개인정보배움터 6주 수강 총정리 — 개인정보 보호법부터 처리 단계까지
개인정보보호위원회가 운영하는 개인정보배움터 강의를 6주간 수강하며 배운 내용을 한 글로 정리했습니다.
법의 탄생 배경부터 보호 필요성, 실제 판례, 그리고 수집·이용·저장 각 단계의 실무 기준까지 다룹니다.
📌 목차
- 개인정보 보호법의 흐름과 관련 법제
- 개인정보 보호의 필요성
- 사례로 보는 개인정보 이슈
- 처리 단계별 절차 ① 이용·제공
- 처리 단계별 절차 ② 수집·동의
- 처리 단계별 절차 ③ 저장·관리
1. 개인정보 보호법의 흐름과 관련 법제
왜 개인정보 보호법이 만들어졌나?
2000년대 이후 정보화·온라인화가 급격히 진행되면서 개인정보 유출·오남용 사고가 크게 늘었다. 당시에는 정보통신망법, 공공기관법 등 분야별 개별법이 따로 존재했는데, 규율이 흩어져 있다 보니 보호 사각지대가 생길 수밖에 없었다. 이를 하나로 통합하고 공공·민간을 아우르는 일반법으로 2011년 개인정보 보호법이 출범했다.
제정 목적은 크게 세 가지다.
- 수집부터 파기까지 개인정보 처리 전 단계의 기준을 명문화
- 정보주체(나 자신)의 권리 중심 패러다임 정착
- 국제 수준(EU GDPR 등)의 보호체계 구축
개정의 흐름
| 시기 | 특징 |
|---|---|
| 2011년 | 기초 법제 정립 |
| 2013~2017년 | 보호 강화기 |
| 2020년 | 데이터 3법 개정 — 데이터 활용 기반 정비, 정보통신망법 조항 대거 통합 |
| 2023~2025년 | AI·IoT 등 신기술 대응, 글로벌 정합성 강화 |
2020년 개정이 특히 중요한데, '보호 중심'에서 '보호와 활용의 균형'으로 패러다임이 전환된 분기점이다.
우리나라 개인정보 보호 법체계
헌법(1단계) → 법률(2단계: 개인정보 보호법·정보통신망법·신용정보법) → 시행령(3~4단계) → 행정규칙(5단계) 순의 계층 구조를 이루며, 특별법이 일반법보다 우선 적용된다.
개인정보 보호법(일반법) 은 공공·민간 모두를 대상으로 하며, 2020년 개정 이후 온라인 사업자 특례 조항도 대부분 이 법으로 통합됐다.
정보주체의 6대 권리 (제4조)
- 처리에 관한 정보를 제공받을 권리
- 동의 여부 및 범위를 선택·결정할 권리
- 개인정보 열람 및 전송을 요구할 권리
- 처리 정지·정정·삭제·파기를 요구할 권리
- 피해를 신속·공정하게 구제받을 권리
- 완전히 자동화된 결정을 거부하거나 설명을 요구할 권리
2. 개인정보 보호의 필요성
디지털 시대, 개인정보의 범위가 넓어졌다
예전엔 개인정보라 하면 이름·주민등록번호 같은 신상정보가 전부였다. 지금은 GPS 위치 정보, SNS 사진, AI 학습 데이터, 인터넷 접속 기록, CCTV 영상까지 모두 개인정보가 된다. IoT 기기나 자율주행차는 사실상 '바퀴 달린 감시탑'이라 할 만큼 방대한 민감정보를 수집한다.
개인정보는 기업 입장에서도 부가가치를 창출하는 자산이 됐다. 맞춤형 서비스, 소비 트렌드 분석, 재고 관리 등에 활용되면서 경제적·사회적 가치가 매우 높아졌다.
개인정보 침해는 현재진행형
최근 3년간 개인정보 유출 신고 건수는 연 300건 내외였으나, 2025년에는 SKT 해킹 사건 등으로 유출 규모가 전년 대비 약 3배 급증했다. 신고 건수는 비슷해도 한 건의 규모가 수천만 명에 달할 수 있다는 게 핵심이다.
