개인정보 안전성 확보 조치 가이드

개인정보보호법 제29조는 개인정보 처리자에게 "안전성 확보에 필요한 기술적·관리적·물리적 조치"를 의무화합니다. 이를 이행하지 않으면 보안 사고가 발생했을 때 과징금의 핵심 근거가 됩니다. 중소기업이 실무에서 바로 적용할 수 있는 조치별 가이드를 정리합니다.

1. 안전성 확보 조치 체계

세 가지 영역의 조치

개인정보보호법 시행령 제30조는 안전 조치를 세 영역으로 분류합니다.

| 영역 | 조치 내용 | |-----|---------| | 기술적 조치 | 암호화, 접근 통제, 접속 기록, 보안 프로그램 | | 관리적 조치 | 내부 관리 계획, 직원 교육, 권한 부여·변경·말소 | | 물리적 조치 | 전산실 출입 통제, 잠금 장치, 문서 보안 |

2. 접근 권한 관리

가장 기본적인 보안 조치

접근 권한 관리 원칙:

최소 권한 원칙 (Principle of Least Privilege):

각 직원은 업무에 필요한 최소한의 개인정보에만 접근 가능해야 합니다.

✅ 역할별 접근 권한 정의
   - 영업팀: 고객 이름·연락처만
   - HR팀: 직원 인사정보만
   - 개발팀: 테스트 데이터 (실제 개인정보 접근 제한)
   - 대표자: 전체 (단, 업무 목적 범위)

✅ 권한 부여 절차:
   1. 신규 직원: 담당 업무 확인 후 권한 부여
   2. 부서 이동: 이전 권한 즉시 회수 + 신규 권한 부여
   3. 퇴직: 퇴직 당일 모든 권한 말소

✅ 접근 권한 주기적 검토:
   - 분기 1회: 권한 목록 재검토
   - 불필요한 권한 즉시 회수

비밀번호 관리:

안전한 비밀번호 정책:
✅ 최소 8자 이상 (숫자+문자+특수문자 조합)
✅ 개인정보 처리 시스템: 분기 1회 이상 변경
✅ 공용 계정 사용 금지 (개인 계정 사용)
✅ 타인에게 비밀번호 공유 금지
✅ 로그아웃 없이 자리 비우기 금지 (화면 잠금)

❌ "1234", "password" 등 취약 비밀번호 금지
❌ 비밀번호 포스트잇에 기재 금지

3. 암호화 의무 대상

반드시 암호화해야 하는 정보

암호화 필수 항목:

| 항목 | 암호화 의무 | 적용 방법 | |-----|---------|---------| | 주민등록번호 | 필수 | DB 저장·전송 모두 | | 여권번호 | 필수 | DB 저장·전송 모두 | | 운전면허번호 | 필수 | DB 저장·전송 모두 | | 외국인등록번호 | 필수 | DB 저장·전송 모두 | | 신용카드번호 | 필수 | DB 저장·전송 모두 | | 계좌번호 | 필수 | DB 저장·전송 모두 | | 비밀번호 | 필수 | 일방향 암호화(해시) | | 생체인식정보 | 필수 | DB 저장·전송 모두 | | 건강 정보 등 민감정보 | 권고 (사실상 필수) | DB 저장·전송 모두 |

암호화 방법:

암호화 적용 방식:

DB 저장:
✅ AES-128 이상 (대칭 암호화)
✅ 비밀번호: SHA-256 + Salt (해시)

전송 구간:
✅ HTTPS (TLS 1.2 이상) — 웹 서비스
✅ SSL/TLS — 이메일·API 통신
✅ 암호화된 채널을 통한 파일 전송

파일 저장:
✅ 개인정보 파일 비밀번호 설정
✅ 암호화 소프트웨어 적용 (BitLocker 등)

4. 접속 기록 보관

6개월 이상 보관 의무

개인정보 처리 시스템에 접속한 기록을 최소 6개월 이상 보관해야 합니다.

