주요 법규와 컴플라이언스
이번 절은 정보보안관리 및 법규 파트의 마무리입니다.
이번 절은 정보보안관리 및 법규 파트의 마무리입니다.
지금까지 관리·법규 파트에서 배운 흐름은 다음과 같습니다.
6장 1절: 정보보호 관리체계
6장 2절: 위험관리와 침해사고 대응
6장 3절: BCP/DRP와 보안 운영
6장 4절: 개인정보보호
6장 5절: 주요 법규와 컴플라이언스각 법을 조문별로 깊게 외우기보다, 정보보안기사 시험에서 필요한 수준으로 어떤 법이 무엇을 보호하고, 어떤 보안관리 의무로 연결되는지 정리합니다.
학습 목표
이번 절가 끝나면 다음 질문에 답할 수 있어야 합니다.
| 질문 | 목표 |
|---|---|
| 컴플라이언스란 무엇인가? | 법규, 규정, 계약, 내부정책을 준수하는 활동이라고 설명 |
| 개인정보 보호법의 핵심은? | 개인정보 생명주기와 정보주체 권리 보호라고 설명 |
| 정보통신망 관련 법규의 핵심은? | 정보통신서비스와 침해사고 대응, 정보보호 조치라고 설명 |
| 전자서명법의 핵심은? | 전자서명과 인증서, 전자서명인증서비스의 신뢰성이라고 설명 |
| 신용정보보호의 핵심은? | 개인신용정보의 오남용 방지와 신용정보주체 보호라고 설명 |
| 위치정보보호의 핵심은? | 위치정보 유출·오용·남용 방지와 개인위치정보 보호라고 설명 |
| 정보보호 공시란? | 기업의 정보보호 투자·인력·인증·활동 현황 공개라고 설명 |
| ISMS-P란? | 정보보호와 개인정보보호 관리체계 인증이라고 설명 |
| 법규 위반 시 위험은? | 과태료, 과징금, 손해배상, 형사처벌, 평판 손상 등을 설명 |
| 컴플라이언스 관리 방법은? | 법규 식별, 요구사항 분석, 정책 반영, 이행 점검, 증적 관리로 설명 |
| 계약 보안조항은 왜 필요한가? | 외주·위탁·클라우드 등 제3자 위험을 통제하기 위해 필요하다고 설명 |
내용의 큰 그림
정보보안 법규를 공부할 때는 법 이름만 외우면 어렵습니다.
다음 5가지를 기준으로 보면 쉽습니다.
1. 보호 대상은 무엇인가?
2. 누가 의무를 지는가?
3. 어떤 행위를 해야 하는가?
4. 사고가 발생하면 어떻게 대응해야 하는가?
5. 위반하면 어떤 책임이 생기는가?예를 들어 개인정보 보호법을 이 기준으로 보면 다음과 같습니다.
| 기준 | 개인정보 보호법 예시 |
|---|---|
| 보호 대상 | 개인정보 |
| 의무 주체 | 개인정보처리자 |
| 주요 의무 | 수집·이용·제공·보관·파기, 안전성 확보 |
| 사고 대응 | 유출 통지·신고, 피해 최소화 |
| 위반 위험 | 과징금, 과태료, 손해배상, 형사처벌 등 |
이번 절에서는 이 방식으로 주요 법규를 정리합니다.
컴플라이언스란?
컴플라이언스는 조직이 법령, 규정, 계약, 내부 정책, 산업 표준을 준수하도록 관리하는 활동입니다.
시험식 정의는 다음입니다.
컴플라이언스는 조직이 관련 법령, 규제, 계약상 의무, 내부 정책과 절차를 준수하도록 요구사항을 식별하고 이행 여부를 점검·관리하는 활동이다.핵심 정리는 다음과 같다.
컴플라이언스 = 지켜야 할 규칙을 알고, 실제로 지키고, 증거를 남기는 것정보보안 컴플라이언스에는 다음이 포함됩니다.
개인정보 보호법 준수
정보통신망 관련 의무 준수
전자서명 관련 신뢰성 준수
신용정보 보호
위치정보 보호
ISMS-P 인증
정보보호 공시
위탁·외주 계약 보안
내부 정보보호 정책 준수
감사와 증적 관리컴플라이언스 관리 절차
컴플라이언스 관리는 다음 순서로 이해하면 됩니다.
법규·규제 식별
→ 적용 대상 여부 판단
→ 요구사항 분석
→ 내부 정책·절차 반영
→ 보호대책 적용
→ 이행 여부 점검
→ 증적 관리
→ 미흡사항 개선
→ 정기 재검토각 단계의 의미는 다음입니다.
| 단계 | 설명 |
|---|---|
| 법규 식별 | 우리 조직에 적용되는 법률·고시·계약 파악 |
| 적용 대상 판단 | 의무 대상인지, 예외인지 확인 |
| 요구사항 분석 | 수집, 보관, 신고, 인증 등 의무 정리 |
| 정책 반영 | 내부 규정, 지침, 절차에 반영 |
| 보호대책 적용 | 암호화, 접근통제, 로그, 교육 등 |
| 점검 | 실제 준수 여부 확인 |
| 증적 관리 | 교육 이수, 권한 점검, 로그, 계약서 보관 |
| 개선 | 미흡사항 조치 |
| 재검토 | 법 개정, 사업 변경 시 갱신 |
컴플라이언스 관리는 조직에 적용되는 법령과 계약상 요구사항을 식별하고, 이를 내부 정책과 절차에 반영한 뒤 실제 이행 여부를 점검하는 활동이다. 이행 결과는 교육 기록, 권한 점검표, 계약서, 로그, 감사 결과 등 증적으로 관리하고, 법령 변경이나 사업 변화가 있을 때 정기적으로 재검토해야 한다.개인정보 보호법 복습
개인정보 보호법은 개인정보보호 법규의 중심입니다.
핵심은 다음입니다.
개인정보를 적법하게 수집하고,
목적 범위 안에서 이용하며,
안전하게 보관하고,
필요 없으면 파기하고,
정보주체의 권리를 보장하고,
유출 시 신속하게 대응한다.개인정보 보호법은 개인정보를 살아 있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보, 다른 정보와 쉽게 결합해 개인을 알아볼 수 있는 정보, 가명정보까지 포함하는 구조로 정의합니다.
개인정보 보호법의 핵심 의무
개인정보보호에서 시험에 중요한 의무는 다음입니다.
| 영역 | 핵심 의무 |
|---|---|
| 수집 | 목적 명확화, 최소 수집, 고지와 동의 |
| 이용 | 수집 목적 범위 내 이용 |
| 제공 | 제3자 제공 시 적법한 근거와 고지 |
| 위탁 | 위탁계약, 수탁자 공개, 수탁자 감독 |
| 보관 | 접근통제, 암호화, 접속기록 |
| 파기 | 목적 달성 또는 기간 경과 시 안전 파기 |
| 권리 보장 | 열람, 정정·삭제, 처리정지 등 대응 |
| 유출 대응 | 통지, 신고, 피해 최소화, 재발 방지 |
개인정보 유출과 관련해서는 개인정보처리자가 유출 등을 알게 되었을 때 정보주체에게 알려야 하는 사항과 신고 의무가 법령에 규정되어 있고, 개인정보 보호법은 위반행위로 손해를 입은 정보주체가 손해배상을 청구할 수 있는 구조도 둡니다.
