정보보호 소쿠리

PPT 분량 정리 + 동향 스터디 1주차 내용 복습 정리

maysokuli — Sun, 24 May 2026 23:14:12 +0900

개인정보배움터 6주 수강 총정리 — 개인정보 보호법부터 처리 단계까지

개인정보보호위원회가 운영하는 개인정보배움터 강의를 6주간 수강하며 배운 내용을 한 글로 정리했습니다.
법의 탄생 배경부터 보호 필요성, 실제 판례, 그리고 수집·이용·저장 각 단계의 실무 기준까지 다룹니다.

1. 개인정보 보호법의 흐름과 관련 법제

왜 개인정보 보호법이 만들어졌나?

2000년대 이후 정보화·온라인화가 급격히 진행되면서 개인정보 유출·오남용 사고가 크게 늘었다. 당시에는 정보통신망법, 공공기관법 등 분야별 개별법이 따로 존재했는데, 규율이 흩어져 있다 보니 보호 사각지대가 생길 수밖에 없었다. 이를 하나로 통합하고 공공·민간을 아우르는 일반법으로 2011년 개인정보 보호법이 출범했다.

제정 목적은 크게 세 가지다.

수집부터 파기까지 개인정보 처리 전 단계의 기준을 명문화
정보주체(나 자신)의 권리 중심 패러다임 정착
국제 수준(EU GDPR 등)의 보호체계 구축

개정의 흐름

시기	특징
2011년	기초 법제 정립
2013~2017년	보호 강화기
2020년	데이터 3법 개정 — 데이터 활용 기반 정비, 정보통신망법 조항 대거 통합
2023~2025년	AI·IoT 등 신기술 대응, 글로벌 정합성 강화

2020년 개정이 특히 중요한데, '보호 중심'에서 '보호와 활용의 균형'으로 패러다임이 전환된 분기점이다.

우리나라 개인정보 보호 법체계

헌법(1단계) → 법률(2단계: 개인정보 보호법·정보통신망법·신용정보법) → 시행령(3~4단계) → 행정규칙(5단계) 순의 계층 구조를 이루며, 특별법이 일반법보다 우선 적용된다.

개인정보 보호법(일반법) 은 공공·민간 모두를 대상으로 하며, 2020년 개정 이후 온라인 사업자 특례 조항도 대부분 이 법으로 통합됐다.

정보주체의 6대 권리 (제4조)

처리에 관한 정보를 제공받을 권리
동의 여부 및 범위를 선택·결정할 권리
개인정보 열람 및 전송을 요구할 권리
처리 정지·정정·삭제·파기를 요구할 권리
피해를 신속·공정하게 구제받을 권리
완전히 자동화된 결정을 거부하거나 설명을 요구할 권리

2. 개인정보 보호의 필요성

디지털 시대, 개인정보의 범위가 넓어졌다

예전엔 개인정보라 하면 이름·주민등록번호 같은 신상정보가 전부였다. 지금은 GPS 위치 정보, SNS 사진, AI 학습 데이터, 인터넷 접속 기록, CCTV 영상까지 모두 개인정보가 된다. IoT 기기나 자율주행차는 사실상 '바퀴 달린 감시탑'이라 할 만큼 방대한 민감정보를 수집한다.

개인정보는 기업 입장에서도 부가가치를 창출하는 자산이 됐다. 맞춤형 서비스, 소비 트렌드 분석, 재고 관리 등에 활용되면서 경제적·사회적 가치가 매우 높아졌다.

개인정보 침해는 현재진행형

최근 3년간 개인정보 유출 신고 건수는 연 300건 내외였으나, 2025년에는 SKT 해킹 사건 등으로 유출 규모가 전년 대비 약 3배 급증했다. 신고 건수는 비슷해도 한 건의 규모가 수천만 명에 달할 수 있다는 게 핵심이다.

개인정보 생명주기별 침해 유형

단계	주요 침해 유형
수집	과도한 수집, 무단 수집, 민감정보 무분별 수집
저장	부주의로 인한 유출, 관리 소홀
이용·제공	목적 외 이용, 동의 없는 제3자 제공·매매
파기	목적 달성 후 미파기

2차 피해도 심각하다. 유출된 개인정보는 명의 도용, 스팸·피싱, 신분증 위조, 금융 범죄, 사생활 정보 유포 등으로 이어진다.

개인정보 보호는 단순한 보안 문제가 아니라 인권의 문제다. 개인의 안전, 사회의 신뢰, 기업의 지속가능성을 지키는 기반이기도 하다.

3. 사례로 보는 개인정보 이슈

사례 1 — 형식적 동의는 동의가 아니다

A사는 경품 행사 응모 시 개인정보 수집·제3자 제공 동의란에 모두 체크하도록 유도하면서, 고지사항을 글씨 크기 1mm로 인쇄해 사실상 읽을 수 없게 했다. 수집한 고객 정보를 보험사에 판매해 텔레마케팅에 활용했다.

1·2심은 무죄였지만, 대법원과 파기환송심은 유죄를 확정했다. 정보주체가 실제로 내용을 인지할 수 없는 방식이라면 '부정한 수단에 의한 동의'에 해당한다는 논리다.

핵심: 중요한 내용은 정보주체가 명확히 알아볼 수 있게 표시해야 한다. 형식적으로 동의란이 있어도 실질적 인지가 없으면 위법이다.

사례 2 — 기업의 안전조치 의무

B사는 해커에게 직원 VPN 계정이 탈취되어 파일 서버 내 개인정보가 다크웹에 공개됐다. 초기에 "유출 없음"으로 발표했다가 사후 인정하며 신뢰를 잃었다.

개인정보보호위원회 결정 요지는 세 가지 위반이었다.

§21 위반 — 보유기간 경과 개인정보 38만여 명 분 미파기
§24조의2 위반 — 주민등록번호를 암호화하지 않고 파일 서버에 저장
§29 위반 — 파일 서버 기술적·관리적 안전조치 소홀

결과: 과징금 75억 400만원, 홈페이지 공표 명령.

핵심 : 원격 근무 확산 시대에 VPN 보안, 파일 서버 접근 통제, 암호화, 파기 관리는 선택이 아닌 의무다.

사례 3 — AI 학습 데이터와 개인정보

C사는 자사 메신저 서비스 이용자의 카카오톡 대화 약 94억 건을 챗봇 학습 데이터로 활용했다. 이름·숫자를 치환하지 않은 채 학습시켰고, 응답 데이터에 실제 전화번호 20건이 포함돼 있었다.

위반 사항 요약:

위반 행위	위반 조항
명확한 동의 없이 학습 데이터 사용	§22①(동의 방법)
만 14세 미만 아동 개인정보 무단 수집	§22⑥(미성년자)
민감정보 별도 동의 없이 처리	§23①(민감정보)
탈퇴 회원 개인정보 미파기	§21①(파기)
카카오톡 대화를 챗봇 학습에 전용	§18①(목적 외 이용)
가명정보를 GitHub에 공유	§28조의2②(가명정보 제3자 제공)

결과: 과징금 5,550만원, 과태료 4,780만원.

핵심 : 기존 서비스에서 수집한 데이터를 AI 학습에 재활용하는 것은 '목적 외 이용'이 될 수 있다. AI 개발 단계에서도 개인정보 보호 기준이 동일하게 적용된다.

4. 처리 단계별 절차 — 이용·제공

제3자 제공이란?

개인정보를 처음 수집한 처리자 외의 다른 처리자에게 지배·관리권이 넘어가는 것이다. 제휴사에 이벤트 응모자 정보를 전달하거나, 온라인 플랫폼에서 주문자 정보를 판매자에게 넘기는 것이 대표적인 예다.

위탁과 구분이 중요하다.

구분	설명
제3자 제공	개인정보의 지배·관리권이 외부로 이전
위탁	처리자의 업무 목적 내에서 수탁사에게 업무를 맡기는 것
영업양도	관리 주체만 바뀌는 것 (지배권 이전 아님)

제3자 제공의 적법 근거

정보주체의 동의가 가장 기본이고, 그 외에 법령상 의무, 급박한 이익 보호, 처리자의 정당한 이익 등 법이 정한 경우에만 동의 없이 제공할 수 있다.

동의를 받을 때는 반드시 다음 다섯 가지를 고지해야 한다.

제공받는 자
이용 목적
제공하는 항목
보유·이용기간
동의 거부 권리 및 불이익

위반 시 5년 이하 징역 또는 5천만 원 이하 벌금, 전체 매출액의 3% 이하 과징금이 부과될 수 있다.

처리 위탁 시 주의사항

위탁 계약서에는 개인정보 보호 관련 사항을 반드시 포함해야 하고, 수탁사를 주기적으로 교육·점검해야 한다. 계약 종료 후에는 개인정보 파기 여부까지 확인하는 것이 중요하다.

5. 처리 단계별 절차 — 수집·동의

개인정보 수집의 범위

수집은 정보주체로부터 직접 받는 것만이 아니다.

제3자로부터 수집: 플랫폼에서 제공받은 구매자 주문 내역 등
공개된 자료에서 수집: 전체 공개 SNS, 검색 결과 등
업무 처리 과정에서 생성: 고객센터 문의, 시스템 로그·접속 기록 등

공개된 정보라도 공개 취지를 벗어나 마케팅 DB로 활용하는 것은 목적 외 이용이 될 수 있어 동의가 필요하다.

적법 수집 근거 7가지

정보주체의 동의
법률의 특별 규정 또는 법령상 의무
공공기관의 소관 업무 수행
계약 체결·이행
급박한 생명·신체·재산 이익 보호
처리자의 정당한 이익 (정보주체 권리보다 명백히 우선할 것)
공중위생 등 공공의 안전·안녕을 위한 긴급한 경우

2023년 개정의 핵심 변화

기존에는 온라인 서비스에서 개인정보를 수집할 때 '필수 동의'가 기본이었다. 개정 이후 정보통신서비스 제공자에 대한 '필수 동의 원칙'이 삭제됐고, '계약 이행'을 위한 수집에서 '불가피하게'라는 요건도 없어졌다. 기존에 필수 동의로 설계된 항목들을 재검토할 필요가 있다.

최소 수집 원칙

꼭 필요한 최소한의 개인정보만 수집해야 하며, 이를 증명할 입증 책임은 처리자에게 있다. 추가 수집에 동의하지 않는다는 이유로 서비스 자체를 거부하면 안 된다.

특별 보호 대상

만 14세 미만 아동: 법정대리인 동의 필수
민감정보(사상·신념·건강·성생활 등): 별도 동의 또는 법적 근거 필요
고유식별정보·주민등록번호: 별도의 엄격한 제한 기준 적용

6. 처리 단계별 절차 — 저장·관리

왜 안전하게 저장해야 하나?

개인정보는 수집 이후에도 저장·보관 중에 유출될 수 있다. 최근 유출 사고 원인으로는 관리자 페이지 비정상 접속, SQL 인젝션, 랜섬웨어, 크리덴셜 스터핑, 웹셸, 파라미터 변조 등이 빈번하게 나타났다. 내부자에 의한 유출 경로도 무시할 수 없다.

안전조치 의무를 다하지 않아 개인정보가 유출된 경우 전체 매출액의 3% 이내 과징금 (매출 없거나 산정 곤란 시 최대 20억원)이 부과된다.

안전성 확보조치 5가지

① 접근 권한 관리
업무 수행에 필요한 최소 범위로 차등 부여하고, 직무 변경 시 즉시 말소해야 한다. 1인 1계정 원칙을 준수하고, 권한 부여 기록은 최소 3년 보관한다.

② 접근 통제
방화벽·침입탐지시스템 구축, 외부 접속 시 OTP 등 추가 인증 적용, 일정 시간 미사용 시 자동 차단, 인터넷망 분리(구 망분리) 등이 해당한다.

③ 암호화
주민등록번호, 비밀번호, 바이오정보 등은 반드시 암호화해서 저장해야 한다. 식별 가능한 모든 개인정보를 암호화하는 것이 유출 대비 위험 관리 측면에서 효과적이다.

④ 접속기록 보관 및 점검
개인정보 처리시스템에 대한 접속 기록(식별자, 접속 일시, 접속지, 처리 내역 등)을 2년 이상 보관하고 주기적으로 점검해야 한다.

⑤ 물리적 안전조치
전산실·자료보관실 등 물리적 보관 장소에 출입 통제 절차를 수립하고, 개인정보가 담긴 서류나 USB는 잠금장치가 있는 곳에 보관해야 한다.

개인정보취급자 금지행위 (제59조)

거짓·부정한 수단으로 개인정보 취득 또는 동의 수령
업무상 알게 된 개인정보 누설 또는 무단 제공
정당한 권한 없이 타인의 개인정보를 이용·훼손·유출

위반 시 5년 이하 징역 또는 5천만 원 이하 벌금.

동향스터디 1주차 복습 내용 정리

규연 질문 : What is the difference between 'pseudonymised data' and 'anonymous data' under the GDPR?

Under the GDPR, pseudonymised data is defined as 'the processing of personal data in such a manner that the personal data that can no longer be attributed to a specific data subject without the use of additional information.'. Besides, anonymous data is defined as information that does not relate to an identified or identifiable natural person or to personal data rendered ananymous that the data subject is not or no longer identifiable.

