트
- 제17조 동의 고지 5종: 제공받는 자·이용 목적·정보 항목·보유 기간·거부 권리
- 제25조 CCTV 안내판 3종: 설치 목적·장소 / 촬영 범위·시간 / 관리책임자 연락처
- 제26조 위탁 계약서: 처리 금지·기술적관리적 보호조치·안전한 관리 + 수탁자 공개 의무
- 제34조 유출 통지: 72시간 이내 / 통지 내용: 유출 항목·시점·경위·대응조치·담당부서
- 유출 신고 3요건: 1천 명 이상 / 민감·고유식별정보 / 외부 불법 접근
- 신고 기관: 개인정보보호위원회
- PIA = 개인정보에 미치는 영향 사전 평가 / 신규 시스템·중대 변경 시
- 위험도 공식: 영향도 + (발생가능성 × 법적준거성) × 2
- 가명처리 = 추가 정보 없이 식별 불가 (추가 시 식별 가능)
- 익명처리 = 어떤 방법으로도 식별 불가 → 개인정보보호법 적용 제외
- 라운딩 3종: 일반·랜덤·제어
- 개인정보처리자 = 업무 목적 주체 / 취급자 = 지휘·감독 받아 처리하는 자
- 내부망 비밀번호: 문자+숫자 8자리 / 문자만 10자리
- 접속기록 보존: 기본 1년 이상 / 5만 명 이상·고유식별·민감정보: 2년 이상
- 접속기록 5항목: 식별자·접속일시·접속지·처리한 정보주체·수행업무
- 내부관리계획 = 체계적·전사적 개인정보 안전성 확보 관리계획
- 안전한 인증수단 3종: 인증서(PKI)·보안토큰·OTP
- 안전한 접속수단 2종: VPN(IPsec·SSL)·전용선
- 인터넷망 차단 의무: 직전 3개월 일일 평균 100만 명 이상 또는 클라우드 운영
- 생체정보(상위) vs 생체인식정보(하위·민감정보·인증·식별 목적 처리)
- 악성프로그램 방지: 방지 SW 설치·운영·최신 유지·주기적 점검
- 파기: 전자파일 = 복원 불가능한 영구 삭제 / 종이 = 파쇄·소각
- 민감정보 = 별도 동의·법령 근거 / 생체인식·유전자·범죄경력·사상·건강·인종 포함
- 고유식별정보 4종: 주민등록번호·여권번호·운전면허번호·외국인등록번호
- 고유식별정보 처리: 별도 동의·법령 근거 + 암호화 필수
- 제15조 동의 없이 수집 5가지: 법령·공공 소관업무·계약 이행·급박한 위험·정당한 이익
- ISMS-P 인증 기준: 관리체계 16 + 보호대책 64 + 개인정보 21 = 총 101개
- ISMS-P 심사 주기: 최초심사→매년 사후심사→3년마다 갱신심사
- 인증기관: 과학기술정보통신부장관 + 개인정보보호위원회