스타트업 서비스 출시 전 PIPA 컴플라이언스 체크리스트 — 런치 전 30분 점검

MVP를 만들고 첫 이용자를 받기 직전입니다. 이 순간 개인정보보호법 준수 여부를 한 번도 확인하지 않았다면 — 이 글을 먼저 읽으세요. 런치 이후에 고치는 것이 런치 전에 고치는 것보다 10배는 어렵습니다.

런치 전 PIPA 점검이 중요한 이유

개인정보보호법 위반은 첫 이용자가 생기는 순간부터 적용됩니다. "아직 베타니까", "이용자가 몇 명 안 되니까"는 면책 사유가 아닙니다.

실제로 신고가 들어오는 경로:

불만족 이용자가 개인정보보호위원회에 직접 신고
경쟁사가 민원 제기
보안 연구자가 취약점 발견 후 공개
언론 보도

체크리스트 1: 수집·동의

□ 회원가입 화면에서 개인정보 수집 항목을 구체적으로 고지하는가?
  (예: "이름, 이메일, 생년월일"을 명시 — "필요한 정보" 같은 표현 금지)

□ 필수 동의와 선택 동의가 분리되어 있는가?

□ 마케팅 수신 동의는 기본값이 미체크(unchecked)인가?

□ 개인정보 수집·이용 동의서에 보유 기간이 명시되어 있는가?

□ "계속 이용 시 동의로 간주" 같은 묵시적 동의 조항은 없는가?

□ 만 14세 미만 가입이 가능한 서비스라면 법정대리인 동의 절차가 있는가?

체크리스트 2: 개인정보처리방침

□ 개인정보처리방침이 존재하는가? (없으면 과태료 대상)

□ 처리방침이 웹사이트 첫 화면 또는 서비스 초기 화면에서 접근 가능한가?

□ 처리방침에 아래 항목이 모두 포함되어 있는가?
  □ 수집 항목 (구체적으로)
  □ 수집 목적
  □ 보유 기간
  □ 제3자 제공 현황 (없으면 "없음" 명시)
  □ 처리 위탁 현황 (AWS, Mailchimp 등)
  □ 개인정보 보호책임자(CPO) 성명 + 연락처
  □ 정보주체 권리 행사 방법
  □ 해외 이전 현황 (해외 서버 사용 시)

□ 처리방침 내용이 실제 운영과 일치하는가?

체크리스트 3: 기술적 보안

□ 비밀번호가 bcrypt, argon2 등으로 해시 저장되는가?
  (MD5, SHA-1은 법적 기준 미달)

□ 모든 페이지에 HTTPS가 적용되어 있는가?

□ HTTP → HTTPS 강제 리다이렉트가 설정되어 있는가?

□ 주민등록번호, 계좌번호 등 민감 데이터는 암호화 저장되는가?

□ 개발 환경(스테이징 DB)에 실제 이용자 개인정보가 없는가?

□ 개인정보 접근 로그를 기록하는가?

체크리스트 4: 개인정보 보호책임자(CPO)

□ CPO가 지정되어 있는가?
  (대표자 본인도 가능)

□ CPO 성명과 연락처가 처리방침에 공개되어 있는가?

□ CPO 연락처로 문의가 오면 응답할 수 있는가?

체크리스트 5: 이용자 권리 보장

□ 이용자가 자신의 데이터를 열람·삭제·정정 요청할 수 있는 채널이 있는가?
  (이메일 주소라도 있으면 OK)

□ 탈퇴 기능이 있는가?

□ 탈퇴 시 개인정보 파기 프로세스가 작동하는가?
  (30일 내 파기 또는 즉시 파기)

체크리스트 6: 제3자·위탁

□ 사용 중인 외부 서비스(AWS, 이메일 발송, CRM 등)를 파악하고 있는가?

□ 주요 외부 서비스와 DPA(데이터 처리 계약)를 체결했는가?
  (AWS: Customer Agreement + DPA, SendGrid: DPA 등)

□ 외부 서비스 목록이 처리방침에 기재되어 있는가?

□ 서울 리전 외 해외 서버를 사용한다면 해외 이전 동의 또는 SCC가 있는가?

체크리스트 7: 쿠키·트래킹

□ Google Analytics, 메타 픽셀 등 트래킹 스크립트가 있다면:

□ 사이트 진입 시 쿠키 동의 배너가 먼저 표시되는가?

□ 트래킹 스크립트가 동의 전에 로드되지 않는가?
  (네트워크 탭에서 직접 확인 필수)

□ 쿠키 동의 거부 옵션이 수락과 동등하게 제공되는가?