정은 질문 : What kind of information do GDPR and PIPA define as sensitive information?

Under the GDPR, it contains data subject's racial or ethnic origin, political opinions, religious or philosophical beliefs, trade union membership, and the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation.
Similarly, under PIPA, genetic information, criminal records, information regarding an individual's criminal records, infomation regarding an individual's physical, physiological, and behavioural characteristics generated through certain technical means for the purpose of identifying a specific individual and racial/ethnic data.

원래 알던 내용

GDPR의 역외 적용(Extraterritorial Scope)이 생각보다 강력하다. EU에 사업장이 없어도 EU 거주자에게 서비스를 제공하거나 행동을 모니터링하면 GDPR이 적용된다. PIPA는 이런 역외 적용 기준이 명문화되지 않고, "한국 대상 서비스 제공 여부", "한국 내 수익 창출 여부" 같은 실질적 기준으로 판단한다는 점이 달랐다.

PIPA는 자동화/비자동화 처리를 구분하지 않는다. GDPR은 자동화 처리와 수기(종이) 기록을 구분하지만, PIPA는 컴퓨터 기록이든 종이 기록이든 동일하게 적용된다.

이해가 잘 안 갔던 내용

Material Scope(물적 적용 범위)의 차이. GDPR은 순수 개인 활동이나 법 집행 목적 처리는 명시적으로 제외한다. PIPA는 친목 도모 목적에 한해 일부 조항만 제외하는 식으로, 제외 범위가 GDPR보다 덜 명확하게 규정되어 있다. 어디까지가 "친목 도모"인지 기준이 모호하게 느껴졌다.

Data Controller와 Data Handler의 미묘한 차이. 둘 다 "개인정보처리자" 역할인데, GDPR의 Controller는 처리 목적과 수단을 결정하는 주체로 명확히 정의된다. PIPA의 Handler는 범위가 조금 더 포괄적으로 느껴져서, 실제 분쟁 시 어떻게 구분되는지 아직 잘 감이 안 온다.

핵심 요약 한 줄

GDPR과 PIPA는 개인정보 정의·보호 원칙 면에서 닮았지만, 역외 적용 명확성과 자동화 처리 구분 여부에서 가장 큰 차이를 보인다.

[가명정보지원플랫폼] 6차시 분야별 가명처리 이해

maysokuli — Sun, 24 May 2026 21:47:45 +0900

1. 분야별 가명처리 이해

일반법과 특별법, 뭐가 다를까

우리나라 법 체계는 헌법을 최상위로, 그 아래 법률, 법령 순으로 위계가 있다. 이 안에서 개인정보보호법은 개인정보 보호 분야의 일반법에 해당한다. 공공기관이든 민간 사업자든 법인이든 상관없이 사회 전반에 걸쳐 적용되는 기본법이라고 보면 된다.

그런데 다른 법률에 특별한 규정이 따로 있으면 얘기가 달라진다. 그 경우엔 해당 특별법이 먼저 적용된다. 위치정보법, 신용정보법, 전자금융거래법, 의료법 같은 것들이 대표적인 예시다.

의료법 vs 개인정보보호법 — 어느 쪽을 적용해야 할까

실무에서 헷갈리는 부분 중 하나다. 같은 진료기록이라도 상황에 따라 적용 법이 달라진다.

구분	의료법 우선 적용	개인정보보호법 적용
언제?	의료기관이 보유 중인 환자 기록을 제3자(외부자)에게 열람·사본 발급 등의 방법으로 제공하는 경우	가명처리해서 환자 식별이 불가능한 진료기록, 또는 의료기관이 아닌 곳에서 보유하는 진료기록
근거 조문	의료법 제21조 또는 제21조의2	개인정보보호법

주의할 점: 개인정보보호법상으로는 제3자 제공이 허용되는 상황이더라도, 의료법 제21조·제21조의2에서 정한 경우가 아니라면 환자 관련 기록을 제3자에게 넘기는 건 금지된다. 두 법을 따로따로 보지 말고, 의료 데이터라면 의료법을 먼저 체크하는 습관이 필요하다.

데이터 3법 외에도 가명처리 관련 법령이 꽤 있다

개인정보보호법만 알면 된다고 생각하기 쉬운데, 분야별로 별도의 규정을 두고 있는 법령들이 생각보다 많다. 정리하면 아래와 같다.

법령명	관련 조문
데이터기반행정 활성화에 관한 법률(개정안)	제4조의2 데이터의 가명처리(신설)
감염병의 예방 및 관리에 관한 법률	제76조의3 감염병 정보의 분석 및 연구
농·축산·임·어업용 기자재 및 석유류 특례규정	제20조의3 면세유 공급명세의 홈페이지 공개
디지털 기반의 원격교육 활성화 기본법	제19조 원격교육 데이터의 처리
사회보장기본법	제42조 사회보장 행정데이터의 제공 요청
아동복지법 시행규칙	제18조 자립지원 실태조사 등
암관리법	제9조의2 암데이터 사업

데이터기반행정 활성화에 관한 법률 — 제4조의2

공공기관이 데이터 기반 행정 업무를 처리할 때 개인정보가 섞여 있으면, 우선 익명처리를 시도하고 그게 안 될 때 가명처리로 넘어가는 구조다. 가명처리를 했다면 정보주체 동의 없이도 활용이 가능하다.

감염병의 예방 및 관리에 관한 법률 — 제76조의3

질병관리청장이 감염병 예방·관리 목적으로 개인정보를 쓸 때는 원칙적으로 가명처리를 해야 한다. 다만 예외도 있다.

병상 배정처럼 긴급 조치가 필요해서 가명처리 할 시간이 없는 경우
예방접종 이상반응 대응, 감염 취약계층 지원처럼 가명처리된 정보로는 업무 자체가 안 되는 경우

아동복지법 시행규칙 — 제18조

자립지원 실태조사를 면접·설문·통계조사 등으로 진행할 때, 수집된 개인정보는 익명 또는 가명으로 처리해야 한다고 명시되어 있다.

암관리법 — 제9조의2

보건복지부장관이 암데이터 사업을 위해 각 기관에 자료 제공을 요청할 수 있는데, 자료를 넘길 때는 반드시 가명처리 후 제공해야 한다. 두 개 이상의 가명정보를 결합해 분석하거나 제3자에게 줄 수도 있지만, 특정 개인을 특정할 수 있는 정보가 섞이면 안 된다.

2. 분야별 가명처리 절차 설명

먼저 용어부터 정리하자

절차를 들어가기 전에 비슷해 보이는 용어들을 먼저 구분해 두는 게 좋다. 헷갈리면 나중에 더 헷갈린다.

용어	의미
적합성 검토	사전 준비 단계에서 하는 일이다. 외부에서 가명정보 제공을 신청했을 때, 그 신청 자체가 적합한지를 검토하는 절차다.
적정성 검토	적정성 검토 단계에서 하는 일이다. 사전준비, 위험성 검토, 가명처리 각 절차가 적정하게 이루어졌는지를 전반적으로 살피는 작업이다. 이름이 비슷한 '적정성 평가(신정법 기반 반출 절차)'와는 다른 개념이니 구분해야 한다.
데이터심의위원회	사전 준비와 적정성 검토 단계에서 적합·적정 여부를 판단하는 조직이다. 보건의료 데이터 활용 가이드라인 기준을 충족한 5인 이상으로 구성해야 한다.
적성성평가위원회	신용정보법 기반 데이터전문기관에서 결합된 가명·익명정보를 반출할 때 평가를 수행하는 조직이다. 개인정보보호법상 반출심사위원회와 역할이 유사하되, 신용정보법에서는 익명처리 평가까지 포함된다는 차이가 있다.

공공 분야 — 적합성 검토 절차

가명정보 제공 신청 → 신청서 접수 → 적합성 검토 → 결과 통보 → 제공 거부 or 제공 결정

신청서 내용이 부족하면 보완 요청이 가고, 일정 내 검토가 어려우면 사유와 연장 기간을 신청자에게 미리 알려야 한다. 중요한 건 적합성 검토에서 보는 내용인데, 크게 세 가지 축으로 확인한다.

검토 항목	주요 확인 내용
기관 내부여건 및 활용 위험성	가명처리·제공에 드는 비용을 감당할 수 있는지, 제공의 실질적 가치가 있는지, 신청자가 믿을 만한 곳인지 등을 본다.
법제도 부합 여부	개인정보보호법 제28조2에 따른 활용 목적에 맞는지, 다른 법적 제한은 없는지 확인한다.
기술적 가능 여부	비공개 정보를 기술적으로 분리할 수 있는지, 요청한 데이터와 실제 제공 가능한 데이터가 맞아떨어지는지 본다.

보건의료 분야 절차

내부 활용 — 기본 흐름

① P의사 — 데이터 활용 신청서 작성·제출
↓
③ A병원 데이터 심의위원회 — 심의
↓
④ 가명처리 방법 및 활용 환경 결정
↓
⑤ 가명처리 실시 (데이터 담당 부서)
↓
⑥ 가명처리 적정성 검토
↓
⑦ P의사 — 데이터 수령 (A병원 내 분석 환경)

같은 유형이면 심의 생략 가능

동일 목적·동일 유형의 데이터를 이전에 이미 심의한 사례와 똑같이 처리하는 경우라면, 기관장 재량으로 ③~⑤(심의위원회 심의, 처리 방법 결정, 가명처리 실시) 단계를 건너뛰고 ⑥ 적정성 검토만 진행할 수 있다. 시판 후 주기적으로 요청되는 의료기기 검사결과나 투약 결과 데이터가 대표적인 사례다.

다기관 결합 연구는 이렇게!

A 병원 소속 의사 P가 A·B·C 세 병원의 진료기록을 결합해서 연구하려 할 때의 절차다.

A병원 P의사	A, B, C 병원	X 결합기관
① 데이터 활용 신청서 작성
② 데이터 활용요구서 공문 발송 또는 개인신청	③④ 각 기관별 심의위원회 심의
	⑤ 결합기관에 신청서 제출 (각 기관)	⑥ 결합 적정성 검토
	⑦ 데이터 제출 (각 기관)	⑧ 결합 수행
		⑨ 반출 심의
⑩ 결합데이터 반출 또는 결합기관 분석환경 이용

금융 분야 절차

금융 분야는 데이터전문기관이 중심에 있는 구조다. 결합의뢰 기관과 데이터전문기관이 역할을 나눠서 진행한다.

결합의뢰 기관	데이터전문기관
결합키 생성
가명처리
결합 신청서 제출	신청 접수
결합률 사전통지 신청 / 결합률 전달(전송)	결합률 산출 → 결합률 사전통지
정보집합물 전달(전송)	데이터 설명회 → 정보집합물 결합
	가명처리 또는 익명처리 → 적정성 평가
결과서 수신 → 결합정보 수신 → 결합정보 활용 및 사후 관리	결합정보 전달(전송) → 관련 파일 일체 파기

데이터 설명회

데이터전문기관이 정보집합물의 구조와 가명처리 수준을 파악하기 위해 결합의뢰기관으로부터 직접 설명을 듣는 자리다. 주기적·반복적으로 같은 데이터가 들어오는 경우처럼 추가 설명이 딱히 필요 없다고 판단되면 생략할 수 있다.

적정성 평가

결합이 끝나면 데이터전문기관은 결합의뢰기관이 선택한 방식대로 가명처리 또는 익명처리를 하고, 그 결과에 대해 적정성 평가를 진행한다. 이때 보는 기준은 처리 목적, 이용기관의 재식별 의도 및 능력, 정보 보호 수준과 신뢰도 등이다.

이중 모델 vs 단일 모델

구분	이중 모델 (개인정보보호법)	단일 모델 (신용정보법)
특징	결합키 관리 기관이 별도로 존재한다. 협의된 방법으로 생성한 임시대체키를 전송하고, 결합 전문 기관에서 결합을 수행하는 구조다.	데이터전문기관에서 결합키 생성 알고리즘을 협의한 뒤 직접 결합까지 진행한다.
반출 심사 주체	신청 이용기관 담당자가 수행하며, 적정 판정이 난 경우에만 반출된다.	전문기관 담당자가 수행하며, 마찬가지로 적정 판정이 나야 반출된다.

정리하면: 가명처리 절차는 분야마다 꽤 다르다. 공통 기반은 개인정보보호법이지만, 보건의료는 의료법, 금융은 신용정보법이 함께 작동한다. 어느 분야에서 일하느냐에 따라 적용 법령과 절차가 달라지니, 내 업무 영역에 맞는 가이드라인을 별도로 챙겨보는 게 좋다.

퀴즈

문제 1. 개인정보보호법과 의료법의 관계에 대한 설명으로 옳은 것은?

① 의료 데이터에는 개인정보보호법만 적용된다

② 의료기관이 환자 기록을 제3자에게 제공할 때는 개인정보보호법이 우선 적용된다

③ 개인정보보호법상 제3자 제공이 허용되는 상황이라도 의료법 제21조에서 정한 경우가 아니면 환자 기록을 제3자에게 제공할 수 없다

④ 가명처리된 진료기록에는 의료법이 우선 적용된다

정답: ③ 해설: 의료 데이터는 의료법이 특별법으로서 우선 적용된다. 개인정보보호법상으로는 제3자 제공이 허용되는 상황이더라도, 의료법 제21조·제21조의2에서 정한 경우가 아니라면 환자 기록을 제3자에게 제공하는 것은 금지된다. 가명처리되어 식별이 불가능한 진료기록의 경우에는 개인정보보호법이 적용된다.