접속 기록에 포함할 항목:

접속 기록 필수 항목:
- 접속자 식별 정보 (계정 ID)
- 접속 일시 (날짜·시간)
- 접속 IP 주소
- 처리한 정보 주체 수
- 수행한 업무 내용 (열람·다운로드·수정·삭제)

보관:
✅ 최소 6개월
✅ 5만 명 이상 또는 민감정보 처리 시: 2년 이상

로그 보안:
✅ 접속 기록 임의 수정·삭제 불가 처리
✅ 별도 관리자 권한으로 보호

5. 악성 프로그램 방지

보안 소프트웨어 설치·운영

보안 소프트웨어 기준:

개인정보 처리 PC·서버 필수 조치:

✅ 백신 소프트웨어 설치 (정기 업데이트)
✅ 운영체제 보안 패치 정기 적용
✅ 방화벽 활성화
✅ 불필요한 포트 차단

클라우드 서버:
✅ 보안 그룹 설정 (필요 포트만 개방)
✅ SSH 키 인증 (비밀번호 인증 비활성화 권장)
✅ 정기 취약점 스캔

업무용 PC:
✅ 개인 소프트웨어 설치 제한
✅ 외부 저장 매체 사용 정책 수립
✅ 화면 보호기 + 자동 잠금 설정

6. 내부 관리 계획 수립

문서화된 계획이 있어야 한다

내부 관리 계획 필수 내용:

개인정보 내부 관리 계획 포함 항목:

1. 개인정보 보호책임자(CPO) 지정 및 역할
2. 개인정보 처리 현황 (수집 항목·목적·보관 기간)
3. 개인정보 접근 권한 부여 기준 및 절차
4. 개인정보 안전성 확보 조치 현황
5. 개인정보 처리 위탁 현황
6. 개인정보 파기 절차
7. 개인정보 보호 교육 계획
8. 침해 사고 대응 절차

보관:
✅ 최신 현황 반영하여 유지
✅ 연 1회 이상 검토·업데이트

7. 직원 교육

인적 요인이 가장 큰 보안 위협

개인정보 보호 교육 의무:

교육 대상: 개인정보를 처리하는 모든 직원
교육 주기: 연 1회 이상 (권고: 반기 1회)

교육 내용:
✅ 개인정보 처리 원칙 (수집 최소화, 목적 한정)
✅ 개인정보 유출 사례와 예방법
✅ 비밀번호 관리 수칙
✅ 피싱·사회공학 공격 대응
✅ 유출 사고 발생 시 신고 절차

교육 기록:
✅ 교육 일시, 내용, 참석자 서명 보관
✅ 온라인 교육 시 수료 이력 저장

8. 물리적 보안

종이 문서와 저장 매체 관리

물리적 보안 조치:

문서 보안:
✅ 개인정보 포함 문서: 잠금 캐비닛 보관
✅ 사무실 이탈 시 문서 책상 위 방치 금지
✅ 불필요 문서: 분쇄기(크로스컷) 파기

저장 매체 관리:
✅ USB 등 이동식 저장 매체 사용 대장 관리
✅ 분실 시 즉시 보고 절차 수립
✅ 폐기 저장 매체: 복구 불가 수준 파기

전산실·서버실:
✅ 출입 통제 (카드키 또는 잠금장치)
✅ 출입 기록 보관
✅ 불필요 인원 출입 통제

9. 재택·원격 근무 보안

코로나 이후 새로운 보안 과제

재택 근무 시 보안 지침:

재택·원격 근무 시 추가 조치:

✅ VPN 사용 (개인정보 처리 시스템 접근 시)
✅ 업무용 기기와 개인용 기기 분리
✅ 화상 회의 시 화면에 개인정보 노출 주의
✅ 공용 Wi-Fi에서 개인정보 처리 금지
✅ 가족이 볼 수 있는 환경에서 개인정보 처리 주의

❌ 개인 클라우드(개인 구글드라이브 등)에 업무 데이터 저장 금지
❌ 개인 이메일로 업무 자료 전송 금지

10. PipaGuard로 안전 조치 현황 관리

PipaGuard 지원 기능:

안전성 확보 조치 자가 점검 체크리스트
내부 관리 계획 템플릿 자동 생성
접근 권한 관리 가이드
암호화 대상 항목 진단
직원 교육 이력 관리

무료로 시작하기: pipaguard.vercel.app

안전성 확보 조치 전체 체크리스트

기술적 조치:

[ ] 개인정보 처리 시스템 계정별 비밀번호 설정
[ ] 역할별 접근 권한 분리 설정
[ ] 주민등록번호·카드번호 등 필수 암호화 항목 암호화 확인
[ ] 비밀번호 일방향 암호화(해시) 저장
[ ] 웹 서비스 HTTPS 적용 확인
[ ] 접속 기록 6개월 이상 보관 설정
[ ] 백신·방화벽 설치 및 최신 업데이트 유지
[ ] 운영체제 보안 패치 정기 적용

관리적 조치:

[ ] 개인정보 보호책임자(CPO) 지정 및 문서화
[ ] 내부 관리 계획 수립 (최신 현황 반영)
[ ] 직원 개인정보 보호 교육 연 1회 이상 실시
[ ] 퇴직 직원 접근 권한 당일 말소 절차 수립
[ ] 개인정보 파기 절차 및 기록 보관

물리적 조치:

[ ] 개인정보 포함 문서 잠금 보관
[ ] 불필요 문서 분쇄기 파기
[ ] 서버실·전산실 출입 통제
[ ] USB 등 이동식 매체 사용 관리

자주 묻는 질문

Q. 직원이 10명 미만인 소기업도 내부 관리 계획을 만들어야 하나요?

A. 네. 개인정보보호법은 처리하는 개인정보의 규모에 따라 의무 수준이 달라지지만, 내부 관리 계획 수립 의무는 직원 수와 무관하게 적용됩니다. 소기업은 간소화된 형태로 작성하면 됩니다.

Q. 고객 정보를 엑셀로 관리하는데 암호화를 어떻게 해야 하나요?

A. 엑셀 파일에 주민등록번호·카드번호 등이 포함된 경우 파일 자체에 비밀번호를 설정해야 합니다. 더 안전하게는 해당 열을 암호화하거나, 전용 개인정보 관리 프로그램을 사용하는 것이 권장됩니다. 개인 클라우드 드라이브에 저장하지 않는 것도 중요합니다.

Q. 보안 사고가 발생하지 않으면 안전 조치 미비를 모르는 거 아닌가요?

A. 개인정보보호위원회는 민원 접수, 미디어 보도, 정기 점검을 통해 안전 조치 위반을 적발합니다. 특히 경쟁사나 불만 고객의 신고로 조사가 시작되는 경우가 있습니다. 사고 전 자진 점검·개선이 과징금 경감에 유리합니다.

개인정보 보안은 특별한 날만 하는 것이 아니라 매일의 업무 습관입니다. 지금 당장 체크리스트를 확인하고 취약점을 개선하세요. PipaGuard로 안전성 확보 조치 현황을 점검하세요.

개인정보 안전성 확보 조치 가이드

1. 안전성 확보 조치 체계

세 가지 영역의 조치

개인정보보호법 시행령 제30조는 안전 조치를 세 영역으로 분류합니다.

2. 접근 권한 관리

가장 기본적인 보안 조치

접근 권한 관리 원칙:

최소 권한 원칙 (Principle of Least Privilege):

각 직원은 업무에 필요한 최소한의 개인정보에만 접근 가능해야 합니다.

✅ 역할별 접근 권한 정의
   - 영업팀: 고객 이름·연락처만
   - HR팀: 직원 인사정보만
   - 개발팀: 테스트 데이터 (실제 개인정보 접근 제한)
   - 대표자: 전체 (단, 업무 목적 범위)

✅ 권한 부여 절차:
   1. 신규 직원: 담당 업무 확인 후 권한 부여
   2. 부서 이동: 이전 권한 즉시 회수 + 신규 권한 부여
   3. 퇴직: 퇴직 당일 모든 권한 말소

✅ 접근 권한 주기적 검토:
   - 분기 1회: 권한 목록 재검토
   - 불필요한 권한 즉시 회수

비밀번호 관리:

안전한 비밀번호 정책:
✅ 최소 8자 이상 (숫자+문자+특수문자 조합)
✅ 개인정보 처리 시스템: 분기 1회 이상 변경
✅ 공용 계정 사용 금지 (개인 계정 사용)
✅ 타인에게 비밀번호 공유 금지
✅ 로그아웃 없이 자리 비우기 금지 (화면 잠금)

❌ "1234", "password" 등 취약 비밀번호 금지
❌ 비밀번호 포스트잇에 기재 금지

3. 암호화 의무 대상

반드시 암호화해야 하는 정보

암호화 필수 항목:

암호화 방법:

암호화 적용 방식:

DB 저장:
✅ AES-128 이상 (대칭 암호화)
✅ 비밀번호: SHA-256 + Salt (해시)

전송 구간:
✅ HTTPS (TLS 1.2 이상) — 웹 서비스
✅ SSL/TLS — 이메일·API 통신
✅ 암호화된 채널을 통한 파일 전송

파일 저장:
✅ 개인정보 파일 비밀번호 설정
✅ 암호화 소프트웨어 적용 (BitLocker 등)

4. 접속 기록 보관

6개월 이상 보관 의무

개인정보 처리 시스템에 접속한 기록을 최소 6개월 이상 보관해야 합니다.

접속 기록에 포함할 항목:

접속 기록 필수 항목:
- 접속자 식별 정보 (계정 ID)
- 접속 일시 (날짜·시간)
- 접속 IP 주소
- 처리한 정보 주체 수
- 수행한 업무 내용 (열람·다운로드·수정·삭제)

보관:
✅ 최소 6개월
✅ 5만 명 이상 또는 민감정보 처리 시: 2년 이상

로그 보안:
✅ 접속 기록 임의 수정·삭제 불가 처리
✅ 별도 관리자 권한으로 보호

5. 악성 프로그램 방지

보안 소프트웨어 설치·운영

보안 소프트웨어 기준:

개인정보 처리 PC·서버 필수 조치:

✅ 백신 소프트웨어 설치 (정기 업데이트)
✅ 운영체제 보안 패치 정기 적용
✅ 방화벽 활성화
✅ 불필요한 포트 차단

클라우드 서버:
✅ 보안 그룹 설정 (필요 포트만 개방)
✅ SSH 키 인증 (비밀번호 인증 비활성화 권장)
✅ 정기 취약점 스캔

업무용 PC:
✅ 개인 소프트웨어 설치 제한
✅ 외부 저장 매체 사용 정책 수립
✅ 화면 보호기 + 자동 잠금 설정

6. 내부 관리 계획 수립

문서화된 계획이 있어야 한다

내부 관리 계획 필수 내용:

개인정보 내부 관리 계획 포함 항목:

1. 개인정보 보호책임자(CPO) 지정 및 역할
2. 개인정보 처리 현황 (수집 항목·목적·보관 기간)
3. 개인정보 접근 권한 부여 기준 및 절차
4. 개인정보 안전성 확보 조치 현황
5. 개인정보 처리 위탁 현황
6. 개인정보 파기 절차
7. 개인정보 보호 교육 계획
8. 침해 사고 대응 절차

보관:
✅ 최신 현황 반영하여 유지
✅ 연 1회 이상 검토·업데이트

7. 직원 교육

인적 요인이 가장 큰 보안 위협

개인정보 보호 교육 의무:

교육 대상: 개인정보를 처리하는 모든 직원
교육 주기: 연 1회 이상 (권고: 반기 1회)

교육 내용:
✅ 개인정보 처리 원칙 (수집 최소화, 목적 한정)
✅ 개인정보 유출 사례와 예방법
✅ 비밀번호 관리 수칙
✅ 피싱·사회공학 공격 대응
✅ 유출 사고 발생 시 신고 절차

교육 기록:
✅ 교육 일시, 내용, 참석자 서명 보관
✅ 온라인 교육 시 수료 이력 저장

8. 물리적 보안

종이 문서와 저장 매체 관리

물리적 보안 조치:

문서 보안:
✅ 개인정보 포함 문서: 잠금 캐비닛 보관
✅ 사무실 이탈 시 문서 책상 위 방치 금지
✅ 불필요 문서: 분쇄기(크로스컷) 파기

저장 매체 관리:
✅ USB 등 이동식 저장 매체 사용 대장 관리
✅ 분실 시 즉시 보고 절차 수립
✅ 폐기 저장 매체: 복구 불가 수준 파기

전산실·서버실:
✅ 출입 통제 (카드키 또는 잠금장치)
✅ 출입 기록 보관
✅ 불필요 인원 출입 통제

9. 재택·원격 근무 보안

코로나 이후 새로운 보안 과제

재택 근무 시 보안 지침:

재택·원격 근무 시 추가 조치:

