1. 개인정보 저장/관리 개요

필요성 : 개인정보처리자는 수집/이용을 위해 저장 중인 개인정보를 안전하게 관리 해야 함

법적 근거 : 제3조(개인정보 보호 원칙), 제29조(안전조치의무)

 

개인정보취급자 : 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘/감독을 받아 개인정보를 처리하는 자

개인정보처리시스템 : 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템

출처 : 개인정보배움터

개인정보 유출 사고 동향

출처 : 개인정보배움터

원인으로는

원인미상, 관리자 페이지 비정상 접속, ,SQL 인젝션, 랜섬웨어 등 악성코드, 크리덴셜 스터핑, 웹셸, 파라미터 변조 순으로 빈번했다.

 

개인정보 유출 경로

출처 : 개인정보배움터

내부자 유출이 발생하지 않도록 안전성 확보 조치를 잘 취해 놓아야 한다.

 

벌칙 규정

제64조의(과징금의 부과) : 개인정보가 분실/도난/유출/위조/변조/훼손된 경우로 개인정보 유출 등 사고 안전성 확보에 필요한 조치를 다하지 않은 경우

-> 전체 매출액의 100분의 3이내 과징금(매출액이 없거나 산정이 곤란한 경우 20억 원 이내)

 

개인정보취급자 금지행위

제59조(금지행위) 개인정보를 처리하거나 처리하였던 자는 다음 각 호의 어느 하나에 해당하는 행위를 하여서는 아니 된다.

 1. 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위

 2. 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위

 3. 정단한 권한 없이 또는 허용된 권한을 초과하여 다른 사람의 개인정보를 이용, 훼손, 멸실, 변경, 위조 또는 유출하는 행위

-> 위반 시 5년 이해의 징역 또는 5천만 원 이하의 벌금

2. 안정성 확보조치 주요 내용

개인정보 내부관리계획

전사 규정으로 마련 CEO 등 최고경영층 내부 결재 등 승인 -> 임직원 및 관련자에게 알림

출처 : 개인정보배움터
출처 : 개인정보배움터

접근 권한의 안전한 관리

필요성 : 대형 개인정보 유출사고 시작은 관리자 권한의 획득에서 시작

 

법적 의무 사항

  • 접근 권한은 업무 수행에 필요한 최소한의 범위로 차등 부여
  • 업무 변경 시 지체 없이 접근권한 변경 또는 말소
  • 접근권한 부여/변경/말소 기록 최소 3년 보관
  • 개인정보취급자별 계정 발급, 다른 취급자와 공유 금지
  • 개인정보취급자/정보주체 인증수단 안전 적용
  • 일정 횟수 이상 인증 실패 시 접근 제한 등 필요한 조치

개인정보취급자 유의사항

  • 불필요한 접근 권한 신청하지 않기
  • 접근 권한은 반드시 내부 규정 기준과 절차에 따라 승인을 받아 사용
  • 조직 개편 및 직무 변경 등 불필요한 접근 권한 즉시 반납
  • 접근 권한 부여 내역의 점검 검토 시 소명에 응하기
  • 1인1계정 원칙, 타인과 계정 공유 주의
  • 비밀번호 분실 등 인증 실패 시 내부 절차에 따라 재설정

접근 통제

법적 의무 사항

  • 방화벽 등 침입차단 탐지 시스템 구축 및 운영
  • 외부에서 시스템 접속 시 OTP 등 안전한 인증 수단 적용
  • 인터넷 홈페이지, P2P, 공유 설정 등을 통한 공개 및 유출 방지 조치
  • 일정시간 시스템 미접속시 자동 접속 차단 등 조치
  • 업무용 모바일 기기/분실/도난 등을 인한 유출 방지를 위해 모바일 기기 비밀번호 설정 등 조치
  • 인터넷망 차단(구 망분리) 적용

개인정보취급자 유의사항

  • 이상 징후 발생시 즉시 개인정보보호 조직에 공유
  • 외부에서 관리자 시스템 접속 제한, 접속 불가피한 경우 규정에 따라 OTP등 추가 보안 조치
  • 업무용 단말기를 통한 P2P 서비스 이용 제한 및 공유 설정 시 주의
  • 시스템 미사용시 로그아웃 습관
  • 업무용 모바일 기기에 비밀번호 설정 등 보안 조치
  • 개인정보 다운로드 등 고위험 작업은 규정에 따라 안전한 환경에서 진행

개인정보의 암호화

개인정보처리시스템 개발 시 암호화 기준 적용에 대해 개인정보 내부관리계획 등 사내 규정 확인 개발

식별가능한 개인정보 전체를 암호화하는 것이 유출 사고 대비 위험 관리 측면에서 효과적

 

접속기록의 보관 및 점검

접속기록 : 식별자, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등을 전자적으로 기록한 것

 

법적 의무 사항

  • 개인정보취급자의 개인정보처리시스템에 대한 접속기록을 2년 이상 보관/관리
  • 접속기록 등을 주기적으로 점검
  • 접속기록 안전 보관 조치

개인정보취급자 유의사항

  • 접속 기록 소명 요청 대응
  • 다운로드 최소화 및 필요시 사유 입력
  • 개발자 접속기록 생성 및 다운로드 시 사유 입력 기능 마련 등

악성프로그램

바이러스, 웜, 랜섬웨어, 스파이웨어, 웹셀 등

 