2026-05-06 기준으로 개인정보 유출 통지·신고는 72시간 이내 구조로 정리합니다. 1천 명 이상, 민감정보 또는 고유식별정보, 외부 불법 접근에 의한 유출 등은 개인정보보호위원회 또는 한국인터넷진흥원 신고 대상입니다. 2026-09-11 시행 예정 개인정보 보호법 개정에는 유출 가능성 통지제와 개인정보 보호 인증 의무화 등이 포함되므로, 시험일이 그 이후라면 최신 조문을 다시 확인해야 합니다.
개인정보 보호법의 핵심은 개인정보 생명주기 전반을 적법하고 안전하게 관리하는 것이다. 개인정보처리자는 목적을 명확히 하고 최소한의 개인정보만 수집해야 하며, 목적 범위 내 이용, 제3자 제공·위탁 관리, 안전성 확보조치, 보유기간 경과 시 파기, 정보주체 권리 보장, 유출 사고 통지·신고와 재발 방지를 수행해야 한다.개인정보 안전성 확보조치
개인정보보호 실기 답안에서 가장 자주 활용되는 부분입니다.
안전성 확보조치의 대표 항목은 다음입니다.
내부관리계획 수립
접근권한 관리
접근통제
암호화
접속기록 보관과 점검
악성프로그램 방지
물리적 안전조치개인정보 보호법 시행령은 안전성 확보조치로 내부관리계획 수립·시행·점검, 접근권한 제한, 접근통제, 암호화 또는 이에 상응하는 조치, 접속기록 저장·점검과 안전한 보관, 악성프로그램 방지, 물리적 조치 등을 규정합니다.
개인정보 안전성 확보조치는 개인정보의 분실, 도난, 유출, 위조, 변조, 훼손을 방지하기 위한 관리적·기술적·물리적 보호조치이다. 주요 대책으로 내부관리계획, 접근권한 관리, 접근통제, 암호화, 접속기록 보관·점검, 악성프로그램 방지, 물리적 안전조치가 있다.정보통신망 관련 법규
정보통신망 관련 법규는 정보통신서비스, 정보통신망의 안전성, 침해사고 대응과 연결됩니다.
시험에서 깊은 조문보다 중요한 흐름은 다음입니다.
정보통신서비스 제공자
정보통신망 안정성
침해사고 예방과 대응
침해사고 신고
이용자 보호
정보보호 조치정보통신망법 시행령 제58조의2는 정보통신서비스 제공자가 침해사고를 신고하려는 경우 침해사고 발생을 알게 된 때부터 24시간 이내에 발생 일시, 원인과 피해내용, 조치사항 등 대응 현황, 담당 부서와 연락처 등을 과학기술정보통신부장관 또는 한국인터넷진흥원에 신고하도록 규정합니다.
정보통신망 관련 법규는 정보통신서비스 제공자의 정보보호 조치와 침해사고 대응을 다루며, 침해사고 발생 시 사고 내용과 대응 현황을 관계기관에 신고하고 피해 확산 방지와 복구 조치를 수행해야 한다.개인정보 유출과 침해사고 신고 구분
시험에서 헷갈릴 수 있는 부분입니다.
개인정보 유출 사고
침해사고둘은 겹칠 수 있지만 완전히 같은 개념은 아닙니다.
| 구분 | 개인정보 유출 | 침해사고 |
|---|---|---|
| 중심 대상 | 개인정보 | 정보시스템·정보통신망 |
| 대표 상황 | 고객 DB 유출, 오발송, 분실 | 해킹, 악성코드, DDoS, 시스템 침해 |
| 주요 법규 | 개인정보 보호법 | 정보통신망 관련 규정 등 |
| 핵심 대응 | 정보주체 통지, 관계기관 신고, 피해 최소화 | 사고 신고, 차단, 분석, 복구 |
| 겹치는 경우 | 해킹으로 개인정보 DB 유출 | 해킹 사고이면서 개인정보 유출 |
웹 서버 해킹으로 고객 DB가 유출됨
→ 침해사고이면서 개인정보 유출 사고침해사고는 해킹, 악성코드, DDoS 등으로 정보시스템의 기밀성·무결성·가용성이 침해된 사고이고, 개인정보 유출 사고는 개인정보가 관리·통제 범위를 벗어나 제3자가 알 수 있는 상태가 된 사고이다. 해킹으로 고객 DB가 유출된 경우처럼 두 사고가 동시에 발생할 수 있으므로 침해사고 대응과 개인정보 유출 통지·신고를 함께 검토해야 한다.전자서명법
전자서명법은 전자문서와 전자서명의 신뢰성을 다룹니다.
전자서명법 제2조는 전자서명을 서명자의 신원과 해당 전자문서에 서명했다는 사실을 나타내기 위해 전자문서에 첨부되거나 논리적으로 결합된 전자적 형태의 정보로 정의하고, 전자서명생성정보·전자서명수단·전자서명인증·인증서 등의 용어를 정의합니다.
핵심 정리는 다음과 같다.
전자서명 = 전자문서에 대해 누가 서명했는지와 서명 사실을 확인하기 위한 전자적 정보전자서명법에서 시험에 중요한 개념은 다음입니다.
| 개념 | 설명 |
|---|---|
| 전자문서 | 전자적 형태로 작성·송수신·저장된 정보 |
| 전자서명 | 서명자 신원과 서명 사실을 나타내는 전자적 정보 |
| 전자서명생성정보 | 전자서명을 생성하기 위한 정보 |
| 전자서명인증 | 전자서명생성정보가 가입자에게 유일하게 속한다는 사실을 확인·증명 |
| 인증서 | 전자서명생성정보와 가입자 관련 사실을 증명하는 전자적 정보 |
| 전자서명인증사업자 | 전자서명인증서비스 제공 사업자 |
전자서명법은 전자서명인증업무 운영기준에 전자서명·전자문서 위조·변조 방지대책, 가입자 확인방법, 인증업무 휴지·폐지 절차, 시설기준과 자료 보호방법 등을 포함하도록 규정합니다.
전자서명법과 정보보안기사 포인트
전자서명법은 암호학에서 배운 전자서명과 연결됩니다.
| 시험 개념 | 법규 연결 |
|---|---|
| 전자서명 | 전자문서에 대한 서명자 확인과 서명 사실 증명 |
| 인증서 | 공개키 또는 전자서명생성정보 관련 사실 증명 |
| 전자서명인증 | 전자서명생성정보가 가입자에게 속함을 확인 |
| 부인방지 | 서명자가 서명 사실을 부인하기 어렵게 함 |
| 무결성 | 전자문서 변경 여부 확인 가능 |
| 인증 | 서명자의 신원 확인 |
전자서명법은 전자문서와 전자서명의 신뢰성을 확보하기 위한 법이다. 전자서명은 서명자의 신원과 전자문서에 서명했다는 사실을 나타내는 전자적 정보이며, 전자서명인증과 인증서는 전자서명생성정보와 가입자의 관계를 증명하여 전자거래의 신뢰성을 높이는 역할을 한다.신용정보보호 기초
신용정보보호는 금융과 상거래에서 중요합니다.