런치 직전 10분 빠른 셀프 점검

# 1. 처리방침 접근성 확인
# 개인정보처리방침 링크가 푸터에 있는지 확인

# 2. 쿠키 동의 전 GA 로드 여부 확인
# 시크릿 창에서 사이트 진입 → 개발자 도구 → Network 탭
# "analytics" 또는 "gtag" 검색 → 동의 전 요청이 있으면 위반

# 3. 비밀번호 해시 방식 확인
grep -r "md5\|sha1\|sha256" --include="*.py" --include="*.js" .
# 비밀번호 관련 코드에서 이 패턴이 나오면 점검 필요

# 4. HTTPS 강제 여부 확인
curl -I http://yoursite.com
# 301 redirect to https:// 확인

런치 후 30일 이내 완료 권장

런치 전에 모두 완벽하게 갖추기 어렵다면, 아래는 30일 이내에 완료하세요:

Priority 1 (런치 전 필수)
- 처리방침 게시
- CPO 지정 + 연락처 공개
- 탈퇴 기능 + 파기 프로세스

Priority 2 (30일 이내)
- DPA 체결 (주요 수탁사)
- 쿠키 동의 배너
- 접근 로그 설정

Priority 3 (분기 내)
- 내부 관리계획 수립
- 임직원 교육
- 정기 점검 일정 수립

pipaguard로 지금 바로 점검

URL 하나만 입력하면 처리방침 필수 항목과 쿠키 동의 현황을 자동으로 진단해드립니다.

무료 PIPA 진단 →

스타트업 서비스 출시 전 PIPA 컴플라이언스 체크리스트 — 런치 전 30분 점검

런치 전 PIPA 점검이 중요한 이유

개인정보보호법 위반은 첫 이용자가 생기는 순간부터 적용됩니다. "아직 베타니까", "이용자가 몇 명 안 되니까"는 면책 사유가 아닙니다.

실제로 신고가 들어오는 경로:

불만족 이용자가 개인정보보호위원회에 직접 신고
경쟁사가 민원 제기
보안 연구자가 취약점 발견 후 공개
언론 보도

체크리스트 1: 수집·동의

□ 회원가입 화면에서 개인정보 수집 항목을 구체적으로 고지하는가?
  (예: "이름, 이메일, 생년월일"을 명시 — "필요한 정보" 같은 표현 금지)

□ 필수 동의와 선택 동의가 분리되어 있는가?

□ 마케팅 수신 동의는 기본값이 미체크(unchecked)인가?

□ 개인정보 수집·이용 동의서에 보유 기간이 명시되어 있는가?

□ "계속 이용 시 동의로 간주" 같은 묵시적 동의 조항은 없는가?

□ 만 14세 미만 가입이 가능한 서비스라면 법정대리인 동의 절차가 있는가?

체크리스트 2: 개인정보처리방침

□ 개인정보처리방침이 존재하는가? (없으면 과태료 대상)

□ 처리방침이 웹사이트 첫 화면 또는 서비스 초기 화면에서 접근 가능한가?

□ 처리방침에 아래 항목이 모두 포함되어 있는가?
  □ 수집 항목 (구체적으로)
  □ 수집 목적
  □ 보유 기간
  □ 제3자 제공 현황 (없으면 "없음" 명시)
  □ 처리 위탁 현황 (AWS, Mailchimp 등)
  □ 개인정보 보호책임자(CPO) 성명 + 연락처
  □ 정보주체 권리 행사 방법
  □ 해외 이전 현황 (해외 서버 사용 시)

□ 처리방침 내용이 실제 운영과 일치하는가?

체크리스트 3: 기술적 보안

□ 비밀번호가 bcrypt, argon2 등으로 해시 저장되는가?
  (MD5, SHA-1은 법적 기준 미달)

□ 모든 페이지에 HTTPS가 적용되어 있는가?

□ HTTP → HTTPS 강제 리다이렉트가 설정되어 있는가?

□ 주민등록번호, 계좌번호 등 민감 데이터는 암호화 저장되는가?

□ 개발 환경(스테이징 DB)에 실제 이용자 개인정보가 없는가?

□ 개인정보 접근 로그를 기록하는가?

체크리스트 4: 개인정보 보호책임자(CPO)

□ CPO가 지정되어 있는가?
  (대표자 본인도 가능)

□ CPO 성명과 연락처가 처리방침에 공개되어 있는가?

□ CPO 연락처로 문의가 오면 응답할 수 있는가?