문제 2. 보건의료 분야 가명처리 절차에서 데이터심의위원회의 구성 기준으로 옳은 것은?

① 3인 이상

② 5인 이상

③ 7인 이상

④ 10인 이상

정답: ② 해설: 데이터심의위원회는 보건의료 데이터 활용 가이드라인 기준을 충족한 5인 이상으로 구성해야 한다. 이 위원회는 사전 준비와 적정성 검토 단계에서 적합·적정 여부를 판단하는 역할을 한다.

문제 3. 금융 분야 가명정보 결합 절차에서 이중 모델(개인정보보호법)과 단일 모델(신용정보법)의 차이에 대한 설명으로 옳은 것은?

① 이중 모델은 데이터전문기관이 결합키 생성부터 결합까지 모두 수행한다

② 단일 모델은 결합키 관리 기관이 별도로 존재한다

③ 이중 모델의 반출 심사는 신청 이용기관 담당자가 수행한다

④ 단일 모델에서는 익명처리 평가가 포함되지 않는다

정답: ③ 해설: 이중 모델(개인정보보호법)은 결합키 관리 기관이 별도로 존재하며 반출 심사는 신청 이용기관 담당자가 수행한다. 단일 모델(신용정보법)은 데이터전문기관이 결합키 생성부터 결합까지 직접 진행하며, 반출 심사도 전문기관 담당자가 수행하고 익명처리 평가까지 포함된다는 차이가 있다.

문제 4. 감염병의 예방 및 관리에 관한 법률 제76조의3에 따르면, 질병관리청장이 개인정보를 활용할 때 원칙적으로 취해야 하는 조치와 예외적으로 가명처리 없이 활용할 수 있는 사례 한 가지를 쓰시오.

정답: 원칙은 가명처리이며, 예외 사례는 병상 배정처럼 긴급 조치가 필요해 가명처리할 시간이 없는 경우(또는 예방접종 이상반응 대응, 감염 취약계층 지원처럼 가명처리된 정보로는 업무 자체가 불가능한 경우) 해설: 질병관리청장은 감염병 예방·관리 목적으로 개인정보를 사용할 때 원칙적으로 가명처리를 해야 하지만, 긴급성이 있거나 가명처리된 정보로는 해당 업무 수행 자체가 불가능한 경우에는 예외가 인정된다.

문제 5. 공공 분야 가명정보 적합성 검토에서 확인하는 세 가지 검토 항목을 쓰시오.

정답: 기관 내부여건 및 활용 위험성, 법제도 부합 여부, 기술적 가능 여부 해설: 공공기관이 가명정보 제공 신청을 받았을 때 적합성 검토 단계에서는 이 세 축을 중심으로 확인한다. 비용 감당 가능 여부·신청자 신뢰성(내부여건), 개인정보보호법 제28조2 목적 부합 여부(법제도), 비공개 정보 분리 가능 여부·요청 데이터와 제공 가능 데이터의 일치 여부(기술적 가능)를 각각 살핀다.

[개인정보배움터] 개인정보 처리 단계별 절차 이해 - 저장/관리

maysokuli — Sun, 24 May 2026 21:15:02 +0900

1. 개인정보 저장/관리 개요

필요성 : 개인정보처리자는 수집/이용을 위해 저장 중인 개인정보를 안전하게 관리 해야 함

법적 근거 : 제3조(개인정보 보호 원칙), 제29조(안전조치의무)

개인정보취급자 : 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘/감독을 받아 개인정보를 처리하는 자

개인정보처리시스템 : 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템

출처 : 개인정보배움터

개인정보 유출 사고 동향

출처 : 개인정보배움터

원인으로는

원인미상, 관리자 페이지 비정상 접속, ,SQL 인젝션, 랜섬웨어 등 악성코드, 크리덴셜 스터핑, 웹셸, 파라미터 변조 순으로 빈번했다.

개인정보 유출 경로

출처 : 개인정보배움터

내부자 유출이 발생하지 않도록 안전성 확보 조치를 잘 취해 놓아야 한다.

벌칙 규정

제64조의(과징금의 부과) : 개인정보가 분실/도난/유출/위조/변조/훼손된 경우로 개인정보 유출 등 사고 안전성 확보에 필요한 조치를 다하지 않은 경우

-> 전체 매출액의 100분의 3이내 과징금(매출액이 없거나 산정이 곤란한 경우 20억 원 이내)

개인정보취급자 금지행위

제59조(금지행위) 개인정보를 처리하거나 처리하였던 자는 다음 각 호의 어느 하나에 해당하는 행위를 하여서는 아니 된다.

1. 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위

2. 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위

3. 정단한 권한 없이 또는 허용된 권한을 초과하여 다른 사람의 개인정보를 이용, 훼손, 멸실, 변경, 위조 또는 유출하는 행위

-> 위반 시 5년 이해의 징역 또는 5천만 원 이하의 벌금

2. 안정성 확보조치 주요 내용

개인정보 내부관리계획

전사 규정으로 마련 CEO 등 최고경영층 내부 결재 등 승인 -> 임직원 및 관련자에게 알림

출처 : 개인정보배움터

접근 권한의 안전한 관리

필요성 : 대형 개인정보 유출사고 시작은 관리자 권한의 획득에서 시작

법적 의무 사항

접근 권한은 업무 수행에 필요한 최소한의 범위로 차등 부여
업무 변경 시 지체 없이 접근권한 변경 또는 말소
접근권한 부여/변경/말소 기록 최소 3년 보관
개인정보취급자별 계정 발급, 다른 취급자와 공유 금지
개인정보취급자/정보주체 인증수단 안전 적용
일정 횟수 이상 인증 실패 시 접근 제한 등 필요한 조치

개인정보취급자 유의사항

불필요한 접근 권한 신청하지 않기
접근 권한은 반드시 내부 규정 기준과 절차에 따라 승인을 받아 사용
조직 개편 및 직무 변경 등 불필요한 접근 권한 즉시 반납
접근 권한 부여 내역의 점검 검토 시 소명에 응하기
1인1계정 원칙, 타인과 계정 공유 주의
비밀번호 분실 등 인증 실패 시 내부 절차에 따라 재설정

접근 통제

법적 의무 사항

방화벽 등 침입차단 탐지 시스템 구축 및 운영
외부에서 시스템 접속 시 OTP 등 안전한 인증 수단 적용
인터넷 홈페이지, P2P, 공유 설정 등을 통한 공개 및 유출 방지 조치
일정시간 시스템 미접속시 자동 접속 차단 등 조치
업무용 모바일 기기/분실/도난 등을 인한 유출 방지를 위해 모바일 기기 비밀번호 설정 등 조치
인터넷망 차단(구 망분리) 적용

개인정보취급자 유의사항

이상 징후 발생시 즉시 개인정보보호 조직에 공유
외부에서 관리자 시스템 접속 제한, 접속 불가피한 경우 규정에 따라 OTP등 추가 보안 조치
업무용 단말기를 통한 P2P 서비스 이용 제한 및 공유 설정 시 주의
시스템 미사용시 로그아웃 습관
업무용 모바일 기기에 비밀번호 설정 등 보안 조치
개인정보 다운로드 등 고위험 작업은 규정에 따라 안전한 환경에서 진행

개인정보의 암호화

개인정보처리시스템 개발 시 암호화 기준 적용에 대해 개인정보 내부관리계획 등 사내 규정 확인 개발

식별가능한 개인정보 전체를 암호화하는 것이 유출 사고 대비 위험 관리 측면에서 효과적

접속기록의 보관 및 점검

접속기록 : 식별자, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등을 전자적으로 기록한 것

법적 의무 사항

개인정보취급자의 개인정보처리시스템에 대한 접속기록을 2년 이상 보관/관리
접속기록 등을 주기적으로 점검
접속기록 안전 보관 조치

개인정보취급자 유의사항

접속 기록 소명 요청 대응
다운로드 최소화 및 필요시 사유 입력
개발자 접속기록 생성 및 다운로드 시 사유 입력 기능 마련 등

악성프로그램

: 바이러스, 웜, 랜섬웨어, 스파이웨어, 웹셀 등

법적 의무 사항

악성프로그램 등 방지 치료할 수 있는 보안 프로그램 설치 운영
응용프로그램/운영체제 소프트웨어 업데이터 공지 발생시 지체 없이 업데이트 등 실시

유의사항

PC 등 개인정보처리시스템 접속 단말기에 불법/비인가 제풀 설치 금지
PC 백신 등 보안 소프트웨어 및 운영체제 지체없이 업데이트

물리적 안전조치

필요성 : 개인정보를 저장하는 물리적 보관장소를 별도로 두고 있는 경우 비인가자의 출입 등으로 인한 개인정보의 유출 등을 방지

법적 의무 사항

전산실, 자료보관실 등 개인정보를 보관하는 물리적 보관 장소에 출입통제 절차 수립/운영
개인정보 포함 서류, 보조저장매체 등 잠금장치가 있는 안전 장소 보관
개인정보가 포함된 보조조장매체 반/출입 통제를 위한 보안 대첵 마련

유의사항

전산실, 자료보관실 등 출입통제구역의 출입 통제 절차 준수
개인정보 출력물, 개인정보 파일이 저장된 USB 등은 시건장치 있는 서랍장, 캐비닛 등에 보관
보안 USB 등 허가받은 보조저장매체 사용 및 통제 절차 준수

출처 : 개인정보배움터

출처 : 개인정보 배움터

출처: 개인정보 배움터

3. 개인정보취급자 실전수칙

안전한 저장/관리를 위한 개인정보 보호 수칙

출처 : 개인정보배움터

퀴즈

문제 1. 개인정보 유출 사고의 원인 중 가장 빈번하게 발생한 것은?

① SQL 인젝션 ② 관리자 페이지 비정상 접속 ③ 원인미상 ④ 랜섬웨어 등 악성코드

정답: ③ 해설: 유출 사고 원인 빈도는 원인미상 > 관리자 페이지 비정상 접속 > SQL 인젝션 > 랜섬웨어 등 악성코드 순으로 나타났다.

문제 2. 개인정보 안전성 확보조치 중 접근 권한 관리에 관한 설명으로 옳지 않은 것은?

① 접근 권한은 업무 수행에 필요한 최소한의 범위로 차등 부여해야 한다 ② 접근권한 부여/변경/말소 기록은 최소 3년 보관해야 한다 ③ 개인정보취급자는 업무 편의를 위해 계정을 공유할 수 있다 ④ 업무 변경 시 지체 없이 접근권한을 변경 또는 말소해야 한다

정답: ③ 해설: 1인 1계정 원칙에 따라 개인정보취급자별로 계정을 발급해야 하며, 다른 취급자와 계정을 공유하는 것은 금지된다.

문제 3. 개인정보 보호법 제59조(금지행위)를 위반한 경우의 벌칙으로 옳은 것은?

① 3년 이하의 징역 또는 3천만 원 이하의 벌금 ② 5년 이하의 징역 또는 5천만 원 이하의 벌금 ③ 7년 이하의 징역 또는 7천만 원 이하의 벌금 ④ 전체 매출액의 100분의 3 이내 과징금

정답: ② 해설: 제59조 금지행위(부정 취득, 누설, 권한 초과 이용·유출 등) 위반 시 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처한다. ④는 안전성 확보조치 미이행에 따른 과징금 규정이다.

문제 4. 개인정보처리시스템의 접속기록을 보관·관리해야 하는 법적 최소 보관 기간은 얼마인가?

정답: 2년 해설: 개인정보취급자의 개인정보처리시스템에 대한 접속기록은 2년 이상 보관·관리하여야 하며, 주기적인 점검과 안전한 보관 조치도 함께 요구된다.

문제 5. 개인정보가 분실·도난·유출·위조·변조·훼손된 경우로 안전성 확보에 필요한 조치를 다하지 않은 개인정보처리자에게 부과할 수 있는 과징금의 상한은 얼마인가? (매출액이 없거나 산정이 곤란한 경우 포함하여 서술할 것)

정답: 전체 매출액의 100분의 3 이내, 매출액이 없거나 산정이 곤란한 경우 20억 원 이내 해설: 개인정보 보호법 제64조의2(과징금 부과)에 따라 안전성 확보 조치 미이행으로 유출 사고가 발생한 경우 위와 같은 과징금이 부과될 수 있다.

6주차 동향 스터디

maysokuli — Sun, 24 May 2026 20:26:01 +0900

1. 사전 워밍업 : 전체 흐름 파악

해당 페이지 범위의 제목, 소제목, 표/차트/키워드만 먼저 훑어보기

5.1 Right to Erasure — 삭제권(잊힐 권리) 비교
5.2 Right to be Informed — 정보 제공받을 권리 비교

2. 첫 번째 읽기: 스키밍 + 한국어 번역 의존

문단별로 빠르게 훑으며 주요 결론/차이점만 한국어로 정리

GDPR : 정보주체는 특정 조건 하에 개인정보 삭제를 요청할 권리를 가지며, 컨트롤러는 원칙적으로 1개월 이내(최대 3개월까지 연장 가능) 무료로 응답해야 함. 정보를 공개한 컨트롤러는 다른 컨트롤러에게도 삭제 요청 사실을 알려야 함. 정보 제공 의무를 별도의 독립적 권리로 명시하며, 수집 시점에 폭넓은 정보를 제공해야 함.

