개인정보보보호법 - ISMS-P 실무 심사 · ISO 27001 Annex A · PIA · 행정처분
Phase 2 | Privacy & Compliance
ISMS-P 실무 심사 · ISO 27001 Annex A · PIA · 행정처분
결함 보고서 작성 · 인증 한계 · Annex A 93항목 요약 · 개인정보 영향평가 · 과태료·과징금까지
01ISMS-P 실무 심사 — 결함 보고서 작성 원칙
ISMS-P 인증기준 세부 점검 항목은 기업의 이행 기준과 심사원의 점검 항목을 동시에 제공한다. 총 101개 꼭지, 세부 확인사항 포함 시 약 250개 이상.
결함 보고서 작성 3원칙
| 원칙 | 내용 | 이유 |
|---|---|---|
| 꼭지 단위 1건 | 세부 확인사항이 6개여도 결함 보고서는 1건만 작성 | 중복 작성 방지, 심사 효율화 |
| 파급효과 중심 | 법 위반 가능성·정보주체 권리 침해가 심한 항목을 대표로 선정 | 핵심 리스크 집중 대응 |
| 권고 병기 | 중요도 낮은 나머지 항목은 결함이 아닌 권고 형태로 함께 기재 | 개선 방향 제시 + 부담 완화 |
결함 도출 위치 — 원인 소급 원칙
발견
개인정보 처리단계 또는 보호대책 영역에서 결함 발견
↓ 원인 분석
판단
근본 원인이 정책·지침 미비에 있는가?
↓ YES → 상위 영역으로 소급
결함 위치
보호대책 요구사항(X) → 1. 관리체계 수립 및 운영 영역(O)
정책을 먼저 수정해야 하위 문제가 전체적으로 해결되기 때문
정책을 먼저 수정해야 하위 문제가 전체적으로 해결되기 때문
02ISMS-P 한계 & 본질적 가치
체크리스트 기반
정해진 항목만 확인. 개인의 주관적 판단이나 창의적 점검이 제한된다.
샘플링 심사
기업이 제공한 자료 범위 내에서만 심사. 수사나 조사가 아님. 숨겨진 문제 탐지 불가.
보안 완벽 보장 불가
인증 통과 ≠ 정보보호 완벽. 실제 침해사고가 인증 기업에서도 발생하는 이유.
실무 사례 — 외부자 계정 공유 문제
[심사 시]
외부자 계정 개별 발행 ✓ | 보안 서약서 작성 ✓ | 계정 관리 적정 ✓
→ 심사 통과
[실제 운영]
유지보수 편의상 계정 1개를 여러 외부자가 공유
→ 책임 추적성 없음
→ 데이터 유출 시 행위자 파악 불가
→ 로그 자체가 의미 없어짐
ISMS-P의 본질 | 인증 취득 자체는 2차적 목표. 핵심은 관리체계를 기업 내부에 녹여서 실질적으로 작동하게 하는 것이다. 인증을 위한 인증이 아닌, 실제 운영 체계로의 내재화가 중요하다.
ISMS-P vs ISO/IEC 27001 비교
| 항목 | ISMS-P | ISO/IEC 27001 |
|---|---|---|
| 성격 | 국내 인증 (과기정통부·개보위) | 국제 표준 인증 (ISO/IEC) |
| 해외 인정 | 해외에서 크게 인정 안 함 | 해외 파트너·거래처에 신뢰성 인정 |
| 강제성 | 강함 — 법령 기반 강제 항목 다수 | 유연 — 위험 기반 접근 |
| 국내 운영 | 심사원 독립적 심사 중심 | 컨설팅+심사 병행 방식이 일반적 |
| 중첩 예외 | ISO 27001 보유 시 유사 항목 일부 생략 가능 | — |
03ISO/IEC 27001:2022 Annex A — 4개 영역 93개 항목 요약
기존 14개 영역 114항목에서 4개 영역 93개 항목으로 재편. 클라우드·원격근무·모바일 등 최신 환경 반영.