체크리스트 5: 이용자 권리 보장

□ 이용자가 자신의 데이터를 열람·삭제·정정 요청할 수 있는 채널이 있는가?
  (이메일 주소라도 있으면 OK)

□ 탈퇴 기능이 있는가?

□ 탈퇴 시 개인정보 파기 프로세스가 작동하는가?
  (30일 내 파기 또는 즉시 파기)

체크리스트 6: 제3자·위탁

□ 사용 중인 외부 서비스(AWS, 이메일 발송, CRM 등)를 파악하고 있는가?

□ 주요 외부 서비스와 DPA(데이터 처리 계약)를 체결했는가?
  (AWS: Customer Agreement + DPA, SendGrid: DPA 등)

□ 외부 서비스 목록이 처리방침에 기재되어 있는가?

□ 서울 리전 외 해외 서버를 사용한다면 해외 이전 동의 또는 SCC가 있는가?

체크리스트 7: 쿠키·트래킹

□ Google Analytics, 메타 픽셀 등 트래킹 스크립트가 있다면:

□ 사이트 진입 시 쿠키 동의 배너가 먼저 표시되는가?

□ 트래킹 스크립트가 동의 전에 로드되지 않는가?
  (네트워크 탭에서 직접 확인 필수)

□ 쿠키 동의 거부 옵션이 수락과 동등하게 제공되는가?

런치 직전 10분 빠른 셀프 점검

# 1. 처리방침 접근성 확인
# 개인정보처리방침 링크가 푸터에 있는지 확인

# 2. 쿠키 동의 전 GA 로드 여부 확인
# 시크릿 창에서 사이트 진입 → 개발자 도구 → Network 탭
# "analytics" 또는 "gtag" 검색 → 동의 전 요청이 있으면 위반

# 3. 비밀번호 해시 방식 확인
grep -r "md5\|sha1\|sha256" --include="*.py" --include="*.js" .
# 비밀번호 관련 코드에서 이 패턴이 나오면 점검 필요

# 4. HTTPS 강제 여부 확인
curl -I http://yoursite.com
# 301 redirect to https:// 확인

런치 후 30일 이내 완료 권장

런치 전에 모두 완벽하게 갖추기 어렵다면, 아래는 30일 이내에 완료하세요:

Priority 1 (런치 전 필수)
- 처리방침 게시
- CPO 지정 + 연락처 공개
- 탈퇴 기능 + 파기 프로세스

Priority 2 (30일 이내)
- DPA 체결 (주요 수탁사)
- 쿠키 동의 배너
- 접근 로그 설정

Priority 3 (분기 내)
- 내부 관리계획 수립
- 임직원 교육
- 정기 점검 일정 수립

pipaguard로 지금 바로 점검

URL 하나만 입력하면 처리방침 필수 항목과 쿠키 동의 현황을 자동으로 진단해드립니다.

무료 PIPA 진단 →

스타트업 서비스 출시 전 PIPA 컴플라이언스 체크리스트 — 런치 전 30분 점검

스타트업 서비스 출시 전 PIPA 컴플라이언스 체크리스트 — 런치 전 30분 점검

런치 전 PIPA 점검이 중요한 이유

체크리스트 1: 수집·동의

체크리스트 2: 개인정보처리방침

체크리스트 3: 기술적 보안

체크리스트 4: 개인정보 보호책임자(CPO)

체크리스트 5: 이용자 권리 보장

체크리스트 6: 제3자·위탁

체크리스트 7: 쿠키·트래킹

런치 직전 10분 빠른 셀프 점검

런치 후 30일 이내 완료 권장

pipaguard로 지금 바로 점검

지금 바로 PIPA 컴플라이언스 점검하기

관련 글

스타트업 서비스 출시 전 PIPA 컴플라이언스 체크리스트 — 런치 전 30분 점검

스타트업 서비스 출시 전 PIPA 컴플라이언스 체크리스트 — 런치 전 30분 점검

런치 전 PIPA 점검이 중요한 이유

체크리스트 1: 수집·동의

체크리스트 2: 개인정보처리방침

체크리스트 3: 기술적 보안

체크리스트 4: 개인정보 보호책임자(CPO)

체크리스트 5: 이용자 권리 보장

체크리스트 6: 제3자·위탁

체크리스트 7: 쿠키·트래킹

런치 직전 10분 빠른 셀프 점검

런치 후 30일 이내 완료 권장

pipaguard로 지금 바로 점검

지금 바로 PIPA 컴플라이언스 점검하기

관련 글