PIPA : 정보주체는 자신의 개인정보에 접근한 후 삭제를 요청할 수 있으며, 개인정보처리자는 10일 이내에 응답해야 함. 처리 수수료 및 우편 요금을 부과할 수 있으며, 공개된 개인정보의 삭제에 관한 별도 규정은 없음. 정보 제공 의무는 독립적 권리가 아닌 동의 획득 시 및 처리방침 공개를 통해 이행됨.

5.1 Right to Erasure (삭제권)

1) 유사점

GDPR	PIPA
특정 조건 하에 삭제권 적용 : ① 동의 철회 후 다른 법적 근거 없는 경우 ② 개인정보가 수집 목적에 더 이상 필요하지 않은 경우	개인정보에 접근한 정보주체는 해당 개인정보처리자에게 삭제 요청권 보유
정보주체는 삭제 요청권이 있음을 고지받아야 하며, 삭제를 요청할 권리가 있음	개인정보처리자는 처리방침에 정보주체의 권리(삭제 요청권 포함)를 공개해야 함
컨트롤러는 삭제 대상 개인정보의 정보주체 본인 여부 확인 메커니즘 마련 의무. 서면, 구두, 전자적 수단 등으로 요청 가능	개인정보처리자는 필요한 경우 삭제 요청자가 정보주체 본인 또는 법정대리인임을 확인 가능. 서면, 전화, 이메일, 인터넷 등 정보주체에게 편리한 방법으로 요청 가능

2) 차이점

GDPR	PIPA
삭제권은 원칙적으로 무료 행사 가능. 단, 근거 없거나 과도하거나 반복적인 요청의 경우 수수료 부과 가능	개인정보처리자는 삭제 요청 정보주체에게 처리 수수료 및 우편 요금 부과 가능
요청 수신 후 지체 없이, 원칙적으로 1개월 이내 응답. 요청의 복잡성 및 건수에 따라 최대 2개월 추가 연장 가능. 연장 시 1개월 이내 사유 통보 의무	삭제 요청 수신 후 10일 이내 응답 의무. 삭제 완료 또는 거부 사유 및 불복 방법을 정보주체에게 통지
삭제권 예외 : ① 표현의 자유 및 정보의 자유 ② 공중 보건 분야 공익 목적 ③ 법적 청구의 설정·행사·방어 ④ 공익 목적 법적 의무 준수	다른 법령에 의해 해당 개인정보 수집이 요구되는 경우 삭제 불가
컨트롤러가 개인정보를 공개한 경우, 다른 컨트롤러에게 정보주체의 삭제 요청 사실을 알리기 위해 기술적 조치를 포함한 합리적 조치를 취해야 함	공개된 개인정보의 삭제에 관한 별도 규정 없음

5.2 Right to be Informed (정보 제공받을 권리)

1) 유사점

GDPR	PIPA
수집 시점에 정보주체에게 제공해야 할 정보 : ① 컨트롤러 또는 대리인의 신원·연락처 ② DPO 연락처 ③ 처리 목적 및 법적 근거 ④ 정당한 이익(해당 시) ⑤ 수신자 또는 수신자 범주 ⑥ 제3국 이전 의도 및 관련 정보 ⑦ 보유 기간 또는 보유 기간 결정 기준 ⑧ 정보주체의 권리 ⑨ 개인정보 제공 의무 여부 ⑩ 자동화 의사결정(프로파일링 포함) 존재 여부	동의 획득 시 정보주체에게 고지해야 할 사항 : ① 수집 개인정보의 항목 ② 수집·이용 목적 ③ 보유·이용 기간 ④ 동의 거부 권리 및 거부 시 불이익
개인정보 처리와 관련한 정보(처리 목적, 정보주체 권리 등)는 수집 시점에 제공해야 함	처리방침에 공개해야 할 사항 : ① 수집·이용 목적 및 항목 ② 제3자 제공 현황(수신자, 목적, 항목) ③ 보유·이용 기간 및 파기 방법 ④ 처리 위탁 현황 ⑤ 민감정보 공개 가능성 및 거부 방법 ⑥ 가명정보 처리 관련 사항 ⑦ 정보주체 권리 및 행사 방법 ⑧ 자동 수집 장치 설치·운영 및 거부 방법 ⑨ 보호책임자 연락처 ⑩ 보안 조치 이행 사항
자동화 의사결정(프로파일링 포함)의 존재를 수집 시점에 고지 의무	정보주체는 자동화 의사결정에 대해 개인정보처리자에게 설명 요청권 보유 (2024년 3월 15일 시행 예정)
정보주체는 자동화 처리(프로파일링 포함)에만 기반한, 법적 효력이나 이와 유사한 중대한 영향을 미치는 결정의 적용을 받지 않을 권리 보유	정보주체는 자신의 권리·의무에 중대한 영향을 미치거나 미칠 가능성이 있는 경우 자동화 의사결정의 적용을 거부할 권리 보유 (단, 동의, 법령, 계약 이행에 기반한 경우 예외. 2024년 3월 15일 시행 예정)

2) 차이점

GDPR	PIPA
정보는 서면 및 이메일 등 전자적 형태로 제공 가능	처리방침은 원칙적으로 개인정보처리자의 웹사이트에 게시. 웹사이트 운영이 불가한 경우 사업장 내 잘 보이는 장소에 게시 등 대체 방법 허용. 처리방침은 반드시 서면으로 제공
컨트롤러는 추가 정보를 제공하지 않는 한 고지된 목적 외로 개인정보를 수집·처리할 수 없음. 관련 정보는 수집 시점에 제공해야 함	개인정보처리자는 동의받은 목적 외로 처리 불가. 단, 추가 목적에 대한 동의 획득 또는 수집 목적과 합리적으로 관련된 범위 내에서 추가 동의 없이 처리 가능 (암호화 등 안전 조치 이행 여부 등 고려). 수집·이용 및 제3자 제공은 법령상 규정된 정보를 고지하고 동의를 받은 후에만 가능
컨트롤러는 적정성 결정의 존재·부재 또는 적절한 안전장치에 관한 정보를 정보주체에게 고지 의무	유사한 고지 의무 없음
간접 수집 시 합리적 기간 내(최대 1개월 이내), 정보주체와의 첫 연락 시점 또는 제3자에게 처음 공개하는 시점에 정보 제공 의무	일정 기준에 해당하는 개인정보처리자는 제3자로부터 데이터를 수신한 후 3개월 이내에 정보주체의 요청이 없더라도 관련 정보 제공 의무
정보는 구두로도 제공 가능 (서면 및 전자적 수단 외)	처리방침에 포함된 정보는 반드시 서면으로 제공
GDPR은 정당한 이익의 예시를 제공	PIPA는 정당한 이익을 매우 제한적인 범위에서만 인정

3. 두 번째 읽기 : 영어 중심 정독

핵심 문장 영어로 요약 + 한국어 번역

Like the GDPR, PIPA also recognises the right to erasure, however there are some differences. Under PIPA, data handlers must respond to requests within 10 days, whereas under the GDPR data controllers must respond without undue delay and within one month from receiving a request. → GDPR과 마찬가지로 PIPA도 삭제권을 인정하나 차이가 있다. PIPA에서는 개인정보처리자가 10일 이내에 응답해야 하는 반면, GDPR에서는 컨트롤러가 지체 없이, 원칙적으로 요청 수신 후 1개월 이내에 응답해야 한다.

Unlike the GDPR which recognises the right to be informed as a separate right, PIPA imposes an obligation on data handlers to disclose information regarding the processing of personal information to data subjects when obtaining consent as well as in a privacy policy accessible to the public. → 정보 제공받을 권리를 별도의 독립적 권리로 인정하는 GDPR과 달리, PIPA는 개인정보처리자에게 동의 획득 시 및 공개된 처리방침을 통해 정보주체에게 개인정보 처리 관련 정보를 공개할 의무를 부과한다.

Under the GDPR, if the data controller has made personal data public and is obliged to erase the personal data, the data controller shall take reasonable steps, including technical measures, to inform controllers processing the personal data that the data subject has requested the erasure. → GDPR에 따르면, 컨트롤러가 개인정보를 공개하였고 이를 삭제할 의무가 있는 경우, 해당 데이터를 처리하는 다른 컨트롤러에게 정보주체의 삭제 요청 사실을 알리기 위해 기술적 조치를 포함한 합리적 조치를 취해야 한다.

나만의 언어로 오늘 내용 요약!

GDPR과 PIPA는 삭제권과 정보 제공 의무 측면에서 전반적으로 유사한 구조를 갖추고 있으나, 응답 기한(1개월 vs 10일), 수수료 부과 가능 여부, 공개된 개인정보 삭제 규정의 존재 여부, 정보 제공 방식(구두 가능 vs 서면 원칙) 등 세부 적용에서 차이가 두드러진다.

While GDPR and PIPA share a broadly similar structure regarding the right to erasure and the obligation to inform data subjects, notable differences exist in the details — including response timelines (one month vs. ten days), the possibility of charging processing fees, the absence of provisions for erasing publicly disclosed data under PIPA, and the format of information delivery (oral permitted under GDPR vs. written required under PIPA).

4. 어휘 & 표현 정리

단어	한국어	정의
Right to Erasure	삭제권 (잊힐 권리)	정보주체가 자신의 개인정보 삭제를 요청할 수 있는 권리
Right to be Informed	정보 제공받을 권리	정보주체가 자신의 개인정보가 어떻게 처리되는지 알 권리
Automated Decision-making	자동화 의사결정	인간의 개입 없이 알고리즘·AI 등 자동화 수단만으로 내려지는 결정
Profiling	프로파일링	자동화 수단으로 개인의 특성·행동·선호를 분석·예측하는 처리 행위
Undue Delay	부당한 지체	합리적인 이유 없이 의무 이행을 미루는 것으로, GDPR에서 응답 기한의 기준으로 사용
Legitimate Interest	정당한 이익	컨트롤러 또는 제3자의 이익이 정보주체의 권리보다 우선하는 경우 처리를 허용하는 근거
Rectification	정정	부정확하거나 불완전한 개인정보를 올바르게 수정하는 것
Restriction of Processing	처리 제한	개인정보의 처리를 일시적으로 중단하거나 제한하는 것
Third-party Recipient	제3자 수신자	컨트롤러 또는 처리자 외에 개인정보를 제공받는 외부 자연인·법인·기관
Indirect Collection	간접 수집	정보주체가 아닌 제3자로부터 개인정보를 수집하는 방식
Transparency	투명성	개인정보 처리 방식과 목적을 정보주체가 명확히 알 수 있도록 공개하는 원칙
Consent Withdrawal	동의 철회	정보주체가 이전에 제공한 동의를 취소하는 행위
Adequacy Decision	적정성 결정	EU 집행위원회가 특정 국가의 개인정보 보호 수준을 동등하게 인정하는 공식 결정
Disproportionate	불균형한 / 과도한	목적에 비해 수단이나 노력이 지나치게 크거나 과한 상태
Safeguard	안전장치 / 보호 조치	위험이나 피해를 방지하기 위해 마련된 기술적·관리적 보호 수단
Obligation	의무	법적 또는 계약상 반드시 이행해야 하는 사항
Accessible	접근 가능한	정보나 서비스를 쉽게 이용하거나 열람할 수 있는 상태
Disclosure	공개 / 공시	개인정보나 특정 사실을 외부에 알리거나 제공하는 행위
Concise	간결한	불필요한 내용 없이 핵심만을 명확하게 전달하는 성질
Intelligible	이해하기 쉬운	복잡한 내용을 누구나 쉽게 이해할 수 있도록 표현된 상태
Replication	복제	데이터나 콘텐츠를 동일하게 복사하거나 재현하는 것
Foreseeable	예측 가능한	어떤 결과나 상황이 합리적으로 예상될 수 있는 상태
Recipient	수신자	개인정보를 제공받는 제3자 또는 기관
Implication	함의 / 영향	어떤 행위나 결정이 직접적으로 드러나지 않지만 간접적으로 미치는 영향이나 의미
Proportionate	비례하는	목적에 비해 수단이 과도하지 않고 적절한 수준임을 나타내는 표현

5. 마무리: 복습

한국어 3문장 요약
1. 삭제권은 두 법 모두 인정하지만, GDPR은 원칙적으로 1개월 이내 무료 응답을 요구하는 반면 PIPA는 10일 이내 응답을 요구하며 처리 수수료 및 우편 요금을 부과할 수 있다는 점에서 차이가 있다.
2. 정보 제공 의무와 관련하여 GDPR은 이를 독립적 권리로 명시하고 수집 시점에 폭넓은 정보를 제공할 것을 요구하는 반면, PIPA는 동의 획득 시 고지와 처리방침 공개를 통해 이를 이행하도록 규정한다.
3. 자동화 의사결정에 관해 두 법 모두 정보주체의 보호 규정을 두고 있으나, GDPR은 이미 시행 중인 반면 PIPA의 관련 조항은 2024년 3월 15일 이후 시행 예정으로 시행 시기에서도 차이가 있다.
영어 3문장 요약
1. Both laws recognize the right to erasure, but differ in response timelines and fees — GDPR requires a response within one month free of charge (with limited exceptions), while PIPA mandates a response within ten days and allows data handlers to charge processing fees and postage.
2. Regarding the right to be informed, GDPR treats it as a standalone right and requires broad information disclosure at the point of collection, whereas PIPA fulfills this obligation through notification at the time of consent and public disclosure via a privacy policy.
3. Both laws provide protections regarding automated decision-making, but while GDPR provisions are already in effect, PIPA's relevant articles are scheduled to come into force after March 15, 2024, reflecting a difference in implementation timelines as well.