개인정보 생명주기별 침해 유형
| 단계 | 주요 침해 유형 |
|---|---|
| 수집 | 과도한 수집, 무단 수집, 민감정보 무분별 수집 |
| 저장 | 부주의로 인한 유출, 관리 소홀 |
| 이용·제공 | 목적 외 이용, 동의 없는 제3자 제공·매매 |
| 파기 | 목적 달성 후 미파기 |
2차 피해도 심각하다. 유출된 개인정보는 명의 도용, 스팸·피싱, 신분증 위조, 금융 범죄, 사생활 정보 유포 등으로 이어진다.
개인정보 보호는 단순한 보안 문제가 아니라 인권의 문제다. 개인의 안전, 사회의 신뢰, 기업의 지속가능성을 지키는 기반이기도 하다.
3. 사례로 보는 개인정보 이슈
사례 1 — 형식적 동의는 동의가 아니다
A사는 경품 행사 응모 시 개인정보 수집·제3자 제공 동의란에 모두 체크하도록 유도하면서, 고지사항을 글씨 크기 1mm로 인쇄해 사실상 읽을 수 없게 했다. 수집한 고객 정보를 보험사에 판매해 텔레마케팅에 활용했다.
1·2심은 무죄였지만, 대법원과 파기환송심은 유죄를 확정했다. 정보주체가 실제로 내용을 인지할 수 없는 방식이라면 '부정한 수단에 의한 동의'에 해당한다는 논리다.
핵심: 중요한 내용은 정보주체가 명확히 알아볼 수 있게 표시해야 한다. 형식적으로 동의란이 있어도 실질적 인지가 없으면 위법이다.
사례 2 — 기업의 안전조치 의무
B사는 해커에게 직원 VPN 계정이 탈취되어 파일 서버 내 개인정보가 다크웹에 공개됐다. 초기에 "유출 없음"으로 발표했다가 사후 인정하며 신뢰를 잃었다.
개인정보보호위원회 결정 요지는 세 가지 위반이었다.
- §21 위반 — 보유기간 경과 개인정보 38만여 명 분 미파기
- §24조의2 위반 — 주민등록번호를 암호화하지 않고 파일 서버에 저장
- §29 위반 — 파일 서버 기술적·관리적 안전조치 소홀
결과: 과징금 75억 400만원, 홈페이지 공표 명령.
핵심 : 원격 근무 확산 시대에 VPN 보안, 파일 서버 접근 통제, 암호화, 파기 관리는 선택이 아닌 의무다.
사례 3 — AI 학습 데이터와 개인정보
C사는 자사 메신저 서비스 이용자의 카카오톡 대화 약 94억 건을 챗봇 학습 데이터로 활용했다. 이름·숫자를 치환하지 않은 채 학습시켰고, 응답 데이터에 실제 전화번호 20건이 포함돼 있었다.
위반 사항 요약:
| 위반 행위 | 위반 조항 |
|---|---|
| 명확한 동의 없이 학습 데이터 사용 | §22①(동의 방법) |
| 만 14세 미만 아동 개인정보 무단 수집 | §22⑥(미성년자) |
| 민감정보 별도 동의 없이 처리 | §23①(민감정보) |
| 탈퇴 회원 개인정보 미파기 | §21①(파기) |
| 카카오톡 대화를 챗봇 학습에 전용 | §18①(목적 외 이용) |
| 가명정보를 GitHub에 공유 | §28조의2②(가명정보 제3자 제공) |
결과: 과징금 5,550만원, 과태료 4,780만원.
핵심 : 기존 서비스에서 수집한 데이터를 AI 학습에 재활용하는 것은 '목적 외 이용'이 될 수 있다. AI 개발 단계에서도 개인정보 보호 기준이 동일하게 적용된다.
4. 처리 단계별 절차 — 이용·제공
제3자 제공이란?
개인정보를 처음 수집한 처리자 외의 다른 처리자에게 지배·관리권이 넘어가는 것이다. 제휴사에 이벤트 응모자 정보를 전달하거나, 온라인 플랫폼에서 주문자 정보를 판매자에게 넘기는 것이 대표적인 예다.
위탁과 구분이 중요하다.
| 구분 | 설명 |
|---|---|
| 제3자 제공 | 개인정보의 지배·관리권이 외부로 이전 |
| 위탁 | 처리자의 업무 목적 내에서 수탁사에게 업무를 맡기는 것 |
| 영업양도 | 관리 주체만 바뀌는 것 (지배권 이전 아님) |
제3자 제공의 적법 근거
정보주체의 동의가 가장 기본이고, 그 외에 법령상 의무, 급박한 이익 보호, 처리자의 정당한 이익 등 법이 정한 경우에만 동의 없이 제공할 수 있다.
