법규 최신성 체크
확인일: 2026-05-06
확인일: 2026-05-06
이 문서는 시험 직전 확인용입니다. 법규형 문제는 시험일 기준 시행 중인 법령과 고시가 우선이므로, 아래 내용은 2026-05-06 현재 공식 자료 확인 기준으로 봅니다.
특히 개인정보 보호법은 2026-09-11 시행 예정 개정이 확인되므로, 시험일이 2026-09-11 이후라면 해당 개정 내용을 다시 반영해야 합니다.
최종 확인 결론
| 항목 | 2026-05-06 기준 정리 | 시험 답안 포인트 |
|---|---|---|
| 개인정보 유출 통지 | 개인정보 유출 등을 알게 된 경우 정보주체에게 72시간 이내 통지하는 구조로 정리 | 유출 항목, 시점·경위, 피해 최소화 방법, 대응조치, 담당부서·연락처 |
| 개인정보 유출 신고 | 1천 명 이상, 민감정보 또는 고유식별정보, 외부 불법 접근에 의한 유출 등은 72시간 이내 신고 | 개인정보보호위원회 또는 KISA, 확인 전이면 우선 신고 후 추가 신고 |
| 침해사고 신고 | 정보통신서비스 제공자는 침해사고 발생을 알게 된 때부터 24시간 이내 신고 | 과학기술정보통신부장관 또는 KISA, 발생 일시·원인·피해·조치현황·담당 연락처 |
| 추가 확인 사실 | 침해사고 신고 후 추가 확인 사실이 있으면 확인한 때부터 24시간 이내 추가 신고 | 최초 신고와 추가 신고를 분리해서 작성 |
| 개인정보 안전성 확보조치 | 내부관리계획, 접근권한, 접근통제, 암호화, 접속기록, 악성프로그램 방지, 물리적 조치 중심 | 암호화 하나만 쓰면 부족하고 접속기록·접근권한·점검을 함께 써야 함 |
| 안전성 확보조치 고시 | 개인정보의 안전성 확보조치 기준은 2025-10-31 시행 고시 기준 확인 | 대형 처리자 망차단 등 세부 고시는 시험일 기준 재확인 |
| ISMS-P 인증기준 | 관리체계 수립 및 운영 16개, 보호대책 요구사항 64개, 개인정보 처리단계별 요구사항 21개 | ISMS-P는 3개 영역 101개, ISMS는 개인정보 처리단계 제외 2개 영역 80개 |
| ISMS 의무대상 | ISP·IDC, 일정 규모 상급종합병원·학교, 정보통신서비스 매출 100억 이상, 전년도 일일평균 이용자 수 100만 명 이상 등 | 예전 직전 3개월 일평균 표현과 혼동하지 말 것 |
| 신용정보 유출 신고 | 1만 명 이상 개인신용정보 누설은 72시간 이내 신고 구조 확인 | 일반 개인정보 유출 1천 명 기준과 혼동하지 말 것 |
| 국외이전 | 국내 개인정보처리자가 국외 제3자에게 제공·처리위탁·보관하게 하는 경우 | 국외 사업자가 정보주체에게 직접 수집하는 것은 국외이전과 구분 |
| 가명정보 | 통계작성, 과학적 연구, 공익적 기록보존 목적이면 동의 없이 처리 가능 | 재식별 금지, 추가정보 분리, 결합은 지정 전문기관 경유 |
| 2026-09-11 시행 예정 개정 | 개인정보 보호법 일부개정 예정: 유출 가능성 통지제, 개인정보 보호 인증 의무화, 책임 강화 등 | 2026-05-06 현재는 시행 전. 시험일이 이후라면 최신 조문으로 재확인 |
개인정보 유출 통지·신고
정보주체 통지
개인정보 유출 등을 알게 된 경우 정보주체에게 알려야 할 핵심 항목은 다음입니다.
유출된 개인정보 항목
유출 시점과 경위
피해 최소화를 위해 정보주체가 할 수 있는 방법
개인정보처리자의 대응조치와 피해 구제절차
담당부서와 연락처시행령 기준으로 통지는 72시간 이내 구조로 정리합니다. 다만 추가 유출 방지 조치가 긴급하거나 부득이한 사유가 있으면 해당 사유 해소 후 지체 없이 통지할 수 있습니다.