스스로에게 던지는 질문

Question: Why does PIPA allow data handlers to charge a fee for erasure requests, while GDPR generally requires this to be free of charge?

Answer: The difference likely reflects the distinct regulatory philosophies behind each law. GDPR was designed to make it as easy as possible for individuals to exercise their rights, treating data protection as a fundamental right that should not be conditioned on payment. PIPA, on the other hand, takes a more practical approach that acknowledges the administrative burden on data handlers, allowing them to recover reasonable costs associated with processing requests. This does not mean that PIPA offers weaker protection overall, but it does reflect a different balance between the rights of individuals and the operational realities of organizations.

[Theori]보안 담당자라면 꼭 알아야 할 점검 전략 가이드 | 모의해킹 vs 모의침투 vs 취약점 진단

maysokuli — Sun, 24 May 2026 20:08:40 +0900

https://theori.io/ko/blog/what-is-penetration-testing

보안 담당자라면 꼭 알아야 할 점검 전략 가이드 | 모의해킹 vs 모의침투 vs 취약점 진단 - Theori 블

보안 점검, 제대로 하고 계신가요? 모의해킹·모의침투·취약점 진단의 차이를 명확히 짚고, 조직에 맞는 전략을 안내드립니다. | Web2 Security

theori.io

모의해킹이란?

: 외부 공격자의 관점에서 보안 취약점을 식별하는 테스트

핵심은 공격자처럼 생각하고 행동하는 관점! 단순히 표면에 드러난 UI만 보는 것이 아니라 서비스 내부의 동작 방식을 기반으로 허점이 발생할 수 있는 조합과 시나리오를 구성해봐야하는 접근입니다.

블랙박스 테스트
그레이박스 테스트
화이트박스 테스트

의 세가지 종류가 있습니다.

블랙박스 테스트 : 아무런 사전 정보나 특별한 권한 없이, 완전히 외부 공격자의 관점에서 진행한다. 실제 공격자처럼 공격 대상에 대한 이해도를 높이기 위해 직접 서비스를 이용해보거나, 구글 등 검색엔진을 통해 공개된 정보를 수집하여 공격에 활용한다. 따라서 외부 공격에 대한 방어력을 가장 현실적으로 점검할 수 있습니다.

화이트박스 테스트: 시스템 구조, 소스 코드, 계정 정보 등 내부 정보를 공유받은 상태에서 진행됩니다. 공격보다는 감사에 가까운 방식으로, 코드나 아키텍처의 복합적인 취약점까지 깊이 있게 탐색할 수 있다.

그레이박스 테스트 : 공격자에게 내부 계정 등 일부 정보만 주어진 상황을 가정합니다. 계정 유출이나 내부자의 악의적 접근처럼 ‘제한된 권한’으로 시작되는 현실적인 공격 시나리오를 재현하는 데 가장 효과적이며, 가장 보편적으로 사용되는 방식입니다.

모의해킹 vs. 모의침투 vs. 취약점 점검, 무엇이 다른가?

취약점 진단 :

사전에 정의된 체크리스트를 기반으로, 보안 취약점이 존재하는지를 확인하는 보안 점검 방식

장점으로는 관련하여 빈번하게 발생하는 취약점에 대해 일관된 진단이 가능하다는 점이 있다.

기업 내부 시스템을 정기적으로 관리하거나, ISMS-P, 전자금육감독규정, 개인정보보호법 등 보안 인증이나 감사 대응에 필수적으로 활용되는 기본 점검 방식이다.

단점으로는 본질적으로 정해진 항목만을 기준으로 자동화된 방식으로 점검하기에 시스템 내부의 복잡한 흐름이나 설계상의 논리 오류까지는 파악하기 어렵다.

따라서 취약점 진단은 다음과 같은 상황에 주로 사용된다 :

보안 인증을 준비하거나 감사 대응이 필요한 경우
전체 시스템을 빠르게 훑어 기본적인 보안 상태를 확인하고자 할 때
패치 적용 상태, 구성 오류 등 운영 환경의 보안 리스크를 점검하고자 할 때

모의해킹 :

공격자가 악용할 수 있는 모든 통로를 외부자의 관점으로 찾고 점검하는 과정

기본적인 점검으로는 식별이 어려운 로직 취약점, 권한 설정 오류, 입력값 처리 미비 등이 대표적인 사례이다.

이 결과는 단순한 '취약점 유무' 보고서가 아니라, 공격자가 실제로 어떻게 이 서비스를 해석하고 악용할 수 있는지에 대한 리포트로 이어진다.

따라서 모의해킹은 다음과 같은 상황에 유용하다 :

신규 서비스나 기능 출시 전, 보안성 검토가 필요한 경우
민감 정보(계정, 결제 등)를 다루는 기능의 설계가 복잡할 때
취약점 진단에서는 발견되지 않은 예외적 구조와 알려지지 않은 취약점을 확인하고 싶을 때

모의침투:

공격자가 회사를 타깃으로 공격했을 떄 조직 내부에 대한 침투 가능성과 정보 접근 가능성을 검증하는 실전형 보안 테스트

"어디가 뚫릴 수 있는가" 부터 시작해, "뚫리는 부분들을 조합하여 더 깊게 침투할 수 있는가"를 끝까지 따라간다.

외부에 남아 있던 테스트용 웹서버에서 취약점 발견
관리자 페이지 접근 통제가 미흡해 초기 권한 획득
내부 네트워크에 연결된 관리자 시스템에 접근
인증 우회를 통해 사내 계정 목록과 서버 구성 정보 확인
내부 소스코드 저장소에 접근, 민감한 환경설정 파일 및 API 키 확인
이를 바탕으로 고객 정보가 저장된 DB 서버에 접근, 일부 개인정보 탈취 가능성 검증

이와 같은 시나리오가 가능할 수 있고, 이 취약점들을 어떻게 연결해 침투 경로를 구성할 수 있는지를 실전 시나리오로 검증한다.

모의 침투는 다음과 같은 상황에 유용하다 :

실제 해커의 타깃이 되었을때, 회사가 해킹 피해를 예방할 수 있는지에 대한 점검
외부와 내부의 경계가 복잡하게 얽혀 있는 인프라 환경의 보안성 테스트
보안 솔루션, 탐지 체계, 대응 프로세스의 실제 작동 여부 점검

[Network Times] 지정학적 위기, 사이버 위협 고조시킨다

maysokuli — Tue, 19 May 2026 06:43:31 +0900

https://product.kyobobook.co.kr/detail/S000219598552

네트워크타임즈(2026년 4월 392호) | 화산미디어 편집부 - 교보문고

네트워크타임즈(2026년 4월 392호) | The Leader in Business Technology Media

product.kyobobook.co.kr

물리적 전쟁 + 사이버 전쟁 = 하이브리드 전쟁

러시아-우크라이나 전쟁을 시작으로 이번 미국-이란 전쟁에서도 물리적 전쟁과 사이버 전쟁이 경향이 분명하게 드러나고 있다.

전쟁 전후로 DDos를 포함한 IT 시스템에 장애를 일으키는 공격이 빈번해진 것인데, 최근 사례로 2026년 3월 11일 미국의 글로벌 의료기기 기업 스트라이커(Stryker)가 사이버 공격을 받아 전 세계 79개국 사무실에서 사용되는 모든 기기가 초기화된 사고를 예로 들 수 있다.

https://edition.cnn.com/2026/03/11/politics/pro-iran-hackers-cyberattack-medical-device-maker

(관련 CNN 뉴스 참고)

이 사고는 이란 정보부(MOIS)와 연계된 것으로 추정되며, 미국-이란 전쟁과 관련된 보복 조치라고 '한다라' 조직에서 주장하고 있다. 이후 이스라엘 국방군 및 정부 관련 인사의 민감정보를 다크웹에 공개하고, 미국 내 이란 반체제 인사와 가자들에게 협박 이메일을 발송하는 등의 공격 행위를 진행했다.

특히 이들은 수자원, 전력망, 제조업 등의 산업을 대상으로 침투를 시도했으며, 산업제어시스템(ICS), 기본 비밀번호를 사용하는 장비, 취약한 인증 체계를 가진 산업용 엔드포인트를 집중 공략하며, ICS 해킹 경험이 부족한 조직이더라도 AI를 사용하여 전쟁에 가세하고 있다는 점도 주목할 만 하다.

랜섬웨어는 줄고 첩보활동이 늘어났다고?

침해 및 공격 시뮬레이션(BAS) 기업 피커스 시큐리티는 지난해 발생한 공격 중 랜섬웨어와 데이터 암호화 비중이 줄어들고 은밀한 침투와 스파이 활동이 크게 늘어났다고 설명했다. 민간에서 사용되는 상용 스파이웨어가 국가차원의 첩보 활동에 사용되고 있으며 구글 클라우드 위협 인텔리전스 그룹(GTIG)의 발표에 따르면 상업용 감시 소프트웨어 제작업체(CSV)가 제로데이 취약점을 개발/판매하고 특정 정보의 정치적 이익을 위해 사용하고 있다고 설명한다. 대표적인 CSV인 NSO 그룹, 인텔렉사(Intellexa)등은 특정 정부에 강력한 성능의 스파이웨어를 지속적으로 공급하고 있다.

북한의 위장취업/사칭 공격도 최근 뉴스에서 많이 보이고 있다. 가장 대표적인 그룹으로 '페이머스 천리마'가 있는데, 위장취업이 지난해 130%로 증가했고, 다른 그룹인 '프레셔스 천리마'의 경우 암호화폐 거래소에서 14억 6000만 달러 상당의 가상자산을 훔쳐 수익을 거뒀다. 페이머스 천리마는 사회공학 기법과 악성 NPM 패키지를 이용한 공격도 활발하게 전개하며 개발자가 소속된 조직이나 관련 커뮤니티로 침투하고 있다.

가장 활발하게 활동한 국가 배후 공격그룹은...

2025년 기준 가장 활발하게 활동한 국가 배후 공격 그룹은 중국 지원 조직이다. 크라우드스트라이크는 지난해 주욱과 연계된 공격 활동이 38% 증가했고, 특히 물류 산업을 겨냥한 공격이 85% 늘었다고 설명했다. 중국 배후 조직은 최근 몇 년간 제로데이 취약점을 악용하여 첩보 활동을 펼치고 있다. 많은 사람들이 사용하고 있는 Notepad++의 지난해 6월 부터 시작된 공급망 공격의 경우도 Notepad++ 호스팅 제공업체 인프라를 중국 지원 그룹이 침해해 악성 업데이트를 유포한것으로 알려진다.

초단위의 공격과 유출

정치 목적이나 금전 목적의 공격 패턴을 크게 두가지로 나누면

빠르게 침투해 피해 조직이 대응할 여유 없이 탈취/파괴 공격을 하거나,
은밀하게 잠입해 장기간 데이터를 훔치는 것이 있다

최근에는 초기 침투부터 확산까지 걸리는 시가늘 단축시켜 보안 탐지를 회피하는 경향이 뚜렷하게 나타난다. 크라우드스트라크는 지난해 탐지한 사건 중 단 27초만에 침투부터 확장까지 진행한 것이 있었으며, 또 다른 사례에서는 최초 접근 후 4분만에 데이터 유출이 시작됐다. 평균 확장 시간은 29분이라고 밝혔다.

반면 전체 평균 체류 시간이 2024년 11일에서 2025년 14일로 증가하였는데(맨디언트 발표), 이는 북한 위장 취업과 기타 스파이 활동을 위해 장기간 네트워크에 머무는 사고가 많아졌기 떄문이라고 설명한다.

해당 조사에서 주목해봐야 할 점은, 초기 액세스 브로커(IAB)가 공격 발판을 만들고 22초 후 랜섬웨어 공격자에게 판매한다는 사실이다. 이는 처음 침투부터 백도어를 설치하였고, 피해 조직이 침투를 인지하고 대응하기 전에 랜섬웨어 공격을 성공시킬 수 있게 된 것이다.

힘을 합쳐도 범죄 소탕은 어려운가봐

인터폴 주도로 지난해 7월부터 올해 1월 31일까지 72개 국가 및 지역의 법 집행기관이 참여한 '시너지아III(Operation Synergia III)' 에서 피싱, 멀웨어, 랜섬웨어 범죄 혐의자 94명이 체포되고 110명이 수사를 받고 있으며, 4만 5000개 이상 악성 IP 주소와 서버가 차단됐다.