법적 의무 사항

  • 악성프로그램 등 방지 치료할 수 있는 보안 프로그램 설치 운영
  • 응용프로그램/운영체제 소프트웨어 업데이터 공지 발생시 지체 없이 업데이트 등 실시

유의사항

  • PC 등 개인정보처리시스템 접속 단말기에 불법/비인가 제풀 설치 금지
  • PC 백신 등 보안 소프트웨어 및 운영체제 지체없이 업데이트

물리적 안전조치

필요성 : 개인정보를 저장하는 물리적 보관장소를 별도로 두고 있는 경우 비인가자의 출입 등으로 인한 개인정보의 유출 등을 방지

 

법적 의무 사항

  • 전산실, 자료보관실 등 개인정보를 보관하는 물리적 보관 장소에 출입통제 절차 수립/운영
  • 개인정보 포함 서류, 보조저장매체 등 잠금장치가 있는 안전 장소 보관
  • 개인정보가 포함된 보조조장매체 반/출입 통제를 위한 보안 대첵 마련

유의사항

  • 전산실, 자료보관실 등 출입통제구역의 출입 통제 절차 준수
  • 개인정보 출력물, 개인정보 파일이 저장된 USB 등은 시건장치 있는 서랍장, 캐비닛 등에 보관
  • 보안 USB 등 허가받은 보조저장매체 사용 및 통제 절차 준수

출처 : 개인정보배움터
출처 : 개인정보 배움터
출처: 개인정보 배움터

3. 개인정보취급자 실전수칙

안전한 저장/관리를 위한 개인정보 보호 수칙

출처 : 개인정보배움터

퀴즈

 

문제 1. 개인정보 유출 사고의 원인 중 가장 빈번하게 발생한 것은?

① SQL 인젝션 ② 관리자 페이지 비정상 접속 ③ 원인미상 ④ 랜섬웨어 등 악성코드

정답: ③ 해설: 유출 사고 원인 빈도는 원인미상 > 관리자 페이지 비정상 접속 > SQL 인젝션 > 랜섬웨어 등 악성코드 순으로 나타났다.

문제 2. 개인정보 안전성 확보조치 중 접근 권한 관리에 관한 설명으로 옳지 않은 것은?

① 접근 권한은 업무 수행에 필요한 최소한의 범위로 차등 부여해야 한다 ② 접근권한 부여/변경/말소 기록은 최소 3년 보관해야 한다 ③ 개인정보취급자는 업무 편의를 위해 계정을 공유할 수 있다 ④ 업무 변경 시 지체 없이 접근권한을 변경 또는 말소해야 한다

정답: ③ 해설: 1인 1계정 원칙에 따라 개인정보취급자별로 계정을 발급해야 하며, 다른 취급자와 계정을 공유하는 것은 금지된다.

문제 3. 개인정보 보호법 제59조(금지행위)를 위반한 경우의 벌칙으로 옳은 것은?

① 3년 이하의 징역 또는 3천만 원 이하의 벌금 ② 5년 이하의 징역 또는 5천만 원 이하의 벌금 ③ 7년 이하의 징역 또는 7천만 원 이하의 벌금 ④ 전체 매출액의 100분의 3 이내 과징금

정답: ② 해설: 제59조 금지행위(부정 취득, 누설, 권한 초과 이용·유출 등) 위반 시 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처한다. ④는 안전성 확보조치 미이행에 따른 과징금 규정이다.

문제 4. 개인정보처리시스템의 접속기록을 보관·관리해야 하는 법적 최소 보관 기간은 얼마인가?

정답: 2년 해설: 개인정보취급자의 개인정보처리시스템에 대한 접속기록은 2년 이상 보관·관리하여야 하며, 주기적인 점검과 안전한 보관 조치도 함께 요구된다.

문제 5. 개인정보가 분실·도난·유출·위조·변조·훼손된 경우로 안전성 확보에 필요한 조치를 다하지 않은 개인정보처리자에게 부과할 수 있는 과징금의 상한은 얼마인가? (매출액이 없거나 산정이 곤란한 경우 포함하여 서술할 것)

정답: 전체 매출액의 100분의 3 이내, 매출액이 없거나 산정이 곤란한 경우 20억 원 이내 해설: 개인정보 보호법 제64조의2(과징금 부과)에 따라 안전성 확보 조치 미이행으로 유출 사고가 발생한 경우 위와 같은 과징금이 부과될 수 있다.

'개인정보보호 > 개인정보보호 강의 수강' 카테고리의 다른 글

[가명정보지원플랫폼] 6차시 분야별 가명처리 이해  (0) 2026.05.24
[가명정보 지원 플랫폼] 4차시 - 가명정보 활용에 대한 이해  (0) 2026.05.17
[개인정보배움터] 개인정보 처리 단계별 절차 이해 - 수집/동의  (0) 2026.05.17
[가명정보 지원 플랫폼] 5차시 : 가명처리 이해  (0) 2026.05.10
[개인정보배움터] 개인정보 처리 단계별 절차 이해 - 이용/제공  (0) 2026.05.10

티스토리툴바