원격근무가 보편화되면서 회사 시스템에 외부에서 접속하고, 자택에서 고객 데이터를 처리하는 환경이 일상이 되었습니다. 이 환경은 기존 사무실 기반 개인정보 보호 체계에 없던 새로운 위험과 의무를 만들어냅니다.
원격근무 환경의 개인정보 처리 구조
직원 자택(개인 네트워크)
└── VPN → 회사 내부망
└── 화상회의 플랫폼 (Zoom, Teams)
└── 협업 도구 (Slack, Notion, Google Workspace)
└── RMM 소프트웨어 (TeamViewer, AnyDesk)
└── 클라우드 파일 (Google Drive, OneDrive)
각 단계에서 개인정보(고객 데이터, 직원 데이터)가 오가며 PIPA 의무 발생
VPN 접속 기록
접속 로그는 직원 개인정보
VPN 접속 기록(접속 시간, IP 주소, 접속 시간 등)은 직원의 근무 행태 정보로 개인정보에 해당합니다.
처리 원칙:
- 보관 목적: 보안 사고 조사, 업무 시스템 보호
- 보관 기간: 6개월 이상 (안전성 확보조치 기준 접속 기록 보관 의무)
- 접근 권한: IT 보안팀 또는 시스템 관리자 한정
- 인사 목적 사용 금지: 접속 기록만으로 근태를 판단하거나 징계에 활용하는 것은 수집 목적 외 이용
화상회의 녹화 — 참여자 동의 필수
Zoom, Microsoft Teams, Google Meet으로 회의를 녹화하는 경우 참여자의 얼굴·목소리가 기록됩니다.
동의 없이 녹화하면?
- 참여자 동의 없이 녹화 → 개인정보보호법 및 통신비밀보호법 위반 가능
- 외부 고객이 참여하는 경우 → 고객 동의 없이 고객 정보 수집
적법한 녹화 방법
회의 시작 전 고지:
"이 회의는 기록될 수 있습니다. 동의하지 않으시면 참여를 중단해 주세요."
또는 Zoom·Teams의 자동 고지 기능(녹화 시작 알림)을 활성화합니다.
녹화본 보관
- 보관 목적: 회의 내용 확인, 부재자 공유
- 보관 기간: 목적 달성 후 파기 (통상 3~6개월 권장)
- 외부 공유 금지: 회의 참여자 외에 녹화본 배포 금지
원격 모니터링(RMM) 소프트웨어
재택근무 직원의 PC를 원격으로 모니터링하는 솔루션(TeamViewer, AnyDesk, Hubstaff 등):
허용 범위
| 모니터링 유형 | 허용 여부 | 조건 | |--------------|---------|------| | 업무 시스템 접속 기록 | ✅ 허용 | 사전 고지 필수 | | 화면 캡처 (작업 내용) | ⚠️ 제한적 | 명확한 동의 + 업무 목적 한정 | | 키로거 (키보드 입력 기록) | ❌ 금지 수준 | 개인 사생활 과도한 침해 | | 카메라 상시 촬영 | ❌ 금지 수준 | 사생활 침해 | | 인터넷 사용 기록 (업무 기기) | ✅ 제한적 허용 | 업무 기기 한정, 사전 고지 |
필수 사전 고지
직원에게 반드시 서면으로 고지해야 합니다.
[원격 모니터링 고지서]
귀하의 업무용 기기에는 다음 보안 소프트웨어가 설치됩니다:
- 소프트웨어: [제품명]
- 수집 정보: 업무 시스템 접속 기록, 보안 이벤트 로그
- 목적: 정보 보안 및 회사 자산 보호
- 보관 기간: 6개월
* 개인 정보(사생활)는 수집하지 않습니다.
* 개인 기기에는 설치하지 않습니다.
확인 서명: _________ 일자: _________
자택 네트워크와 보안
개인 Wi-Fi 사용 시 위험
자택 Wi-Fi는 회사 내부망과 달리 보안 통제가 없습니다.
필수 조치:
- 업무 중 VPN 필수 사용 정책 수립
- 공용 Wi-Fi(카페, 도서관)에서의 업무용 시스템 접속 금지 또는 VPN 필수
개인 기기(BYOD) 사용 정책
직원 개인 기기로 업무를 처리하는 경우:
- 개인 기기에 회사 데이터(고객 DB, 계약서)를 로컬 저장 금지
- MDM(모바일 기기 관리) 솔루션으로 원격 데이터 삭제 기능 확보
- 퇴직 시 업무 데이터 완전 삭제 확인
화상회의 배경 — 자택 노출 이슈
화상회의 중 직원의 자택 배경이 노출되는 경우:
- 직원 자택 배경은 직원의 사생활 정보
- 회사가 직원에게 카메라 필수 켜기를 강요하는 정책은 개인정보 침해 소지
- 버추얼 배경 사용 옵션 제공 권장
- 회의 녹화 시 직원 자택 환경도 함께 기록됨 → 녹화 범위 최소화 권장
협업 도구(Slack, Notion) 내 개인정보
업무용 협업 도구에 고객 개인정보를 입력하는 경우:
- Slack 채널에 고객 연락처를 메시지로 공유 → 해당 채널 구성원 전원에게 노출
- Notion 페이지에 계약 당사자 정보를 적는 경우 → 접근 권한 설정 필수
실무 원칙:
- 협업 도구에는 필요 최소한의 개인정보만 게시
- 접근 권한을 업무 관련자로 한정
- 퇴사자 계정 즉시 비활성화
재택근무 직원 위치 추적
GPS 위치를 추적하거나 출퇴근 확인을 위해 위치 정보를 수집하는 경우:
- 위치정보법 적용: 직원 위치 수집 시 별도 동의 필요
- 업무 시간 외 위치 추적 금지
- 위치 기록 보관 기간 최소화
원격근무 보안 정책 수립 체크리스트
원격근무 개인정보 보안 정책
1. VPN 의무 사용: 사내 시스템 접속 시 VPN 필수
2. 개인 기기 사용: [허용/금지] — [허용 시: MDM 설치 필수]
3. 화상회의 녹화: 참여자 사전 동의 후 허용
4. 모니터링: [소프트웨어명] — 직원 고지 완료 일자: ____
5. 공용 Wi-Fi: 업무용 시스템 접속 금지 (VPN 사용 시 허용)
6. 자택 기기 잠금: 자리 이탈 시 화면 잠금 의무
7. 인쇄물 처리: 업무 인쇄물 가정용 파쇄기 또는 회사 반납
처리방침 기재 사항
원격근무 환경에서 사용하는 협업 도구, VPN, RMM 솔루션이 수탁자라면 처리방침에 기재합니다.
수탁자 현황 (원격근무 관련 추가):
- [VPN 솔루션]: 접속 보안
- [RMM 솔루션]: 업무 기기 보안 관리
- [화상회의 플랫폼]: 화상 회의 서비스
서버 위치: 미국 (국외 이전 해당)
PIPAGuard로 원격근무 PIPA 준수 점검하기
처리방침 수탁자 기재, 화상회의 녹화 정책, 직원 모니터링 고지 현황을 자동으로 점검할 수 있습니다.