이런 사례가 1년에 몇 번씩 공개되지만, 공격 그룹은 여전히 힘을 유지하고 있다. 그 이유는 영향력 있는 한 조직이 와해되면 공격자들은 또 다른 조직으로 이동하거나 새로운 조직을 만들어 공격을 이어나가기 때문이다. 따라서 공격 주체가 명확히 식별되지 않아 공격자 식별과 추적이 어려워져 기존의 위협 인텔리전스 기반 대응의 한계를 보여준다.

AI로 커진 CISO의 책임 범위

더욱 빨라진 공격과 다양해진 수법으로 인해 여러 기업에서 보안에 AI 도입을 추진하고 있다. AI는 위협 탐지와 대응을 자동화하고, 보안 분석가는 AI의 활동을 모니터링해 오류를 바로잡고 알고리즘을 개선한다. 말은 쉽지만, 사실 잘못 설계하면 AI의 결과값을 모두 검증해야 하며, 이는 보안인력에게 기존에 수행하던 업무보다 더 많고 넓은 범위의 업무를 주는 셈이다. 스플렁크가 CISO를 대상으로 한 조사에 따르면, 응답자의 80%가 AI로 인해 자신의 역할이 복잡해졌다고 답했다. 현재 CISO의 책임 범위에 AI 거버넌스 및 리스크 관리가 포함되고 있어 AI 컴플라이언스 문제까지 책임져야 한다. 다만 CISO는 AI가 인력의 역량 격차를 해소하는 주요 수단이며, 사람의 역량을 높여야 보안을 개선할 수 있다고 설명한다.

4주차 동향 스터디

maysokuli — Sun, 17 May 2026 23:30:25 +0900

1. 사전 워밍업 : 전체 흐름 파악

해당 페이지 범위의 제목, 소제목, 표/차트/키워드만 먼저 훑어보기

4.2 Data Processing Records — 데이터 처리 기록 의무 비교
4.3 Data Protection Impact Assessment — DPIA/개인정보 영향평가 비교

2. 첫 번째 읽기: 스키밍 + 한국어 번역 의존

문단별로 빠르게 훑으며 주요 결론/차이점만 한국어로 정리

GDPR : 컨트롤러와 처리자 모두 처리 활동 기록을 서면 또는 전자 형태로 유지할 의무가 있으며, 250인 미만 기업에 대해서는 일부 예외를 인정함. 국외 이전 관련 기록도 포함해야 하며, DPIA는 고위험 처리 시 민간·공공 구분 없이 모든 조직에 의무 적용됨.

PIPA : 처리 활동에 대한 별도의 기록 유지 의무는 없으나, 개인정보 처리 시스템 접속 기록을 최소 1년 이상 보관해야 함. DPIA(개인정보 영향평가)는 공공기관에만 의무 적용되며, 민간 조직에는 해당 없음. 처리방침 공개를 통해 일부 기록 의무를 대체함.

4.1 Data Transfers (cont'd)

차이점 (22p 추가 내용)

GDPR	PIPA
적정성 결정 부재 시 적절한 안전장치 제공 조건으로 이전 가능 : ① 구속력 있는 기업 규칙 (보유 기간, 고충 처리 절차 등 포함) ② EU 집행위원회 또는 감독기관이 채택한 표준 데이터 보호 조항 ③ 승인된 행동 강령 ④ 승인된 인증 메커니즘	해외 수신자가 PIPC가 지정한 개인정보 보호 인증을 취득하고 다음 조치를 이행한 경우 이전 가능 : ① 개인정보 보호를 위한 보안 조치 및 정보주체 권리 보장 조치 ② 이전 대상국의 데이터 보호 인증 기준에 따른 처리 조치
공개 등록부에서의 이전이 법적 근거가 될 수 있음 (열람 조건 충족 시)	계약 이행 또는 체결을 위해 위탁·보관이 필요한 경우, 동의 획득 시 고지해야 할 사항을 개인정보 처리방침에 공개하거나 이메일 등의 방법으로 개별 통지한 경우 이전 가능
공익 목적, 법적 청구의 설정·행사·방어, 정보주체 또는 제3자의 중대한 이익 보호를 위한 국외 이전 가능	유사한 국외 이전 법적 근거 없음

4.2 Data Processing Records (데이터 처리 기록)

1) 유사점

GDPR	PIPA
감독기관에 대한 일반적인 등록 의무 없음	감독기관에 대한 일반적인 등록 의무 없음

2) 차이점

GDPR	PIPA
컨트롤러·처리자 모두 처리 활동에 대한 기록 유지 의무 (서면 또는 전자 형태). 단, 250인 미만 조직은 아래 조건에 해당하지 않는 경우 면제 : ① 정보주체의 권리·자유에 위험을 초래할 가능성 있는 처리 ② 비정기적 처리 ③ 민감정보(제9조 제1항) 또는 형사 범죄 관련 정보 처리	처리 활동 기록 유지 의무 없음. 다만 개인정보처리자는 개인정보 처리 시스템에 접속한 개인정보 취급자의 접속 기록(접속 ID, 접속 일시, 접속자 식별 정보, 수행 업무 등)을 최소 1년 이상 보관 의무
컨트롤러가 기록해야 할 정보 목록 : ① 컨트롤러 이름·연락처 ② 처리 목적 ③ 개인정보 범주 설명 ④ 수신자 범주 ⑤ 삭제 예정 기간 ⑥ 기술적·관리적 보안 조치 개요	처리방침에 공개해야 할 정보 목록 : ① 수집·이용 목적 및 항목 ② 제3자 제공 현황(수신자, 목적, 항목) ③ 보유·이용 기간 및 파기 방법 ④ 처리 위탁 현황(수탁자, 위탁 업무) ⑤ 민감정보 공개 가능성 및 거부 방법 ⑥ 가명정보 처리 관련 사항 ⑦ 정보주체 권리 및 행사 방법 ⑧ 자동 수집 장치(쿠키 등) 설치·운영 및 거부 방법 ⑨ 보호책임자 연락처 ⑩ 보안 조치 이행 사항
처리자가 기록해야 할 정보 목록 : ① 처리자 이름·연락처 ② 각 컨트롤러를 위해 수행하는 처리 범주 ③ 국외 이전 현황 및 적절한 안전장치 ④ 기술적·관리적 보안 조치 개요	수탁자에 대한 별도 기록 의무 없음
컨트롤러 대리인에게도 기록 의무 부과	개인정보처리자 대리인에 대한 기록 의무 없음
국외 이전 관련 기록(제3국·국제기구 식별, 적절한 안전장치 문서화) 포함 의무	국외 이전 관련 기록 의무 없음

가명정보 처리에 대한 별도 기록 의무 없음	가명정보를 처리하려는 경우 처리 목적, 제3자 제공 현황 등 기록 유지 의무

4.3 Data Protection Impact Assessment (DPIA/개인정보 영향평가)

1) 유사점

해당 사항 없음

2) 차이점

GDPR	PIPA
모든 조직(민간·공공 구분 없음) 에 DPIA 의무 적용. 다음 상황에서 실시 : ① 정보주체의 권리·자유에 높은 위험을 초래할 가능성이 있는 처리 ② 자동화 처리 또는 프로파일링에 기반한 체계적·광범위한 개인적 측면 평가 ③ 민감정보의 대규모 처리 ④ 공공장소의 대규모 체계적 모니터링	공공기관에만 개인정보 영향평가(PIA) 실시 의무
DPIA 실시 요건 : ① 예상 처리에 대한 체계적 설명 ② 처리 작업 및 정당한 목적 ③ 목적 대비 처리의 필요성·비례성 ④ 정보주체의 권리·자유에 대한 위험 평가	(공공기관에만 적용되므로 민간 조직 해당 없음)
컨트롤러는 처리 위험이 높은 경우 사전에 감독기관과 협의 의무	(해당 사항 없음)
새로운 기술을 활용한 처리 시 반드시 DPIA 실시	(해당 사항 없음)
처리 위험에 변화가 있을 때 DPIA 재검토 의무	(해당 사항 없음)

3. 두 번째 읽기 : 영어 중심 정독

핵심 문장 영어로 요약 + 한국어 번역

The GDPR requires data controllers and processors to maintain a record of processing activities, whereas PIPA does not impose specific record-keeping obligations for organisations' processing activities. → GDPR은 컨트롤러와 처리자 모두에게 처리 활동 기록 유지 의무를 부과하는 반면, PIPA는 조직의 처리 활동에 대한 구체적인 기록 의무를 규정하지 않는다.

Whilst the GDPR provides that a DPIA must be conducted under certain specified circumstances, and makes no distinction between private or public entities with respect to this obligation, PIPA only requires public institutions to conduct a Privacy Impact Assessment. → GDPR은 특정 상황에서 DPIA 실시를 의무화하며 민간·공공 구분을 두지 않는 반면, PIPA는 공공기관에만 개인정보 영향평가 의무를 부과한다.

PIPA requires data controllers who intend to process pseudonymised information to prepare and keep records, including the purpose of processing the pseudonymised information and any third parties to which such information is provided. → PIPA는 가명정보를 처리하려는 개인정보처리자에게 처리 목적 및 제3자 제공 현황 등을 포함한 기록을 작성·보관할 의무를 부과한다.

나만의 언어로 오늘 내용 요약!

GDPR은 민간·공공 모든 조직에 처리 활동 기록 유지 의무와 고위험 처리 시 DPIA 실시 의무를 부과하는 반면, PIPA는 처리 활동 기록 의무 대신 접속 기록 보관 의무를 두고 DPIA는 공공기관에만 한정 적용하는 등 두 법 간 차이가 가장 두드러지는 영역 중 하나이다.

While the GDPR imposes record-keeping obligations for processing activities and requires DPIAs for all organizations when high-risk processing is involved, PIPA takes a notably different approach — replacing general record-keeping with access log retention requirements and limiting DPIA obligations exclusively to public institutions, making this one of the most divergent areas between the two laws.

4. 어휘 & 표현 정리

단어	한국어	정의
Record-keeping	기록 유지	처리 활동의 내용을 문서화하여 보관하는 의무
Processing Activities	처리 활동	개인정보의 수집, 저장, 이용, 제공, 파기 등 데이터에 가해지는 모든 작업
Data Protection Impact Assessment (DPIA)	개인정보 영향평가	고위험 처리 전 정보주체의 권리·자유에 미치는 영향을 사전에 평가하는 절차
Prior Consultation	사전 협의	DPIA 결과 높은 위험이 예상될 때 처리 전 감독기관에 자문을 구하는 절차
Proportionality	비례성	처리 수단이 목적 달성에 필요한 범위를 초과하지 않아야 한다는 원칙
Systematic	체계적인	일정한 규칙이나 계획에 따라 조직적으로 이루어지는 성질
Profiling	프로파일링	자동화된 수단으로 개인의 특성을 분석·예측하는 처리 행위
Access Log	접속 기록	개인정보 처리 시스템에 접속한 자의 ID, 접속 일시, 수행 업무 등을 기록한 자료
Exemption	면제	일반적으로 적용되는 의무나 규정의 적용에서 제외되는 것
Envisaged	예상된 / 계획된	앞으로 일어날 것으로 예측하거나 계획하는 것을 나타내는 표현
Divergent	상이한 / 갈라지는	두 개 이상의 대상이 서로 다른 방향으로 나아가거나 차이를 보이는 상태
Obligation	의무	법적 또는 계약상 반드시 이행해야 하는 사항
Retention	보유 / 보관	데이터나 기록을 일정 기간 동안 유지하는 행위
Legitimate	정당한 / 합법적인	법적으로 또는 도덕적으로 인정받을 수 있는 근거나 이유가 있는 상태
Surveillance	감시	개인이나 집단의 행동을 지속적으로 관찰·모니터링하는 행위
Inadvertent	의도치 않은	실수나 부주의로 인해 발생한 것으로 고의성이 없는 상태
Safeguard	안전장치 / 보호 조치	위험이나 피해를 방지하기 위해 마련된 기술적·관리적 보호 수단
Comprehensive	포괄적인	관련된 모든 사항을 빠짐없이 다루는 광범위한 성질
Implication	함의 / 영향	어떤 행위나 결정이 직접적으로 드러나지 않지만 간접적으로 미치는 영향이나 의미
Pseudonymised	가명처리된	추가 정보 없이는 특정 개인을 식별할 수 없도록 처리된 상태

5. 마무리: 복습

한국어 3문장 요약
1. GDPR은 모든 조직에 처리 활동 기록 유지 의무를 부과하지만, PIPA는 이를 요구하지 않는 대신 개인정보 처리 시스템 접속 기록을 최소 1년 이상 보관하도록 규정한다.
2. DPIA는 GDPR에서 고위험 처리 시 민간·공공 구분 없이 모든 조직에 의무 적용되나, PIPA에서는 공공기관에만 한정되어 적용된다는 점이 이번 범위에서 가장 큰 차이점이다.
3. PIPA는 가명정보 처리 시 목적 및 제3자 제공 현황 등을 기록·보관하도록 별도로 규정하는 반면, GDPR은 가명정보에 대한 별도 기록 의무를 두지 않는다.
영어 3문장 요약
1. While GDPR requires all organizations to maintain records of processing activities, PIPA does not impose such an obligation but instead requires data handlers to retain access logs for personal information processing systems for at least one year.
2. The most significant divergence in this section is the scope of DPIA obligations — mandatory for all organizations under GDPR when high-risk processing is involved, but limited exclusively to public institutions under PIPA.
3. PIPA uniquely requires records to be kept when processing pseudonymised information, including the purpose of processing and any third-party recipients, whereas GDPR does not impose specific record-keeping obligations for pseudonymised data.