동의를 받을 때는 반드시 다음 다섯 가지를 고지해야 한다.
- 제공받는 자
- 이용 목적
- 제공하는 항목
- 보유·이용기간
- 동의 거부 권리 및 불이익
위반 시 5년 이하 징역 또는 5천만 원 이하 벌금, 전체 매출액의 3% 이하 과징금이 부과될 수 있다.
처리 위탁 시 주의사항
위탁 계약서에는 개인정보 보호 관련 사항을 반드시 포함해야 하고, 수탁사를 주기적으로 교육·점검해야 한다. 계약 종료 후에는 개인정보 파기 여부까지 확인하는 것이 중요하다.
5. 처리 단계별 절차 — 수집·동의
개인정보 수집의 범위
수집은 정보주체로부터 직접 받는 것만이 아니다.
- 제3자로부터 수집: 플랫폼에서 제공받은 구매자 주문 내역 등
- 공개된 자료에서 수집: 전체 공개 SNS, 검색 결과 등
- 업무 처리 과정에서 생성: 고객센터 문의, 시스템 로그·접속 기록 등
공개된 정보라도 공개 취지를 벗어나 마케팅 DB로 활용하는 것은 목적 외 이용이 될 수 있어 동의가 필요하다.
적법 수집 근거 7가지
- 정보주체의 동의
- 법률의 특별 규정 또는 법령상 의무
- 공공기관의 소관 업무 수행
- 계약 체결·이행
- 급박한 생명·신체·재산 이익 보호
- 처리자의 정당한 이익 (정보주체 권리보다 명백히 우선할 것)
- 공중위생 등 공공의 안전·안녕을 위한 긴급한 경우
2023년 개정의 핵심 변화
기존에는 온라인 서비스에서 개인정보를 수집할 때 '필수 동의'가 기본이었다. 개정 이후 정보통신서비스 제공자에 대한 '필수 동의 원칙'이 삭제됐고, '계약 이행'을 위한 수집에서 '불가피하게'라는 요건도 없어졌다. 기존에 필수 동의로 설계된 항목들을 재검토할 필요가 있다.
최소 수집 원칙
꼭 필요한 최소한의 개인정보만 수집해야 하며, 이를 증명할 입증 책임은 처리자에게 있다. 추가 수집에 동의하지 않는다는 이유로 서비스 자체를 거부하면 안 된다.
특별 보호 대상
- 만 14세 미만 아동: 법정대리인 동의 필수
- 민감정보(사상·신념·건강·성생활 등): 별도 동의 또는 법적 근거 필요
- 고유식별정보·주민등록번호: 별도의 엄격한 제한 기준 적용
6. 처리 단계별 절차 — 저장·관리
왜 안전하게 저장해야 하나?
개인정보는 수집 이후에도 저장·보관 중에 유출될 수 있다. 최근 유출 사고 원인으로는 관리자 페이지 비정상 접속, SQL 인젝션, 랜섬웨어, 크리덴셜 스터핑, 웹셸, 파라미터 변조 등이 빈번하게 나타났다. 내부자에 의한 유출 경로도 무시할 수 없다.
안전조치 의무를 다하지 않아 개인정보가 유출된 경우 전체 매출액의 3% 이내 과징금 (매출 없거나 산정 곤란 시 최대 20억원)이 부과된다.
안전성 확보조치 5가지
① 접근 권한 관리
업무 수행에 필요한 최소 범위로 차등 부여하고, 직무 변경 시 즉시 말소해야 한다. 1인 1계정 원칙을 준수하고, 권한 부여 기록은 최소 3년 보관한다.
② 접근 통제
방화벽·침입탐지시스템 구축, 외부 접속 시 OTP 등 추가 인증 적용, 일정 시간 미사용 시 자동 차단, 인터넷망 분리(구 망분리) 등이 해당한다.
③ 암호화
주민등록번호, 비밀번호, 바이오정보 등은 반드시 암호화해서 저장해야 한다. 식별 가능한 모든 개인정보를 암호화하는 것이 유출 대비 위험 관리 측면에서 효과적이다.