신용정보의 이용 및 보호에 관한 법률은 신용정보 관련 산업의 육성, 신용정보의 효율적 이용과 체계적 관리, 신용정보 오용·남용으로부터 사생활의 비밀 보호와 신용정보주체 권익 보호 등을 목적으로 합니다.
시험에서 깊은 금융 규제를 모두 외울 필요는 없지만, 다음 구조는 알아야 합니다.
신용정보
개인신용정보
신용정보주체
신용정보회사
신용정보제공·이용자
신용정보 오남용 방지
개인신용정보 보호신용정보보호의 핵심
| 항목 | 설명 |
|---|---|
| 보호 대상 | 신용정보, 개인신용정보 |
| 주요 위험 | 금융사기, 신용평가 오남용, 과도한 정보 활용 |
| 의무 | 적법한 수집·이용·제공, 보안조치, 보유기간 관리 |
| 정보주체 권리 | 조회, 정정, 삭제, 전송 요구 등 |
| 관련 산업 | 금융회사, 카드사, 신용평가, 마이데이터 등 |
신용정보법 시행령에는 개인신용정보의 활용기간·보존기간, 개인신용정보 삭제·전송 요구 등 개인신용정보 처리와 정보주체 권리에 관한 세부 규정이 있습니다.
개인신용정보 유출 신고는 일반 개인정보 유출 신고와 기준이 다를 수 있습니다. 개인정보보호위원회 유출신고제도 기준으로 1만 명 이상 개인신용정보 누설은 72시간 이내 신고 구조로 정리합니다. 금융기관은 금융위원회 또는 금융감독원 신고 구조를 확인하고, 상거래 기업·법인의 1만 명 이상 개인신용정보 누설은 개인정보보호위원회 또는 KISA 신고 구조를 확인합니다.
신용정보보호는 금융거래와 상거래에서 생성되는 신용정보와 개인신용정보의 오용·남용을 방지하고 신용정보주체의 권익을 보호하는 것을 목적으로 한다. 금융·신용정보 관련 기관은 개인신용정보를 적법하게 수집·이용·제공하고, 보안조치와 보유기간 관리, 정보주체 권리 대응을 수행해야 한다.위치정보보호 기초
위치정보보호는 개인의 위치와 이동경로가 사생활 침해로 이어질 수 있기 때문에 중요합니다.
위치정보법은 위치정보의 유출·오용·남용으로부터 사생활의 비밀 등을 보호하고, 위치정보의 안전한 이용환경을 조성하는 것을 목적으로 합니다.
위치정보는 다음과 같은 정보와 연결됩니다.
GPS 위치
기지국 위치
Wi-Fi 위치
이동경로
배달·택시 위치정보
웨어러블 위치정보
위치 기반 광고위치정보보호의 핵심 보안조치
위치정보법 시행령은 위치정보 보호를 위한 기술적 조치로 식별·인증, 방화벽 등 접근 차단, 접근사실의 전자적 기록·보존, 보안프로그램 설치·운영, 위치정보 저장·전송 암호화 또는 이에 상응하는 조치 등을 규정합니다.
시험식으로 정리하면 다음입니다.
위치정보 보호를 위해 접근권한 확인, 접근통제, 접속기록 보관, 보안프로그램 운영, 위치정보 저장·전송 암호화, 물리적 보호조치를 적용해야 한다.위치정보보호는 개인정보보호와 매우 비슷한 구조를 갖지만, 위치정보의 특성상 이동경로와 실시간 위치가 사생활 침해로 이어질 수 있다는 점이 중요합니다.
정보보호 공시
정보보호 공시는 기업의 정보보호 현황을 외부에 공개하여 이용자의 안전한 인터넷 이용과 기업의 정보보호 투자 활성화를 유도하는 제도입니다.
정보보호산업법 제13조는 정보통신망을 통해 정보를 제공하거나 매개하는 자가 이용자의 안전한 인터넷 이용을 위해 정보보호 투자·인력 현황, 정보보호 관련 인증 등 정보보호 현황을 공개할 수 있도록 규정합니다.
KISA 정보보호 공시 종합 포털도 정보보호 공시를 이용자의 안전한 인터넷 이용과 기업의 정보보호 투자 활성화를 위해 정보보호 투자·인력·인증·활동 등 현황을 공개하는 제도로 설명합니다.
정보보호 공시의 주요 내용
정보보호 공시에서 중요한 항목은 다음입니다.
| 항목 | 설명 |
|---|---|
| 정보보호 투자 | 정보보호 예산, 투자 규모 |
| 정보보호 인력 | 전담인력, 담당 조직 |
| 정보보호 인증 | ISMS, ISMS-P 등 인증 현황 |
| 정보보호 활동 | 교육, 점검, 사고 대응, 취약점 조치 |
| 정보기술 투자 | IT 투자 대비 정보보호 투자 비교 |
| 검증·증적 | 공시자료 산출 근거와 검증 |
KISA 정보보호 공시 가이드라인은 투자·인력 산출 기준과 정보보호 활동 예시 등을 안내하여 기업이 신뢰할 수 있는 공시자료를 작성하도록 돕습니다.
정보보호 공시는 기업의 정보보호 투자, 인력, 인증, 주요 정보보호 활동 등 정보보호 현황을 공개하는 제도이다. 이를 통해 이용자와 이해관계자는 기업의 정보보호 수준을 확인할 수 있고, 기업은 정보보호 투자와 관리활동의 투명성을 높일 수 있다.ISMS-P 인증제도
ISMS-P는 정보보호 및 개인정보보호 관리체계 인증제도입니다.
ISMS-P 공식 누리집은 ISMS-P를 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인증기관이 증명하는 제도로 설명합니다.
KISA의 ISMS-P 인증 안내는 신청, 계약, 심사, 보완조치, 심의·의결, 인증서 발급으로 이어지는 인증심사 절차를 안내합니다.
KISA 인증대상 안내 기준으로 ISMS 의무대상은 ISP, IDC, 전년도 매출액 또는 세입 1,500억 원 이상인 일정 상급종합병원·학교, 정보통신서비스 부문 전년도 매출액 100억 원 이상, 전년도 일일평균 정보통신서비스 이용자 수 100만 명 이상 등으로 정리합니다. 의무대상자는 ISMS 또는 ISMS-P 중 선택 가능하며, 최초 의무대상자가 되면 다음 해 8월 31일까지 인증 취득 기준을 확인합니다.