✅ VPN 사용 (개인정보 처리 시스템 접근 시)
✅ 업무용 기기와 개인용 기기 분리
✅ 화상 회의 시 화면에 개인정보 노출 주의
✅ 공용 Wi-Fi에서 개인정보 처리 금지
✅ 가족이 볼 수 있는 환경에서 개인정보 처리 주의

❌ 개인 클라우드(개인 구글드라이브 등)에 업무 데이터 저장 금지
❌ 개인 이메일로 업무 자료 전송 금지

10. PipaGuard로 안전 조치 현황 관리

PipaGuard 지원 기능:

안전성 확보 조치 자가 점검 체크리스트
내부 관리 계획 템플릿 자동 생성
접근 권한 관리 가이드
암호화 대상 항목 진단
직원 교육 이력 관리

무료로 시작하기: pipaguard.vercel.app

안전성 확보 조치 전체 체크리스트

기술적 조치:

[ ] 개인정보 처리 시스템 계정별 비밀번호 설정
[ ] 역할별 접근 권한 분리 설정
[ ] 주민등록번호·카드번호 등 필수 암호화 항목 암호화 확인
[ ] 비밀번호 일방향 암호화(해시) 저장
[ ] 웹 서비스 HTTPS 적용 확인
[ ] 접속 기록 6개월 이상 보관 설정
[ ] 백신·방화벽 설치 및 최신 업데이트 유지
[ ] 운영체제 보안 패치 정기 적용

관리적 조치:

[ ] 개인정보 보호책임자(CPO) 지정 및 문서화
[ ] 내부 관리 계획 수립 (최신 현황 반영)
[ ] 직원 개인정보 보호 교육 연 1회 이상 실시
[ ] 퇴직 직원 접근 권한 당일 말소 절차 수립
[ ] 개인정보 파기 절차 및 기록 보관

물리적 조치:

[ ] 개인정보 포함 문서 잠금 보관
[ ] 불필요 문서 분쇄기 파기
[ ] 서버실·전산실 출입 통제
[ ] USB 등 이동식 매체 사용 관리

자주 묻는 질문

Q. 직원이 10명 미만인 소기업도 내부 관리 계획을 만들어야 하나요?

Q. 고객 정보를 엑셀로 관리하는데 암호화를 어떻게 해야 하나요?

Q. 보안 사고가 발생하지 않으면 안전 조치 미비를 모르는 거 아닌가요?

개인정보 안전성 확보 조치 가이드: 중소기업 필수 보안 체크리스트

개인정보 안전성 확보 조치 가이드

1. 안전성 확보 조치 체계

세 가지 영역의 조치

2. 접근 권한 관리

가장 기본적인 보안 조치

3. 암호화 의무 대상

반드시 암호화해야 하는 정보

4. 접속 기록 보관

6개월 이상 보관 의무

5. 악성 프로그램 방지

보안 소프트웨어 설치·운영

6. 내부 관리 계획 수립

문서화된 계획이 있어야 한다

7. 직원 교육

인적 요인이 가장 큰 보안 위협

8. 물리적 보안

종이 문서와 저장 매체 관리

9. 재택·원격 근무 보안

코로나 이후 새로운 보안 과제

10. PipaGuard로 안전 조치 현황 관리

안전성 확보 조치 전체 체크리스트

자주 묻는 질문

지금 바로 PIPA 컴플라이언스 점검하기

관련 글

개인정보 안전성 확보 조치 가이드: 중소기업 필수 보안 체크리스트

개인정보 안전성 확보 조치 가이드

1. 안전성 확보 조치 체계

세 가지 영역의 조치

2. 접근 권한 관리

가장 기본적인 보안 조치

3. 암호화 의무 대상

반드시 암호화해야 하는 정보

4. 접속 기록 보관

6개월 이상 보관 의무

5. 악성 프로그램 방지

보안 소프트웨어 설치·운영

6. 내부 관리 계획 수립

문서화된 계획이 있어야 한다

7. 직원 교육

인적 요인이 가장 큰 보안 위협

8. 물리적 보안

종이 문서와 저장 매체 관리

9. 재택·원격 근무 보안

코로나 이후 새로운 보안 과제

10. PipaGuard로 안전 조치 현황 관리

안전성 확보 조치 전체 체크리스트

자주 묻는 질문

지금 바로 PIPA 컴플라이언스 점검하기

관련 글