관계기관 신고
다음 중 하나에 해당하면 72시간 이내 신고 기준으로 정리합니다.
1천 명 이상의 정보주체에 관한 개인정보 유출 등
민감정보 또는 고유식별정보 유출 등
개인정보처리시스템 또는 개인정보 처리 이용 기기에 대한 외부 불법 접근으로 인한 유출 등신고기관은 개인정보보호위원회 또는 한국인터넷진흥원(KISA)로 정리합니다. 구체적인 유출 항목이나 규모가 아직 확인되지 않았더라도, 확인된 내용으로 우선 신고하고 추가 확인되는 내용은 즉시 보완합니다.
시험 답안 틀
개인정보 유출 정황이 확인되면 유출 여부, 항목, 규모, 시점, 경위, 피해 가능성을 확인하고 추가 유출을 차단한다.
정보주체에게 유출 항목, 시점·경위, 피해 최소화 방법, 대응조치와 담당 연락처를 통지한다.
1천 명 이상, 민감정보·고유식별정보, 외부 불법 접근 등 신고 요건에 해당하면 개인정보보호위원회 또는 KISA에 72시간 이내 신고하고, 원인 제거와 재발 방지 대책을 수행한다.침해사고 신고
정보통신망법 시행령 제58조의2 기준으로, 정보통신서비스 제공자는 침해사고 발생을 알게 된 때부터 24시간 이내에 과학기술정보통신부장관 또는 한국인터넷진흥원에 신고해야 합니다.
신고 내용은 다음입니다.
침해사고 발생 일시
침해사고 원인
피해내용
조치사항 등 대응 현황
침해사고 대응업무 담당 부서와 연락처최초 신고 후 추가로 확인되는 사실이 있으면 확인한 때부터 24시간 이내 추가 신고합니다. 신고 방법은 서면, 전자우편, 전화, 인터넷 홈페이지 입력 등으로 정리합니다.
개인정보 유출과 침해사고가 겹치는 경우
웹 서버 해킹으로 고객 DB가 유출됨
→ 침해사고 신고와 개인정보 유출 통지·신고를 함께 검토실기 답안에서는 두 트랙을 분리해 쓰는 것이 안전합니다.
침해사고 대응: 탐지, 분석, 차단, 제거, 복구, 보고, 재발 방지
개인정보 유출 대응: 유출 항목·규모 확인, 정보주체 통지, 관계기관 신고, 피해 최소화개인정보 안전성 확보조치
시행령과 안전성 확보조치 기준을 함께 볼 때, 시험 답안의 기본 항목은 다음 7개로 정리합니다.
| 항목 | 답안에 쓸 표현 |
|---|---|
| 내부관리계획 | 개인정보의 안전한 처리를 위한 내부 기준 수립·시행·점검 |
| 접근권한 관리 | 권한 부여·변경·말소 기준, 최소권한, 퇴직자 권한 회수 |
| 접근통제 | 비인가 접근 차단, 접속권한 제한, 안전한 인증 |
| 암호화 | 비밀번호 일방향 저장, 고유식별정보 등 중요정보 저장·전송 보호 |
| 접속기록 | 접속일시·처리내역 등 기록 저장, 점검, 위조·변조 방지, 안전한 보관 |
| 악성프로그램 방지 | 백신·EDR 등 설치·운영, 주기적 갱신·점검 |
| 물리적 조치 | 보관시설, 잠금장치, 출입통제, 저장매체 보호 |
개인정보보호위원회 고시 제2025-9호는 2025-10-31 시행 기준입니다. 시험 기본 답안에서는 먼저 위 7개 항목을 정확히 쓰고, 규모·업종별 세부 의무는 최신 고시 확인 대상으로 둡니다.
세부 암기 포인트는 다음입니다.