스스로에게 던지는 질문

Question: Why does PIPA limit DPIA obligations to public institutions only, while GDPR applies them to all organizations?

Answer: PIPA was originally designed with a strong focus on regulating government and public sector use of personal data, as public institutions were seen as posing the greatest risk of large-scale misuse. Private sector organizations under PIPA are still subject to security and accountability obligations, but the formal structured impact assessment process was initially reserved for public bodies. GDPR, on the other hand, takes a risk-based approach that applies equally to all organizations regardless of their public or private nature, reflecting the EU's broader concern about data-driven commercial activities and their potential impact on individuals' fundamental rights.

[가명정보 지원 플랫폼] 4차시 - 가명정보 활용에 대한 이해

maysokuli — Sun, 17 May 2026 20:07:09 +0900

지난 차시 복습

문제 1

가명정보의 활용 유형으로 옳지 않은 것은?

① 연구자료 또는 통계자료 확보

② 현황 및 실태조사

③ 상품·서비스 개발 및 개선

④ 개인을 직접 식별하기 위한 고객 추적

정답 : 4번, 연구/통계/서비스 개선/정책 개발 등 법에서 허용하는 목적 범위에서 활용 가능

문제 2

가명정보를 활용한 정책 개발 및 개선에 대한 설명으로 옳은 것은?

① 기존 정책의 효과 검증에 활용할 수 있다

② 정책 개발에는 가명정보를 사용할 수 없다

③ 가명정보는 상품 판매에만 활용된다

④ 가명정보는 통계 작성 목적에만 한정된다

정답: 1번, 1인가구 정책, 건강보험료 부과체계 개선 등 에 활용

문제 3

가명정보에 대한 설명으로 옳은 것은?

① 가명정보는 개인정보가 아니다

② 가명정보는 식별 가능성을 낮춘 개인정보이다

③ 가명정보는 어떤 안전조치도 필요 없다

④ 가명정보는 무조건 자유롭게 판매할 수 있다

정답 : 2번

문제 5

주민등록번호를 가명처리하여 활용하는 것에 대한 설명으로 옳은 것은?

① 주민등록번호는 동의만 있으면 언제든 활용할 수 있다

② 주민등록번호는 가명처리하면 아무 제한 없이 활용 가능하다

③ 주민등록번호는 법률 등 구체적 근거가 있는 경우에 한해 활용 가능하다

④ 주민등록번호는 고유식별정보가 아니므로 제한이 없다

정답 : 3번, 주민등록 번호는 법률, 대통령령 등 구체적인 근거가 있는 경우에 한하여 활용이 가능하다.

1. 가명정보 활용 유형

연구자료 또는 통계자료 확보
현황 및 실태조사
상품/서비스 개발 및 개선
정책 개발 및 개선

2. 가명정보 활용 사례

가명데이터 활용, 서비스 1인 가구 정책 실효성 높인다

대학생 C씨는 1인가구 병원 안심동행 서비스를 통해 수월하게 진료를 받을 수 있었음

1인 가구의 고충 해소와 삶의 질 향상을 위한 기초 데이터를 어떻게 확보할 수 있을까?

친환경차 충전 인프라 수요예측 및 최적입지 선정

전기차 운행자가 가장 편하게 이용할 수 있는 곳을 분석하여 충전소를 설치할 수 있는 방법이 없을까?

지역가입자의 주택금융부채공제를 위한 신용정보 결합

보건복지부는 능력에 따라 합리적으로 건강보험료를 부과하는 체계를 도입하기 하고자 한다. 제도가 본격 시행되기 전에 정책의 효과를 예측하고 세부기준을 정립하고 싶은데 실거주, 부채 관련 정보를 결합하면 정책효과를 미리 예측해볼 수 있지 않을까?

가명정보 관련 QnA

가명정보도 개인정보인가?
가명정보는 식별가능성을 낮춘 개인정보이므로 다른 개인정보에 준하는 안전조치가 필요함
개인정보 중 민감정보나 고유식별번호도 가명처리하여 활용할 수 있는가?
주민등록번호를 제외한 나머지는 가명처리하여 활용할 수 있으나 주민등록번호의 경우 법률. 대통령령 등의 구체적 근거가 있어야 활용이 가능함.
가명정보를 유상으로 판매할 수 있는가?
과학적 연구 등 법에서 허용하는 목적 범위로 제공하면서 대가를 받는 것은 가능하나, 법에서 정한 목적 범위를 벗어나 판매할 목적으로 가명처리하는 것은 허용되지 않음.
'과학적 연구' 라는게 정확히 어떤 개념인가?
순수과학 뿐만 아니라 사회 과학 등도 포함하는 광의의 개념이다.
가명정보에서 추가정보를 삭제할 경우 익명정보로 볼 수 있는가?
추가정보가 삭제된 가명정보가 그 자체만으로 개인을 알아볼 수 없더라도 익명정보인지 여부는 시간/비용/기술 등을 합리적으로 고려하여 별도로 판단해야함.
영상 수집 목적 외 영상정보를 이용하고자 하는 경우 영상정보를 마스킹 했을 때 가명정보 및 익명정보에 해당하는가?
마스킹 하더라도 주변 상황 및 환경 등으로 개인을 식별할 수 있으므로 가명정보/익명정보인지 판단하기 어려움.
다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보인지 검토하여 판단해야 함.
A사에서 다수의 데이터분석회사에 동일한 가명정보를 전송하여 이를 분석한 결과 값을 회신받을 수 있는가?
A사가 닷의 데이터분석회사에 가명정보 처리를 위탁하는 경우라면, 개인정보의 업무위탁에 대하여 규정한 개인정보 보호법 제 26조에 따른 의무사항을 준수해야 함.
결합 신청 시 결합전문기관 선택의 기준이 있는가?
제한은 없으나 분야별 가이드라인을 참고하여 선택 가능
가명정보를 통계작성, 과학적 연구, 공익적 기록 보존 등을 위하여 정보주체의 동의 없이 '공개'할 수 있는가?
가명정보 공개는 사실상 제한됨.
회사가 보유한 가명정보를 결합하는 경우, 결합전문기관에 결합을 신청해야 하는가?
개인정보처리자는 보유하고 있는 개인정보를 가명처리하여 자체적으로 결합가능.

퀴즈

문제 1. 가명정보의 활용 유형에 해당하지 않는 것은?

① 연구자료 또는 통계자료 확보

② 상품/서비스 개발 및 개선

③ 특정 개인의 신용등급 산정

④ 정책 개발 및 개선

정답: ③

문제 2. 가명정보의 판매 및 제공에 관한 설명으로 옳은 것은?

① 가명정보는 어떠한 경우에도 유상으로 제공할 수 없다

② 법에서 허용하는 목적 범위 내에서 제공하며 대가를 받는 것은 가능하다

③ 법에서 정한 목적 범위를 벗어나더라도 가명처리 후 판매가 가능하다

④ 가명정보는 정보주체의 동의가 있으면 목적과 무관하게 판매할 수 있다

정답: ②

문제 3. 가명정보에서 추가정보를 삭제한 경우에 관한 설명으로 옳은 것은?

① 추가정보가 삭제되면 자동으로 익명정보로 간주된다

② 추가정보 삭제 여부와 관계없이 항상 개인정보로 본다

③ 익명정보 해당 여부는 시간·비용·기술 등을 합리적으로 고려하여 별도로 판단해야 한다

④ 추가정보를 삭제하면 개인정보 보호법의 적용을 받지 않는다

정답: ③

문제 4. 가명정보 관련 법령에서 '과학적 연구'의 개념 범위를 쓰시오.

정답: 순수과학뿐만 아니라 사회과학 등도 포함하는 광의의 개념

문제 5. 개인정보 중 가명처리를 통한 활용이 법률·대통령령 등 구체적 근거 없이는 허용되지 않는 고유식별번호는 무엇인가?

정답: 주민등록번호

[개인정보배움터] 개인정보 처리 단계별 절차 이해 - 수집/동의

maysokuli — Sun, 17 May 2026 19:29:32 +0900

지난 시간 복습

개인정보 수집 단계에서 준수해야 할 '개인정보 보호 원칙'으로 가장 적절하지 않은 것은?

① 개인정보 처리 목적을 명확하게 설정해야 한다.

② 목적 내에서 적법하고 정당하게 수집해야 한다.

③ 업무의 효율성을 위해 가능한 모든 범위의 개인정보를 수집해야 한다.

④ 개인정보처리자는 수집 시 적법 근거에 대해 보호 조직의 사전 확인을 받는 것이 권장된다.

필요 최소한의 정보만 수집해야 한다! 3

정보주체의 동의 없이도 개인정보를 수집·이용할 수 있는 경우에 해당하지 않는 것은?

① 법률에 특별한 규정이 있거나 법령상 의무 준수를 위해 불가피한 경우

② 정보주체와 체결한 계약을 이행하기 위해 필요한 경우

③ 개인정보처리자의 정당한 이익이 정보주체의 권리보다 명백하게 우선하는 경우

④ 대학 홈페이지에 공개된 교수진의 연락처를 영리 목적의 마케팅 DB로 구축하는 경우

공개된 정보라도 공개 취지를 벗어나 마케팅에 활용하는 것은 목적 외 이용으로 보아 동의가 필요할 수도 있다! 4

'최소 수집의 원칙'과 관련한 설명 중 옳은 것은?

① 필요 최소한의 정보 외의 수집에는 정보주체가 동의를 거부할 수 없다.

② 최소한의 정보 수집이라는 입증책임은 정보주체(고객)에게 있다.

③ 최소한의 정보 외의 개인정보 수집에 동의하지 않는다는 이유로 서비스 제공을 거절해서는 안 된다.

④ 업무 편의를 위해 수집하는 정보는 모두 '최소 수집' 범위에 포함된다.

최소한의 정보 외의 개인정보 수집에 동의하지 않아도 서비스를 제공해야 함! 3

개인정보 수집에는 정보주체로부터 직접 수집하는 것뿐만 아니라, 시스템 로그나 접속 기록처럼 업무 처리 과정에서 생성되는 정보를 수집하는 행위도 포함된다. (O / X)

민감정보(사상, 신념 등)를 수집할 때는 일반 개인정보 수집 동의와 별도로 동의를 받거나 법령상 근거가 있어야 한다. (O / X)

1. 개인정보 수집 개요

개인정보 수집 = 정보주체로부터 직접 수집 + 모든 형태의 개인정보 수집 행위

제3자로부터 수집 : 플랫폼으로부터 제공받은 구매자 주문내역, 카드사로부터 제공받은 구매자 가명정보 등

공개된 자료에서 수집 : SNS 전체 공개된 정보, 검색 사이트를 통해 검색되는 정보 등

업무처리 과정에서 생성 : 고객 센터 문의 사항 대응, 시스템 로그 및 접속 기록 등

개인정보 수집 사례 예시

처리 목적을 명확하게! 목적 내에서 적법하고 정당하게! 꼭 필요한 최소한의 개인정보 수집!

2. 개인정보 수집의 적법 근거

개인정보처리자 : 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말함

적법 수집 근거

정보 주체의 동의를 받은 경우
법률의 특별한 규정, 법령상 의무 준수를 위해 불가피한 경우
공공기관이 법령 등에서 정한 소관업무를 위해 불가피한 경우
정보주체와 체결한 계약 이행 혹은 계약 체결 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우
명백히 정보주체 등의 급박한 생명, 신체, 재산의 이익을 위해 필요한 경우
개인정보처리자의 정당한 이익 달성을 위해 필요한 경우로서, 명백하게 정보추제의 권리보다 우선하는 경우
공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우

'동의'는 개인정보처리자가 개인정보를 수집/이용하는 것에 대한 정보주체의 자발적인 승낙의 의사표시

2023년 개인정보 보호 관련 법률 개정

온라인을 중심으로 개인정보 수집/이용 시 동의 의무화 -> 정보통신서비스제공자에 대한 '필수 동의원칙' 삭제.

'계약 체결/이행' 요건에서 '불가피하게' 삭제

법 개정 주의 사항

기존 필수 동의 항목에 대한 재확인 필요

- 필수 개인정보 수집/이용 동의에 체크하는 경우

- 개인정보 수집/이용 동의에 체크하는 경우

- 적법 처리 근거가 동의가 아닌 계약 이행으로 변경됨

온라인 플랫폼 A사, 동의 없이 정보 수집으로 과징금 조치

동의 절차 및 정보 제공이 불충분했고, 특히 개인정보 처리 동의 내역, 보유 기간, 제3자 제공 고지가 부족한 점이 문제가 됨.

동의 절차가 제대로 설계되지 않으면 대형 플랫폼도 처벌 대상이 될 수 있고, 어떤 정보를 왜 수집하는가를 명확히 고지하는 것이 필수!