ISMS와 ISMS-P 비교
| 구분 | ISMS | ISMS-P |
|---|---|---|
| 전체 이름 | 정보보호 관리체계 | 정보보호 및 개인정보보호 관리체계 |
| 중심 | 정보보호 | 정보보호 + 개인정보보호 |
| 주요 대상 | 정보자산, 시스템, 보안통제 | 정보자산 + 개인정보 생명주기 |
| 핵심 영역 | 관리체계 수립·운영, 보호대책 | ISMS 영역 + 개인정보 처리 단계 |
| 시험 포인트 | 정보보호 관리체계 인증 | 개인정보보호까지 포함한 통합 인증 |
공공데이터포털에 공개된 ISMS-P 인증기준 안내 자료는 ISMS가 관리체계 수립 및 운영과 보호대책 요구사항의 2개 영역 80개 기준을 적용받고, ISMS-P가 개인정보 처리 단계별 요구사항을 포함해 3개 영역 101개 기준을 적용받는다고 설명합니다.
ISMS는 조직의 정보보호 관리체계가 적절히 수립·운영되는지 인증하는 제도이고, ISMS-P는 정보보호에 개인정보보호 관리체계를 통합한 인증제도이다. ISMS-P는 개인정보 수집, 이용, 제공, 보관, 파기, 정보주체 권리보장 등 개인정보 처리 단계별 보호조치를 포함한다.법규 위반 시 제재와 위험
법규를 위반하면 단순히 벌금만 문제가 되는 것이 아닙니다.
위험은 여러 형태로 발생합니다.
| 구분 | 내용 |
|---|---|
| 행정 제재 | 시정명령, 과태료, 과징금 |
| 민사 책임 | 손해배상, 집단분쟁 |
| 형사 책임 | 벌칙, 형사처벌 가능성 |
| 인증 영향 | ISMS-P 심사 결함, 인증 취소 위험 |
| 계약 책임 | 위약금, 계약 해지 |
| 평판 손상 | 고객 신뢰 하락, 언론 보도 |
| 영업 영향 | 서비스 중단, 고객 이탈 |
| 내부 책임 | 징계, 인사 조치 |
개인정보 보호법은 정보주체가 법 위반행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있도록 하고, 고의 또는 중대한 과실로 개인정보가 유출·훼손된 경우 손해배상액 산정에 관한 특례도 규정합니다.
법규 위반은 과태료나 과징금뿐 아니라 손해배상, 형사책임, 인증 취소, 계약상 책임, 평판 손상, 고객 신뢰 하락으로 이어질 수 있다. 따라서 조직은 법규 요구사항을 내부 정책과 절차에 반영하고, 이행 증적을 관리해야 한다.컴플라이언스 증적 관리
컴플라이언스에서 중요한 것은 “했다”가 아니라 “했다는 증거가 있다”입니다.
증적 예시는 다음입니다.
| 영역 | 증적 예시 |
|---|---|
| 정책 | 승인된 보안정책, 개정 이력 |
| 교육 | 교육 계획, 이수자 명단, 교육자료 |
| 권한관리 | 권한 신청서, 승인 이력, 점검 결과 |
| 접속기록 | 시스템 접속기록, 점검 결과 |
| 암호화 | 암호화 적용 내역, 키 관리 기록 |
| 위탁관리 | 위탁계약서, 수탁자 점검표 |
| 유출대응 | 사고 보고서, 통지·신고 내역 |
| 취약점 관리 | 진단 결과, 조치 결과, 재점검 내역 |
| 정보보호 공시 | 공시 자료 산출 근거, 검증 자료 |
| ISMS-P | 심사 증적, 보완조치 내역 |
컴플라이언스 증적은 법규와 내부 정책을 실제로 준수했음을 보여주는 자료이다. 교육 이수 기록, 권한 승인 이력, 접속기록 점검 결과, 위탁계약서, 수탁자 점검 기록, 취약점 조치 결과, 사고 보고서, 정보보호 공시 산출 근거 등을 체계적으로 보관해야 한다.계약과 보안조항
외주, 위탁, 클라우드, 유지보수 계약에서는 보안조항이 중요합니다.
계약서에 보안 요구사항이 없으면 사고 발생 시 책임과 조치가 모호해질 수 있습니다.
보안조항에 포함할 내용은 다음입니다.
| 항목 | 설명 |
|---|---|
| 비밀유지 | 업무상 알게 된 정보 외부 유출 금지 |
| 개인정보보호 | 개인정보 처리 기준 준수 |
| 목적 외 이용 금지 | 계약 목적 외 정보 이용 금지 |
| 접근권한 | 최소권한, 계정 관리 |
| 재위탁 제한 | 승인 없는 재위탁 금지 |
| 보안교육 | 투입 인력 교육과 서약 |
| 로그 기록 | 작업 이력, 접속기록 보관 |
| 사고 통보 | 사고 발생 시 즉시 통보 |
| 점검·감사권 | 발주사의 보안점검 권한 |
| 종료 시 반환·파기 | 자료, 계정, 장비 회수 |
| 손해배상 | 보안 위반 시 책임 |
| 침해사고 협조 | 조사와 복구 협조 |
개인정보 처리 업무 위탁의 경우 법령상 문서화, 수탁자 공개, 수탁자 감독, 목적 외 이용 금지, 재위탁 통제 등이 중요합니다.
외주·위탁·클라우드 계약에는 비밀유지, 개인정보보호, 목적 외 이용 금지, 접근권한 제한, 재위탁 통제, 사고 통보, 로그 기록, 보안점검 권한, 계약 종료 시 자료 반환·파기, 손해배상 조항을 포함해야 한다. 이를 통해 제3자 보안 위험과 사고 발생 시 책임 문제를 줄일 수 있다.수탁자 관리
개인정보 처리 업무를 외부에 맡기는 경우 수탁자 관리는 매우 중요합니다.
수탁자 관리 절차는 다음입니다.
수탁자 선정
→ 보안 요구사항 검토
→ 위탁 계약 체결
→ 수탁자 공개
→ 접근권한 부여
→ 교육과 보안서약
→ 처리 현황 점검
→ 사고 대응 협조
→ 계약 종료 시 회수·파기 확인수탁자 점검 항목은 다음입니다.
| 점검 항목 | 설명 |
|---|---|
| 계약서 | 보안조항 포함 여부 |
| 접근권한 | 최소권한 적용 여부 |
| 개인정보 보관 | 암호화, 접근통제 |
| 접속기록 | 접속기록 보관과 점검 |
| 재위탁 | 승인 없는 재위탁 여부 |
| 사고 대응 | 사고 통보 절차 |
| 파기 | 종료 후 개인정보 파기 여부 |
| 교육 | 수탁자 인력 보안교육 |
수탁자 관리는 개인정보 처리 업무를 외부에 맡길 때 수탁자가 개인정보를 안전하게 처리하도록 감독하는 활동이다. 위탁계약에 보안조항을 포함하고, 수탁자 공개, 최소권한, 교육, 접속기록, 목적 외 이용 금지, 재위탁 통제, 계약 종료 시 반환·파기 확인을 수행해야 한다.컴플라이언스 점검 체크리스트
시험 답안과 실무에 활용할 수 있는 체크리스트입니다.
1. 우리 조직에 적용되는 법규와 인증 요구사항을 식별했는가?