비밀번호는 일방향 암호화 저장
주민등록번호, 여권번호, 운전면허번호, 외국인등록번호, 신용카드번호, 계좌번호, 생체인식정보 등은 암호화 저장 대상
전년도 말 기준 직전 3개월간 저장·관리 이용자 수가 일일평균 100만 명 이상인 개인정보처리자는 고시상 인터넷망 차단 조치 검토 대상
고시 부칙의 지연 시행 조항은 시험일 기준 다시 확인ISMS-P 기준
KISA ISMS-P 공식 제도소개 기준 인증기준은 다음처럼 정리합니다.
| 구분 | 영역 | 기준 수 |
|---|---|---|
| ISMS-P | 관리체계 수립 및 운영 | 16개 |
| ISMS-P | 보호대책 요구사항 | 64개 |
| ISMS-P | 개인정보 처리단계별 요구사항 | 21개 |
| ISMS-P 합계 | 3개 영역 | 101개 |
| ISMS | 개인정보 처리단계별 요구사항 제외 | 80개 |
ISMS는 정보보호 관리체계 인증이고, ISMS-P는 정보보호 관리체계에 개인정보보호 관리체계를 포함한 인증제도이다. ISMS-P는 관리체계 수립 및 운영, 보호대책 요구사항, 개인정보 처리단계별 요구사항의 3개 영역으로 구성된다.ISMS 인증 의무대상
KISA 인증대상 안내 기준으로 ISMS 인증 의무대상은 다음 중 하나에 해당하는 자로 정리합니다.
| 구분 | 기준 |
|---|---|
| ISP | 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 전기통신사업자 |
| IDC | 정보통신망법상 집적정보통신시설 사업자 |
| 상급종합병원·학교 | 전년도 매출액 또는 세입 1,500억 원 이상 중 상급종합병원, 직전연도 12월 31일 기준 재학생 1만 명 이상 학교 |
| 정보통신서비스 매출 | 정보통신서비스 부문 전년도 매출액 100억 원 이상 |
| 이용자 수 | 전년도 일일평균 정보통신서비스 이용자 수 100만 명 이상 |
의무대상자는 ISMS 또는 ISMS-P 인증 중 선택할 수 있고, 최초 의무대상자가 되면 다음 해 8월 31일까지 인증 취득으로 정리합니다. 시험에서는 특히 전년도 일일평균 이용자 수 100만 명 이상을 최신 표현으로 기억합니다.
신용정보와 금융권 신고 주의
개인정보보호위원회 설명 기준으로, 개인신용정보 유출은 일반 개인정보 유출과 신고 기준·기관이 다를 수 있습니다.
| 구분 | 기준 |
|---|---|
| 금융기관이 1만 명 이상 개인신용정보를 누설 | 72시간 이내 금융위원회 또는 금융감독원 신고 |
| 상거래 기업·법인의 1만 명 이상 개인신용정보 누설 | 72시간 이내 개인정보보호위원회 또는 KISA 신고 |
| 일반 개인정보 유출 | 개인정보 보호법상 1천 명 이상 등 기준이면 개인정보보호위원회 또는 KISA 신고 |
시험에서는 개인정보 1천 명, 개인신용정보 1만 명, 금융기관은 금융위·금감원을 구분합니다.
국외이전과 가명정보
국외이전
개인정보 국외이전은 국내 개인정보처리자가 보유한 개인정보를 국외 제3자에게 제공, 처리위탁, 보관하게 하는 경우입니다. 국외 사업자가 정보주체로부터 직접 개인정보를 수집하는 행위는 국외이전과 구분합니다.
국외이전 요건은 다음처럼 정리합니다.
정보주체 별도 동의
법률, 조약, 국제협정상 특별 규정
계약 이행에 필요한 처리위탁 또는 보관
개인정보보호위원회 고시 인증
국가 또는 국제기구 보호수준 동등성 인정국외에서 이전받은 자가 제3국으로 다시 이전하는 경우에도 국외이전 규정을 다시 검토합니다.
가명정보
가명정보는 추가정보의 사용·결합 없이는 특정 개인을 알아볼 수 없도록 가명처리한 정보입니다.
시험 포인트는 다음입니다.