법률 규정/법령상 의무 준수/공공기관 법령 소관 업무 수행

- 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우

- 공공기관이 법령 등에서 정하는 소관업무 수행을 위해 불가피한 경우

계약 이행 등을 위하여 필요한 경우

정보 주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우

계약에 해당하는 경우

ex) 온라인 교육 신청 시 교육 수료 후 수료증 발급 합의, 아파트 입주자와 아파트 관리 서비스 계약 체결 등

계약 체결 이행을 위해 필요

ex) 결제-배송-AS 등 계약 이행을 위해 주소, 연락처, 결제 정보 등을 수집/이용, 민원 접수/처리 목적으로 정보 주체의 이름, 연락처 등을 수집/이용 등

명백히 정보주체 등의 급박한 생명/신체/재산 보호

- 조난 홍수 등으로 실종되거나 고립된 사람을 구조하기 위하여 연락처, 주소, 위치정보 등 개인정보를 수집하는 경우

- 아파트에 화재가 발생한 경우, 집안에 있는 자녀를 구하기 위해 해당 자녀 또는 부모의 휴대전화 번호를 수집하는 경우

- 의식 불명이나 중태에 빠진 환자에 수술 등 의료조치를 위하여 개인정보를 수집하는 경우

개인정보처리자의 정당한 이익 달성

- 사업자가 고객과의 소송이나 분쟁에 대비하여 요금 정산자료, 고객의 민원제기 내용 및 대응자료 등을 수집/관리하는 경우

- 이용자의 정보의 부정 이용 등을 방지하기 위한 부정행위탐지시스템(FDS) 운영을 위해 수집하여 이용하는 경우

- 입주민의 폭언/폭행/위혐이 지속되어 사전고지 후 녹음/촬영하는 경우

온라인에 공개된 게시물 수집/이용

자신의 개인정보를 수집/이용해도 된다는 명시적인 동의의사를 표시

홈페이지의 성격, 게시물 내용 등에 비추어 사회통념상 동의의사가 있었다고 인정되는 경우

3. 개인정보 수집 제한

개인정보 최소 수집

필요 최소한의 개인정보 수집, 입증책임은 개인정보처리자가 부담. 최소항늬 정보 외의 개인정보 수집에는 동의 거부 가능

특별 보호 개인정보

- 아동의 개인정보 보호

- 민감정보 처리 제한

- 고유식별정보 처리 제한

- 주민등록번호 처리 제한

4. 개인정보취급자 실천수칙

수집/동의 단계 개인정보 보호 수칙

개인정보 수집 목적을 명확히 하기
개인정보를 수집할 떄는 반드시 적법 근거를 확인하기
개인정보는 목적 범위 내에서 최소한으로 수집하기
개인정보 수집에 동의를 받을 떄는 정보주체의 선택권을 보장하기
14세 미만 아동의 개인정보 수집 시에는 법정대리인의 동의를 받기
민감정보/고유식별정보/주민등록번호 수집의 법적 근거는 한번 더 확인하기
개인정보 수집 전에 반드시 개인정보보호 담당자의 검토를 받기

문제 출제

문제 1. 개인정보 수집의 적법 근거에 해당하지 않는 것은?

① 정보주체의 동의를 받은 경우

② 법령상 의무 준수를 위해 불가피한 경우

③ 개인정보처리자의 영업 이익 극대화를 위해 필요한 경우

④ 정보주체와 체결한 계약 이행을 위해 필요한 경우

정답: ③

문제 2. 2023년 개인정보 보호 관련 법률 개정의 주요 내용으로 옳은 것은?

① 온라인 개인정보 수집 시 필수 동의 원칙이 강화되었다

② 정보통신서비스제공자에 대한 '필수 동의 원칙'이 삭제되었다

③ 계약 체결·이행 요건에 '불가피하게' 조건이 추가되었다

④ 공공기관의 개인정보 수집은 동의 없이 전면 허용되었다

정답: ②

문제 3. 다음 중 개인정보취급자의 수집·동의 단계 실천수칙으로 옳지 않은 것은?

① 개인정보는 목적 범위 내에서 최소한으로 수집한다

② 14세 미만 아동의 개인정보 수집 시 법정대리인의 동의를 받는다

③ 민감정보 수집의 법적 근거는 수집 후에 사후 확인해도 무방하다

④ 개인정보 수집 전에 반드시 개인정보보호 담당자의 검토를 받는다

정답: ③

문제 4. 개인정보 최소 수집 원칙에서, 최소한의 정보 외의 개인정보 수집에 대한 입증책임은 누가 부담하는가?

정답: 개인정보처리자

문제 5. 온라인 플랫폼 A사가 과징금 처분을 받은 이유 중, 정보주체에게 반드시 고지해야 했으나 부족했던 세 가지 항목을 쓰시오.

정답: 개인정보 처리 동의 내역, 보유 기간, 제3자 제공 고지

[Theori] 2026년, 내 인스타그램 계정이 해킹 당하는 이유 4가지

maysokuli — Sun, 17 May 2026 18:36:47 +0900

https://theori.io/ko/blog/instagram-account-hacking-reasons

2026년, 내 인스타그램 계정이 해킹 당하는 이유 4가지 - Theori 블로그

협찬 DM 사기, 피싱 페이지, 크리덴셜 스터핑까지. 2026년 인스타그램 해킹 수법 4가지와 계정 보호를 위한 체크리스트. 5가지 질문으로 내 계정 위험도를 바로 확인해 보세요! | Cybersecurity Training

theori.io

소셜미디어 해킹 피해자의 73%는 해킹 전까지 나는 안전하다고 생각함.

인스타그램 해킹 위험 질문 5개는 다음과 같다.

인스타그램 비밀번호를 다른 앱이나 사이트에도 똑같이 쓰고 있다.
인스타그램에 2단계 인증(2FA)을 설정하지 않았다.
모르는 사람이 보낸 DM의 링크를 바로 클릭하거나 답장한다,
카페나 공용 PC에서 인스타그램에 로그인한 적 있다.
'계정이 정지될 수 있습니다' 같은 DM이나 이메일을 받은 적 있다.

0~1개라면 괜찮다.

2~3개라면 이미 공격을 당해썩나 앞으로 당할 가능성이 높다.

4~5개라면 지금 이 순간에도 내 계정 정보가 어디엔가 올라가 있을 가능성이 높다.

소셜미디어 사용자 순위, 해킹 비율 1위 플랫폼

인스타그램의 해킹 피해 비율이 1위가 된 이유는 단순히 사용자가 많은 영향도 있지만, 협찬, 이벤트, 브랜드 계정과의 소통이 일상화된 플랫폼으로서 공식 DM인지 사기 DM인지 구분하기가 어려운 인스타그램 특유의 사용 패턴 때문이기도 하다.

인플루언서와 일반 사용자가 섞여 있고, 팔로워가 많을수록 계정 해킹 후 피싱 메세지를 많이 뿌릴 수 있어 해커 입장에서 매력적인 타겟이다.

인스타그램 피싱 DM 수법

마치 공식 인스타그램 이메일처럼 생긴 주소에서 메일을 보내거나, DM을 보낸다. -> 사람의 공포 심리를 이용한 방법

링크를 누르면 로그인 페이지처럼 보이는 피싱 페이지로 이동하고, 입력값만 탈취한다.

협찬 DM에서 카카오 계정까지 빼앗는 방식

브랜드인 척 메세지를 보내서 카카오인증을 요구하고, 링크를 클릭해 정보를 입력하면 카카오 계정이 탈취된다.

인스타그램 비밀번호와 카카오 비밀번호가 같은 경우 두 계정 모두 해킹 당하는 셈.

=> 신뢰하지 않는 사람이 발송한 링크는 일절 확인하지 않는 것이 가장 좋다!

피싱 링크를 클릭하지 않아도 해킹당할 때

크리덴셜 스터핑

: 다른 사이트에서 이미 유출된 아이디와 비밀번호를 인스타그램에 자동으로 대입하여 로그인을 시도하는 방식

인터넷 어딘가에서 한 번이라도 가입한 서비스가 해킹되었고, 그 서비스에서 쓰던 비밀번호를 인스타그램에도 쓰고 있다면 이 방식에 그대로 노출된다.

2FA를 설정했는데도 해킹 당하는 이유

2단계 인증(2FA)는 로그인할 떄 인증하는 단계를 하나 더 추가하는 보안 설정을 말한다.

그러나 비밀번호가 아니라 이미 로그인된 상태를 훔치는 방식도 있다.

서버는 로그인했던 사람을 기억하기 위해 세션 쿠키를 이용하는데, 이를 탈취하면 비밀번호도 2FA 코드도 필요없이 로그인이 가능하다.

실제로 2025 한 해 동안 인포스틸러라고 불리는 악성 프로그램이 수집한 브라우저 세션 쿠키가 940억 건을 넘었다는 조사 결과도 나옴.

2026년이 더 위험한 이유 - AI 피싱, 딥페이크

2026년에는 AI가 개인의 말투와 관심사를 학습해서 맞춤형 피싱 메세지를 만들기 때문에, AI가 생성한 피싱 메세지로 사람이 작성한 것보다 클릭률이 4배 높다.

이제는 전문 기술 없이도 딥페이크 영상을 만들 수 있어서, 마치 유명 인플루언서가 직접 제품을 추천하는 것처럼 딥페이크 영상을 협찬 DM으로 활용할 위험도 있다,

인스타그램 해킹방지 체크리스트

비밀번호를 다른 서비스와 다르게 설정하기
2단계 인증(2FA) 설정하기
모르는 사람의 DM과 링크 클릭하지 않기
링크 클릭하기 전에 URL이 정확한지 먼저 확인하기
카페, 공용 PC에서 로그인하지 않기

정보보호 소쿠리

PPT 분량 정리 + 동향 스터디 1주차 내용 복습 정리

개인정보배움터 6주 수강 총정리 — 개인정보 보호법부터 처리 단계까지

목차

1. 개인정보 보호법의 흐름과 관련 법제

왜 개인정보 보호법이 만들어졌나?

개정의 흐름

우리나라 개인정보 보호 법체계

정보주체의 6대 권리 (제4조)

2. 개인정보 보호의 필요성

디지털 시대, 개인정보의 범위가 넓어졌다

개인정보 침해는 현재진행형

3. 사례로 보는 개인정보 이슈

사례 1 — 형식적 동의는 동의가 아니다

사례 2 — 기업의 안전조치 의무

사례 3 — AI 학습 데이터와 개인정보

4. 처리 단계별 절차 — 이용·제공

제3자 제공이란?

제3자 제공의 적법 근거

처리 위탁 시 주의사항

5. 처리 단계별 절차 — 수집·동의

개인정보 수집의 범위

적법 수집 근거 7가지

2023년 개정의 핵심 변화

최소 수집 원칙

특별 보호 대상

6. 처리 단계별 절차 — 저장·관리

왜 안전하게 저장해야 하나?

안전성 확보조치 5가지

개인정보취급자 금지행위 (제59조)

동향스터디 1주차 복습 내용 정리

원래 알던 내용

이해가 잘 안 갔던 내용

핵심 요약 한 줄

[가명정보지원플랫폼] 6차시 분야별 가명처리 이해

일반법과 특별법, 뭐가 다를까

의료법 vs 개인정보보호법 — 어느 쪽을 적용해야 할까

데이터 3법 외에도 가명처리 관련 법령이 꽤 있다

데이터기반행정 활성화에 관한 법률 — 제4조의2

감염병의 예방 및 관리에 관한 법률 — 제76조의3

아동복지법 시행규칙 — 제18조

암관리법 — 제9조의2

2. 분야별 가명처리 절차 설명

먼저 용어부터 정리하자

공공 분야 — 적합성 검토 절차

보건의료 분야 절차

내부 활용 — 기본 흐름

같은 유형이면 심의 생략 가능

다기관 결합 연구는 이렇게!

금융 분야 절차

데이터 설명회

적정성 평가

이중 모델 vs 단일 모델

퀴즈

[개인정보배움터] 개인정보 처리 단계별 절차 이해 - 저장/관리

1. 개인정보 저장/관리 개요

2. 안정성 확보조치 주요 내용

3. 개인정보취급자 실전수칙

퀴즈

6주차 동향 스터디

1. 사전 워밍업 : 전체 흐름 파악

2. 첫 번째 읽기: 스키밍 + 한국어 번역 의존

5.1 Right to Erasure (삭제권)

5.2 Right to be Informed (정보 제공받을 권리)

3. 두 번째 읽기 : 영어 중심 정독

4. 어휘 & 표현 정리

5. 마무리: 복습

[Theori]보안 담당자라면 꼭 알아야 할 점검 전략 가이드 | 모의해킹 vs 모의침투 vs 취약점 진단

모의해킹이란?

모의해킹 vs. 모의침투 vs. 취약점 점검, 무엇이 다른가?

취약점 진단 :

모의해킹 :

모의침투:

[Network Times] 지정학적 위기, 사이버 위협 고조시킨다

물리적 전쟁 + 사이버 전쟁 = 하이브리드 전쟁

랜섬웨어는 줄고 첩보활동이 늘어났다고?

가장 활발하게 활동한 국가 배후 공격그룹은...

초단위의 공격과 유출

힘을 합쳐도 범죄 소탕은 어려운가봐

AI로 커진 CISO의 책임 범위