2. 개인정보 수집·이용·제공·위탁·파기 절차가 있는가?
3. 정보보호 정책과 개인정보 처리방침이 최신인가?
4. 접근권한은 최소권한과 직무분리에 따라 관리되는가?
5. 접속기록은 보관·점검되고 위변조 방지되는가?
6. 중요정보는 저장·전송 시 암호화되는가?
7. 위탁업체 계약서에 보안조항이 포함되어 있는가?
8. 수탁자 점검과 교육을 수행했는가?
9. 침해사고와 개인정보 유출 대응 절차가 있는가?
10. 관계기관 신고와 정보주체 통지 기준을 알고 있는가?
11. 보안교육과 감사가 정기적으로 수행되는가?
12. ISMS-P 또는 정보보호 공시 의무를 검토했는가?
13. 법규 변경 사항을 정기적으로 반영하는가?
14. 모든 이행 증적을 보관하고 있는가?주요 법규 한 장 정리
| 법·제도 | 보호 대상·목적 | 시험 핵심 |
|---|---|---|
| 개인정보 보호법 | 개인정보와 정보주체 권리 | 수집·이용·제공·파기, 안전성 확보, 유출 대응 |
| 정보통신망 관련 법규 | 정보통신망과 정보통신서비스 안전 | 침해사고 대응, 정보보호 조치 |
| 전자서명법 | 전자서명과 인증서비스 신뢰 | 전자서명, 인증서, 인증사업자 |
| 신용정보법 | 신용정보와 개인신용정보 | 신용정보 오남용 방지, 신용정보주체 보호 |
| 위치정보법 | 위치정보와 개인위치정보 | 위치정보 유출·오남용 방지, 접근통제·암호화 |
| 정보보호 공시 | 기업 정보보호 현황 | 투자, 인력, 인증, 활동 공개 |
| ISMS | 정보보호 관리체계 | 정책, 위험관리, 보호대책, 점검 |
| ISMS-P | 정보보호+개인정보보호 관리체계 | ISMS + 개인정보 처리 단계별 보호 |
| 계약 보안 | 외주·위탁·클라우드 위험 | 비밀유지, 사고통보, 감사권, 반환·파기 |
| 컴플라이언스 | 법규·계약·정책 준수 | 요구사항 식별, 이행, 증적, 점검 |
시험에 나오는 포인트
| 주제 | 시험 포인트 |
|---|---|
| 컴플라이언스 | 법규·계약·정책 준수 활동 |
| 개인정보 보호법 | 개인정보 생명주기와 정보주체 권리 보호 |
| 개인정보 안전성 확보 | 내부관리계획, 접근권한, 접근통제, 암호화, 접속기록 |
| 개인정보 유출 | 통지·신고, 피해 최소화, 재발 방지 |
| 정보통신망 침해사고 | 사고 신고와 대응 |
| 전자서명법 | 전자서명, 인증서, 전자서명인증 |
| 신용정보보호 | 개인신용정보 오남용 방지 |
| 위치정보보호 | 위치정보 유출·오용·남용 방지 |
| 정보보호 공시 | 투자·인력·인증·활동 현황 공개 |
| ISMS | 정보보호 관리체계 인증 |
| ISMS-P | 정보보호와 개인정보보호 통합 인증 |
| 제재 | 과태료, 과징금, 손해배상, 형사책임 |
| 증적 | 정책, 교육, 권한, 로그, 점검, 계약 기록 |
| 계약 보안조항 | 비밀유지, 사고통보, 감사권, 반환·파기 |
| 수탁자 관리 | 계약, 공개, 교육·감독, 재위탁 통제 |
필기형 문제풀이
문제 1
컴플라이언스의 설명으로 가장 적절한 것은?
A. 조직이 관련 법령, 규정, 계약, 내부정책을 준수하도록 관리하는 활동
B. 파일을 압축하는 기술
C. 암호문을 평문으로 복호화하는 알고리즘
D. IP 주소를 MAC 주소로 변환하는 프로토콜
컴플라이언스는 법규와 내부 기준을 준수하고 이행 여부를 점검하는 활동입니다.
문제 2
개인정보 보호법의 핵심 관리 영역으로 적절한 것은?
A. 네트워크 케이블 규격만 관리
B. 개인정보 수집·이용·제공·보관·파기와 안전성 확보
C. 모든 개인정보를 영구 보관
D. 개인키를 공개 저장
개인정보 보호법은 개인정보 생명주기와 안전성 확보, 정보주체 권리보장을 중심으로 봐야 합니다.
정답 이유: 개인정보 보호법은 수집·이용·제공·위탁·보관·파기 전 과정과 접근권한, 암호화, 접속기록 등 안전성 확보조치를 함께 요구합니다.
오답 이유: A는 물리적 네트워크 규격일 뿐 개인정보 생명주기 관리가 아닙니다. C는 파기 원칙과 충돌하고, D는 개인키 보호 원칙을 위반합니다.
문제 3
개인정보 안전성 확보조치에 해당하지 않는 것은?
A. 접근권한 관리
B. 암호화
C. 접속기록 보관
D. 개인정보를 누구나 열람 가능하게 공개
개인정보를 누구나 열람 가능하게 공개하는 것은 보호조치가 아닙니다.
문제 4
침해사고 신고와 가장 관련이 깊은 법규 영역은?
A. 저작권 표시 방법
B. 디자인 색상 표준
C. 정보통신망 관련 법규
D. 파일 압축률 관리
정보통신망 관련 규정은 침해사고 신고와 대응 체계와 연결됩니다.
정답 이유: 정보통신망 관련 법규 영역은 해킹, 악성코드, 서비스 장애 등 침해사고 대응과 관계기관 신고 체계와 연결됩니다.
오답 이유: A와 B는 침해사고 대응 의무와 직접 관련이 약합니다. D는 파일 관리 항목으로 침해사고 신고의 법규 영역을 설명하지 못합니다.
문제 5
전자서명법의 주요 개념으로 적절한 것은?
A. 서버실 온도와 습도만
B. 전자서명, 전자서명생성정보, 인증서, 전자서명인증
C. 파일 확장자 제한만
D. 네트워크 대역폭 측정만
전자서명법은 전자서명과 인증서비스의 신뢰성을 다룹니다.
문제 6
신용정보보호와 가장 관련이 깊은 것은?
A. 개인신용정보의 오남용 방지와 신용정보주체 권리 보호
B. 파일 업로드 확장자
C. 웹페이지 색상
D. 물리 케이블 길이
신용정보보호는 금융·상거래 신용정보와 개인신용정보 보호에 초점을 둡니다.
문제 7
위치정보보호에서 중요한 보호조치로 적절한 것은?
A. 모든 위치정보를 공개 게시
B. 위치정보를 목적 없이 영구 보관
C. 접근권한 확인, 접근통제, 접속기록 보관, 암호화
D. 접속기록 삭제
위치정보는 사생활 침해 가능성이 높으므로 접근통제와 암호화가 중요합니다.
문제 8
정보보호 공시에 포함될 수 있는 내용으로 적절한 것은?