활용 목적: 통계작성, 과학적 연구, 공익적 기록보존
안전조치: 추가정보 분리 보관, 접근권한 통제, 처리기록 관리, 재식별 금지
결합: 서로 다른 개인정보처리자 간 가명정보 결합은 지정 전문기관을 통해 수행
최신 고시: 가명정보의 결합 및 반출 등에 관한 고시, 개인정보보호위원회고시 제2025-8호, 2025-09-09 시행2026-09-11 시행 예정 개인정보 보호법 개정 주의
국가법령정보센터의 2026-09-11 시행 예정 개인정보 보호법 개정이유 기준으로 다음 변화가 확인됩니다.
| 예정 변화 | 시험 전 확인 포인트 |
|---|---|
| 사업주 또는 대표자 책임 명확화 | 개인정보 처리·보호 최종 책임자 표현 확인 |
| 개인정보 보호책임자 역할 강화 | CPO 권한, 인력·예산 등 지원 구조 확인 |
| 일정 기준 개인정보처리자 개인정보 보호 인증 의무화 | ISMS-P·개인정보 보호 인증 의무 대상 여부 확인 |
| 유출 가능성 통지제 도입 | 실제 유출뿐 아니라 유출 가능성 통지 의무 범위 확인 |
| 통지 범위 확대 | 위조·변조·훼손 등 통지 범위 반영 여부 확인 |
| 반복적·중대한 침해 과징금 강화 | 전체 매출액 10% 이내 등 제재 기준 확인 |
2026-05-06 현재 이 개정은 아직 시행 전입니다. 시험일이 2026-09-11 이후라면 이 문서와 6장 4절·6장 5절·9장 1절·9장 2절의 법규 답안을 다시 갱신해야 합니다.
시험 직전 답안 점검표
| 문제 유형 | 반드시 포함할 요소 |
|---|---|
| 개인정보 유출 대응 | 유출 항목·규모·경위 확인, 추가 유출 차단, 정보주체 통지, 관계기관 신고, 피해 최소화, 재발 방지 |
| 침해사고 대응 | 탐지, 분석, 차단, 제거, 복구, 신고, 증거 보존, 재발 방지 |
| 개인정보 안전성 확보조치 | 내부관리계획, 접근권한, 접근통제, 암호화, 접속기록, 악성프로그램 방지, 물리적 조치 |
| ISMS-P | 정보보호 + 개인정보보호, 3개 영역 101개, ISMS는 2개 영역 80개 |
| ISMS 의무대상 | ISP, IDC, 1,500억 기준 상급종합병원·학교, 매출 100억, 전년도 일일평균 이용자 100만 명 |
| 신용정보 | 개인신용정보, 1만 명·72시간 기준, 금융위·금감원 신고 구분 |
| 국외이전 | 별도 동의, 계약 이행상 위탁·보관, 인증, 동등성 인정 등 요건 확인 |
| 가명정보 | 통계작성·과학적 연구·공익적 기록보존, 전문기관 결합, 재식별 금지 |
| 법규 최신성 | 시험일이 2026-09-11 이후인지 먼저 확인 |
공식 출처
| 구분 | 링크 |
|---|---|
| 개인정보 보호법 제34조 | 국가법령정보센터 |
| 개인정보 보호법 시행령 제39조·제40조 | 국가법령정보센터 PDF |
| 개인정보 보호법 시행령 제30조 | 국가법령정보센터 |
| 개인정보의 안전성 확보조치 기준 | 국가법령정보센터 |
| 개인정보보호위원회 고시 제2025-9호 | 개인정보보호위원회 |
| 정보통신망법 시행령 제58조의2 | 국가법령정보센터 |
| KISA 118 신고 창구 | KISA 118 |
| KISA ISMS-P 제도소개 | KISA ISMS-P |
| KISA ISMS-P 인증대상 | KISA ISMS-P |
| 개인정보보호위원회 신용정보 유출 신고 설명 | 개인정보보호위원회 |
| 개인정보보호위원회 유출신고제도 | 개인정보보호위원회 |
| 개인정보보호위원회 국외이전 제도 | 개인정보보호위원회 |
| 개인정보보호위원회 가명정보 제도 | 개인정보보호위원회 |
| 가명정보 결합 및 반출 고시 제2025-8호 | 개인정보보호위원회 |
| 개인정보 보호법 2026-09-11 시행 예정 개정이유 | 국가법령정보센터 |