④ 접속기록 보관 및 점검
개인정보 처리시스템에 대한 접속 기록(식별자, 접속 일시, 접속지, 처리 내역 등)을 2년 이상 보관하고 주기적으로 점검해야 한다.
⑤ 물리적 안전조치
전산실·자료보관실 등 물리적 보관 장소에 출입 통제 절차를 수립하고, 개인정보가 담긴 서류나 USB는 잠금장치가 있는 곳에 보관해야 한다.
개인정보취급자 금지행위 (제59조)
- 거짓·부정한 수단으로 개인정보 취득 또는 동의 수령
- 업무상 알게 된 개인정보 누설 또는 무단 제공
- 정당한 권한 없이 타인의 개인정보를 이용·훼손·유출
위반 시 5년 이하 징역 또는 5천만 원 이하 벌금.
동향스터디 1주차 복습 내용 정리
규연 질문 : What is the difference between 'pseudonymised data' and 'anonymous data' under the GDPR?
Under the GDPR, pseudonymised data is defined as 'the processing of personal data in such a manner that the personal data that can no longer be attributed to a specific data subject without the use of additional information.'. Besides, anonymous data is defined as information that does not relate to an identified or identifiable natural person or to personal data rendered ananymous that the data subject is not or no longer identifiable.
정은 질문 : What kind of information do GDPR and PIPA define as sensitive information?
Under the GDPR, it contains data subject's racial or ethnic origin, political opinions, religious or philosophical beliefs, trade union membership, and the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation.
Similarly, under PIPA, genetic information, criminal records, information regarding an individual's criminal records, infomation regarding an individual's physical, physiological, and behavioural characteristics generated through certain technical means for the purpose of identifying a specific individual and racial/ethnic data.
원래 알던 내용
GDPR의 역외 적용(Extraterritorial Scope)이 생각보다 강력하다. EU에 사업장이 없어도 EU 거주자에게 서비스를 제공하거나 행동을 모니터링하면 GDPR이 적용된다. PIPA는 이런 역외 적용 기준이 명문화되지 않고, "한국 대상 서비스 제공 여부", "한국 내 수익 창출 여부" 같은 실질적 기준으로 판단한다는 점이 달랐다.
PIPA는 자동화/비자동화 처리를 구분하지 않는다. GDPR은 자동화 처리와 수기(종이) 기록을 구분하지만, PIPA는 컴퓨터 기록이든 종이 기록이든 동일하게 적용된다.
이해가 잘 안 갔던 내용
Material Scope(물적 적용 범위)의 차이. GDPR은 순수 개인 활동이나 법 집행 목적 처리는 명시적으로 제외한다. PIPA는 친목 도모 목적에 한해 일부 조항만 제외하는 식으로, 제외 범위가 GDPR보다 덜 명확하게 규정되어 있다. 어디까지가 "친목 도모"인지 기준이 모호하게 느껴졌다.
Data Controller와 Data Handler의 미묘한 차이. 둘 다 "개인정보처리자" 역할인데, GDPR의 Controller는 처리 목적과 수단을 결정하는 주체로 명확히 정의된다. PIPA의 Handler는 범위가 조금 더 포괄적으로 느껴져서, 실제 분쟁 시 어떻게 구분되는지 아직 잘 감이 안 온다.
핵심 요약 한 줄
GDPR과 PIPA는 개인정보 정의·보호 원칙 면에서 닮았지만, 역외 적용 명확성과 자동화 처리 구분 여부에서 가장 큰 차이를 보인다.
'개인정보보호 > 기타 추가 공부' 카테고리의 다른 글
| 무죄는 맞지만, 운이 좋았다 — 대법원 2023도17590 판결을 보며 (0) | 2026.05.14 |
|---|---|
| [Theori] 코드가 정상이라면, 정말 안전할까? | 비즈니스 로직 취약점이란 (0) | 2026.05.10 |
| [개보법 판례 조사] 대법원 2024. 7. 11. 선고 2019다242045, 2019다242052 판결 (0) | 2026.05.03 |
| [개보법 판례 조사] 조합장의 농업협동조합법 위반 행위를 고발하기 위하여 개인정보가 포함된 자료들을 수사기관에 제출한 사건[대법원 2025. 7. 18. 선고 중요판결] (0) | 2026.05.03 |
| [개보법 판례 조사] 위메프 개인정보 유출 과징금 소송(행정소송 3심 확정) (0) | 2026.05.03 |