A. 직원 점심 메뉴
B. 정보보호 투자, 인력, 인증, 활동 현황
C. 사무실 책상 색상
D. 고객 비밀번호 원문
정보보호 공시는 기업의 정보보호 현황을 공개하는 제도입니다.
문제 9
ISMS-P의 설명으로 가장 적절한 것은?
A. 단순 파일 압축 프로그램
B. IP 주소 변환 프로토콜
C. 정보보호와 개인정보보호 관리체계를 인증하는 제도
D. 물리적 잠금장치만 의미
ISMS-P는 정보보호와 개인정보보호를 함께 다루는 관리체계 인증입니다.
정답 이유: ISMS-P는 정보보호 관리체계에 개인정보보호 관리체계를 포함해 기술적·관리적·물리적 보호조치와 개인정보 처리 흐름을 함께 점검합니다.
오답 이유: A와 B는 단순 기술이나 프로토콜로 인증제도의 성격과 다릅니다. D는 물리보안 일부만 설명할 뿐 관리체계 전반을 다루지 못합니다.
문제 10
ISMS와 ISMS-P의 차이로 적절한 것은?
A. ISMS-P는 ISMS에 개인정보보호 관리체계를 포함한다
B. ISMS는 개인정보보호만 다룬다
C. ISMS-P는 정보보호와 무관하다
D. 둘은 모두 전자서명 알고리즘이다
ISMS-P는 정보보호와 개인정보보호를 통합한 인증입니다.
정답 이유: ISMS는 정보보호 관리체계 중심이고, ISMS-P는 여기에 개인정보보호 관리체계 요구사항을 포함합니다.
오답 이유: B는 ISMS의 범위를 개인정보보호만으로 잘못 좁힌 보기입니다. C는 ISMS-P의 핵심인 정보보호 영역을 배제했고, D는 인증제도와 전자서명 알고리즘을 혼동했습니다.
문제 11
계약 보안조항으로 적절하지 않은 것은?
A. 비밀유지
B. 사고 통보
C. 종료 시 자료 반환·파기
D. 수탁자의 목적 외 이용 무제한 허용
목적 외 이용은 제한되어야 합니다.
문제 12
수탁자 관리에 필요한 활동으로 적절한 것은?
A. 계약 종료 후 계정 유지
B. 수탁자 접근로그 삭제
C. 개인정보 무단 제공 허용
D. 위탁계약, 수탁자 공개, 교육·감독, 재위탁 통제
수탁자 관리에서는 계약, 공개, 감독, 접근통제, 종료 조치가 중요합니다.
정답 이유: 수탁자 관리에는 위탁계약 체결, 위탁 사실 공개, 교육·감독, 재위탁 통제, 접근권한 관리, 계약 종료 시 반환·파기 확인이 포함됩니다.
오답 이유: A는 계약 종료 후 불필요한 접근권한을 남기는 위험입니다. B는 책임추적성을 훼손하고, C는 목적 외 이용과 무단 제공 위험을 허용하는 보기입니다.
실기형 답안 훈련
실기 예제 1
문제: 컴플라이언스 관리 절차를 설명하시오.
좋은 답안
컴플라이언스 관리는 조직에 적용되는 법령, 규제, 계약상 요구사항, 내부 정책을 식별하고 이를 내부 지침과 절차에 반영하는 활동이다. 이후 보호대책을 적용하고 이행 여부를 점검하며, 교육 기록, 권한 승인 이력, 로그 점검 결과, 계약서, 감사 결과 등 증적을 관리하고 법령 변경 시 재검토해야 한다.채점 포인트
| 요소 | 포함 여부 |
|---|---|
| 법규·계약 요구사항 식별 | 필수 |
| 내부 정책 반영 | 중요 |
| 이행 점검 | 필수 |
| 증적 관리 | 중요 |
| 법령 변경 재검토 | 좋음 |
실기 예제 2
문제: 개인정보 보호법의 핵심 관리사항을 설명하시오.
좋은 답안
개인정보 보호법의 핵심은 개인정보를 적법하게 수집하고 수집 목적 범위 내에서 이용하며, 제3자 제공과 위탁을 적절히 관리하고, 보유기간 경과 또는 목적 달성 시 안전하게 파기하는 것이다. 또한 개인정보처리자는 접근권한 관리, 접근통제, 암호화, 접속기록 보관·점검, 악성프로그램 방지, 물리적 보호 등 안전성 확보조치를 적용하고 유출 사고 발생 시 통지·신고와 피해 최소화 조치를 수행해야 한다.채점 포인트
| 요소 | 포함 여부 |
|---|---|
| 수집·이용·제공·위탁·파기 | 필수 |
| 안전성 확보조치 | 필수 |
| 접근권한·암호화·접속기록 | 중요 |
| 유출 대응 | 중요 |
실기 예제 3
문제: 제3자 제공과 업무위탁의 차이를 설명하시오.
좋은 답안
제3자 제공은 개인정보를 제공받는 자가 자신의 목적을 위해 개인정보를 이용하는 것이고, 업무위탁은 개인정보처리자의 업무를 수탁자가 대신 수행하는 것이다. 제3자 제공은 제공받는 자, 제공 목적, 제공 항목, 보유기간 등에 대한 동의 등 적법한 근거가 필요하고, 위탁은 위탁계약, 수탁자 공개, 교육·감독, 목적 외 이용 금지, 재위탁 통제가 필요하다.채점 포인트
| 요소 | 포함 여부 |
|---|---|
| 제3자 제공 = 받는 자 목적 | 필수 |
| 위탁 = 위탁자 업무 대행 | 필수 |
| 제공 시 동의·고지 | 중요 |
| 위탁계약·감독 | 중요 |
실기 예제 4
문제: 정보보호 공시의 개념과 목적을 설명하시오.
좋은 답안
정보보호 공시는 기업의 정보보호 투자, 인력, 정보보호 관련 인증, 주요 정보보호 활동 등 정보보호 현황을 외부에 공개하는 제도이다. 이를 통해 이용자는 기업의 정보보호 수준을 확인할 수 있고, 기업은 정보보호 투자와 관리활동의 투명성을 높일 수 있다.채점 포인트
| 요소 | 포함 여부 |
|---|---|
| 투자·인력 | 필수 |
| 인증·활동 | 중요 |
| 외부 공개 | 필수 |
| 투명성·이용자 보호 | 중요 |
실기 예제 5
문제: ISMS와 ISMS-P의 차이를 설명하시오.
좋은 답안
ISMS는 조직의 정보보호 관리체계가 적절히 수립·운영되는지 인증하는 제도이다. ISMS-P는 정보보호 관리체계에 개인정보보호 관리체계를 포함한 인증제도로, 개인정보 수집, 이용, 제공, 보관, 파기, 정보주체 권리보장 등 개인정보 처리 단계별 보호조치를 포함한다.채점 포인트
| 요소 | 포함 여부 |
|---|---|
| ISMS = 정보보호 관리체계 | 필수 |
| ISMS-P = 정보보호 + 개인정보보호 | 필수 |
| 개인정보 생명주기 | 중요 |
| 정보주체 권리 | 좋음 |
실기 예제 6
문제: 외주·위탁 계약 시 포함해야 할 보안조항을 설명하시오.
좋은 답안
외주·위탁 계약에는 비밀유지, 개인정보보호, 목적 외 이용 금지, 접근권한 제한, 재위탁 통제, 보안교육과 서약, 작업 로그 기록, 사고 발생 시 통보, 발주사의 보안점검 권한, 계약 종료 시 자료 반환·파기, 손해배상 조항을 포함해야 한다. 이를 통해 제3자 보안 위험과 사고 발생 시 책임 문제를 줄일 수 있다.채점 포인트
| 요소 | 포함 여부 |
|---|---|
| 비밀유지·개인정보보호 | 필수 |
| 목적 외 이용 금지 | 중요 |
| 재위탁 통제 | 중요 |
| 사고 통보 | 중요 |
| 반환·파기 | 필수 |
| 점검권·손해배상 | 좋음 |
핵심 요약
| 개념 | 한 줄 요약 |
|---|---|
| 컴플라이언스 | 법규·계약·정책 준수 관리 |
| 개인정보 보호법 | 개인정보 생명주기와 정보주체 권리 보호 |
| 개인정보 안전성 확보 | 내부관리계획, 접근권한, 접근통제, 암호화, 접속기록 |
| 개인정보 유출 대응 | 통지·신고, 피해 최소화, 재발 방지 |
| 정보통신망 관련 법규 | 정보통신서비스와 침해사고 대응 |
| 전자서명법 | 전자서명과 인증서비스 신뢰성 |
| 신용정보법 | 신용정보와 개인신용정보 보호 |
| 위치정보법 | 위치정보 유출·오용·남용 방지 |
| 정보보호 공시 | 정보보호 투자·인력·인증·활동 공개 |
| ISMS | 정보보호 관리체계 인증 |
| ISMS-P | 정보보호와 개인정보보호 관리체계 인증 |
| 법규 위반 위험 | 행정제재, 손해배상, 형사책임, 평판 손상 |
| 증적 관리 | 준수 사실을 입증하는 기록 관리 |
| 계약 보안조항 | 외주·위탁·클라우드 위험 통제 |
| 수탁자 관리 | 계약, 공개, 교육·감독, 재위탁 통제 |
반드시 외울 문장
아래 문장들은 필기와 실기 모두 중요합니다.
컴플라이언스는 조직이 관련 법령, 규제, 계약상 의무, 내부 정책과 절차를 준수하도록 요구사항을 식별하고 이행 여부를 점검·관리하는 활동이다.
개인정보 보호법의 핵심은 개인정보의 수집, 이용, 제공, 보관, 파기 등 생명주기 전반을 적법하고 안전하게 관리하고 정보주체 권리를 보장하는 것이다.
개인정보 안전성 확보조치에는 내부관리계획, 접근권한 관리, 접근통제, 암호화, 접속기록 보관·점검, 악성프로그램 방지, 물리적 안전조치가 포함된다.
침해사고와 개인정보 유출 사고는 겹칠 수 있지만, 침해사고는 정보시스템의 CIA 침해가 중심이고 개인정보 유출은 개인정보가 관리·통제 범위를 벗어난 것이 중심이다.
전자서명은 서명자의 신원과 전자문서에 서명했다는 사실을 나타내는 전자적 정보이며, 전자서명법은 전자서명과 인증서비스의 신뢰성을 다룬다.
신용정보보호는 개인신용정보의 오용·남용을 방지하고 신용정보주체의 권익을 보호하는 것을 목적으로 한다.
위치정보보호는 위치정보의 유출·오용·남용으로 인한 사생활 침해를 방지하고 위치정보의 안전한 이용환경을 조성하는 것을 목적으로 한다.
정보보호 공시는 기업의 정보보호 투자, 인력, 인증, 활동 등 정보보호 현황을 공개하는 제도이다.
ISMS는 정보보호 관리체계 인증이고, ISMS-P는 정보보호와 개인정보보호 관리체계를 함께 인증하는 제도이다.
법규 위반은 과태료나 과징금뿐 아니라 손해배상, 형사책임, 인증 영향, 계약상 책임, 평판 손상으로 이어질 수 있다.
외주·위탁 계약에는 비밀유지, 개인정보보호, 목적 외 이용 금지, 재위탁 통제, 사고 통보, 보안점검 권한, 종료 시 반환·파기 조항을 포함해야 한다.
컴플라이언스는 정책 문서뿐 아니라 교육 기록, 권한 승인 이력, 접속기록 점검 결과, 계약서, 감사 결과 같은 증적 관리가 중요하다.연습 과제
아래 문제에 답합니다.
이번 절은 법규 파트 마무리이므로 “무슨 법이 무엇을 보호하는지”를 직접 정리합니다.
A. 단답형
1. 컴플라이언스란 무엇인가?
2. 정보보안 컴플라이언스 관리 절차를 순서대로 쓰시오.
3. 개인정보 보호법의 핵심 관리사항 5가지를 쓰시오.
4. 개인정보 안전성 확보조치 항목 7가지를 쓰시오.
5. 개인정보 유출 사고와 침해사고의 차이를 쓰시오.
6. 정보통신망 관련 법규에서 침해사고 대응이 중요한 이유는 무엇인가?
7. 전자서명법의 주요 개념 5가지를 쓰시오.
8. 전자서명과 인증서의 관계를 설명하시오.
9. 신용정보보호의 핵심 목적을 쓰시오.
10. 위치정보보호가 중요한 이유를 쓰시오.
11. 위치정보 보호를 위한 기술적 보호조치 5가지를 쓰시오.
12. 정보보호 공시란 무엇인가?
13. 정보보호 공시에 포함될 수 있는 항목 4가지를 쓰시오.
14. ISMS란 무엇인가?
15. ISMS-P란 무엇인가?
16. ISMS와 ISMS-P의 차이를 쓰시오.
17. 법규 위반 시 발생할 수 있는 위험 5가지를 쓰시오.
18. 컴플라이언스 증적 예시 7가지를 쓰시오.
19. 외주·위탁 계약에 포함해야 할 보안조항 7가지를 쓰시오.
20. 수탁자 관리 절차를 순서대로 쓰시오.
21. 수탁자 점검 항목 5가지를 쓰시오.
22. 주요 법규별 보호 대상을 각각 쓰시오.B. 상황 매칭 문제
아래 상황에 적합한 법규, 제도, 또는 관리활동을 쓰세요.
23. 고객 개인정보를 수집·이용·제공·파기하는 절차를 관리해야 한다.
24. 해킹으로 정보통신서비스 장애와 침해사고가 발생했다.
25. 전자문서에 누가 서명했는지 확인하고 위변조 여부를 검증하고 싶다.
26. 금융거래 과정에서 개인신용정보의 오남용을 방지해야 한다.
27. 배달앱이 고객의 실시간 위치와 이동경로를 처리한다.
28. 기업의 정보보호 투자, 인력, 인증 현황을 외부에 공개한다.
29. 정보보호와 개인정보보호 관리체계 인증을 함께 받고자 한다.
30. 외주 개발업체가 운영서버에 접근하므로 계약서에 사고 통보와 보안점검권을 넣고 싶다.
31. 수탁업체가 위탁받은 업무 범위를 넘어 개인정보를 자체 마케팅에 사용했다.
32. 교육 이수 기록, 권한 승인 이력, 로그 점검 결과를 감사 대비 자료로 보관한다.
33. 개인정보 유출로 고객 피해가 발생해 손해배상 위험이 있다.
34. 클라우드 업체에 개인정보 처리 시스템 운영을 맡기면서 재위탁 통제가 필요하다.C. 실기형 답안 작성
아래 6문제는 2~3문장으로 작성합니다.
35. 컴플라이언스 관리 절차를 설명하시오.
36. 개인정보 보호법의 핵심 관리사항을 설명하시오.
37. 제3자 제공과 업무위탁의 차이를 설명하시오.
38. 정보보호 공시의 개념과 목적을 설명하시오.
39. ISMS와 ISMS-P의 차이를 설명하시오.
40. 외주·위탁 계약 시 포함해야 할 보안조항을 설명하시오.정보보안관리 및 법규 파트 정리
이제 정보보안관리 및 법규 5절을 마쳤습니다.
| 절 | 주제 |
|---|---|
| 6장 1절 | 정보보호 관리체계 |
| 6장 2절 | 위험관리와 침해사고 대응 |
| 6장 3절 | BCP/DRP와 보안 운영 |
| 6장 4절 | 개인정보보호 |
| 6장 5절 | 주요 법규와 컴플라이언스 |
정보보안관리 및 법규의 핵심 축은 다음입니다.
정책
조직
자산관리
위험관리
보호대책
사고 대응
BCP/DRP
개인정보보호
위탁관리
ISMS-P
컴플라이언스
증적 관리필기에서는 용어와 법규 목적 매칭이 중요합니다.
개인정보 보호법 = 개인정보
전자서명법 = 전자서명과 인증서
신용정보법 = 신용정보와 개인신용정보
위치정보법 = 위치정보와 개인위치정보
정보보호 공시 = 정보보호 투자·인력·인증·활동 공개
ISMS-P = 정보보호와 개인정보보호 관리체계 인증실기에서는 아래 구조로 답안을 쓰는 것이 적절합니다.
개념 정의
→ 주요 의무 또는 관리사항
→ 보호대책 또는 증적컴플라이언스 관리는 조직에 적용되는 법령, 규제, 계약상 요구사항, 내부 정책을 식별하고 이를 내부 절차에 반영하여 이행 여부를 점검하는 활동이다. 이를 위해 법규 요구사항 분석, 정책 개정, 보호대책 적용, 교육, 감사, 증적 관리, 미흡사항 개선을 수행해야 한다.정답 방향 및 채점 기준
주요 법규 비교표
| 구분 | 보호 대상 | 시험 답안 핵심 |
|---|---|---|
| 개인정보 보호법 | 개인정보와 정보주체 권리 | 수집·이용·제공·위탁·보관·파기·유출 대응 |
| 정보통신망 관련 법규 | 정보통신서비스, 침해사고 대응 | 침해사고 신고, 정보통신망 안정성, 이용자 보호 |
| 전자서명법 | 전자서명과 인증서비스 | 서명자 신원 확인, 전자문서 위변조 방지, 인증서비스 신뢰성 |
| 신용정보법 | 신용정보와 개인신용정보 | 신용정보 오남용 방지, 신용정보주체 권리 보호 |
| 위치정보법 | 위치정보와 개인위치정보 | 위치정보 유출·오용·남용 방지, 동의와 보호조치 |
| 정보보호 공시 | 정보보호 투자·인력·인증·활동 | 기업의 정보보호 현황 공개와 투자 활성화 |
| ISMS-P | 정보보호와 개인정보보호 관리체계 | 관리체계 수립·운영, 보호대책, 개인정보 처리단계 |
A. 단답형 핵심 키워드
| 번호 | 정답 방향 |
|---|---|
| 1~2 | 요구사항 식별, 정책 반영, 이행, 점검, 개선, 증적 관리 |
| 3~4 | 개인정보 생명주기, 안전성 확보조치 7대 항목 |
| 5~6 | 침해사고는 시스템 CIA 침해, 개인정보 유출은 관리·통제권 이탈 |
| 7~8 | 전자서명, 인증서, 인증업무, 신원 확인, 위변조 방지 |
| 9~11 | 신용정보와 위치정보의 오남용 방지, 접근통제·암호화·기록 보존 |
| 12~16 | 정보보호 공시, ISMS, ISMS-P, 인증 범위와 요구사항 차이 |
| 17~22 | 행정제재, 손해배상, 형사책임, 평판 손상, 계약 책임, 증적, 수탁자 관리 |
B. 상황 매칭 정답
| 번호 | 정답 |
|---|---|
| 23 | 개인정보 보호법 |
| 24 | 정보통신망 관련 침해사고 대응 |
| 25 | 전자서명법, 전자서명·인증서 검증 |
| 26 | 신용정보법 |
| 27 | 위치정보법 |
| 28 | 정보보호 공시 |
| 29 | ISMS-P |
| 30 | 외주·위탁 계약 보안조항 |
| 31 | 수탁자의 목적 외 이용 |
| 32 | 컴플라이언스 증적 관리 |
| 33 | 개인정보 유출에 따른 손해배상 위험 |
| 34 | 수탁자·재위탁 통제 |
C. 실기형 채점 기준
| 문제 | 만점 답안에 들어가야 할 요소 |
|---|---|
| 35 | 법령·규제·계약 요구사항 식별, 내부 정책 반영, 이행 점검, 개선, 증적 |
| 36 | 수집·이용·제공·위탁·보관·파기·권리보장·유출 대응 |
| 37 | 제3자 제공과 위탁의 목적, 책임, 고지·계약·감독 차이 |
| 38 | 정보보호 투자·인력·인증·활동 공개, 이용자 신뢰와 투자 활성화 |
| 39 | ISMS는 정보보호 중심, ISMS-P는 개인정보 처리단계 요구사항 포함 |
| 40 | 비밀유지, 목적 외 이용 금지, 접근권한, 사고 통보, 점검권, 재위탁 통제, 반환·파기 |
최신성 확인 메모
침해사고 신고는 정보통신망법 시행령 제58조의2의 24시간 신고 구조를 기준으로 확인합니다. 개인정보 유출 통지·신고는 72시간 이내 구조로 정리하고, 개인신용정보 누설은 1만 명·72시간 기준을 일반 개인정보 1천 명 기준과 구분합니다. ISMS-P는 KISA 공식 인증기준의 관리체계 수립 및 운영 16개, 보호대책 요구사항 64개, 개인정보 처리단계별 요구사항 21개 체계를 기준으로 정리합니다. 2026-09-11 이후 시험은 개인정보 보호법 시행 예정 개정사항을 다시 확인합니다.