A.5 조직적 통제 — 37개
Organizational Controls
- 5.1 정보보안 방침 수립·승인·공유
- 5.7 위협 인텔리전스 수집·분석
- 5.19~5.22 공급자/공급망 보안관리
- 5.23 클라우드 서비스 보안 (신규)
- 5.24~5.28 사고 관리·대응·증거수집
- 5.29~5.30 중단 상황 보안·BCP 준비도
- 5.34 개인정보(PII) 보호
A.6 인적 통제 — 8개
People Controls
- 6.1 채용 전 배경 조사
- 6.2 고용 계약서 보안 책임 명시
- 6.3 보안 인식 교육 및 훈련
- 6.4 정책 위반 징계 절차
- 6.5 퇴직·직무 변경 후 보안 책임
- 6.6 NDA(기밀유지 계약) 체결
- 6.7 원격 근무 보안 조치 (신규)
- 6.8 보안 이벤트 보고 채널 마련
A.7 물리적 통제 — 14개
Physical Controls
- 7.1~7.3 보안 경계·출입 통제·시설 보안
- 7.4 CCTV·센서 등 물리적 모니터링
- 7.7 클린 데스크·클린 스크린 정책
- 7.9 사외 자산(노트북·모바일) 보호
- 7.10 저장매체 생애주기 관리
- 7.14 폐기·재사용 시 데이터 완전 삭제
A.8 기술적 통제 — 34개
Technological Controls
- 8.2 특권 접근 권한 최소화·로깅
- 8.7 악성코드 차단 기술 구현
- 8.8 기술적 취약점 관리
- 8.11 데이터 마스킹
- 8.12 DLP(데이터 유출 방지)
- 8.15~8.16 로깅·모니터링
- 8.24 암호화 사용 규칙
- 8.25~8.29 SDL·보안코딩·보안테스트
8.2 특권 접근 권한 심사 포인트 | 심사 시 관리자 계정 발급 수·권한 범위를 직접 확인한다. 슈퍼유저 계정 수 최소화, 다중 인증(MFA) 적용, 사용 로그 기록이 핵심 3가지다.
04개인정보 영향평가 (PIA) — 개요 & 절차
개인정보 파일을 운영하는 새 정보시스템 도입 또는 중대한 변경이 개인정보에 미치는 영향을 사전에 조사·예측·검토하여 침해 요인을 예방하는 체계적 절차. 공공기관에 법적 의무.
평가 대상 기준 3가지 (공공기관)
5만 명
민감정보 또는 고유식별정보 처리 정보주체 수 5만 명 이상주민번호·건강정보·유전자 정보 등 포함 시
50만 명
내·외부 다른 개인정보파일과 연계 시 정보주체 수 50만 명 이상시스템 간 연동으로 식별력 증가
100만 명
정보주체 수가 100만 명 이상인 개인정보파일기준 초과 1년 내 예상 시에도 수행 권고
단계별 수행 흐름
전년도 — 사업 계획 단계
①
사업 계획 수립 + 영향평가 대상 여부 판단②
예산 확보 (공공기관은 전년도 예산 확정 필수)↓ 평가 수행 연도
③
전문 평가기관 입찰 선정④
평가 수행 계획 수립 (기관 + 수행업체 공동)⑤
평가 자료 수집⑥
개인정보 흐름 분석 ★ — 핵심 단계. 수집→이용→파기까지 전체 경로 파악⑦
개인정보 침해 요인 분석⑧
개선 계획 수립⑨
영향평가서 작성 → 시스템 설계·개발 반영↓ 개발 완료 후
⑩
개선사항 이행 점검 → 이행확인서 작성 → 개보위 제출 (결과 수령 후 1년 이내)
미수행 시 제재 | 개인정보보호법 제75조 제2항 제16호 — 3천만 원 이하의 과태료 (2024년 3월 15일 시행). 비용은 소규모 기관 약 5천만 원, 대규모 시스템 1억 원 이상.
평가 수행 체계
| 주체 | 역할 |
|---|---|
| 대상 기관 (공공기관) | 영향평가 의뢰, 개보위에 결과 제출 |
| 평가 수행기관 | 입찰 선정 전문기관. 영향평가서 작성 및 수행결과 제출 |
| 개인정보보호위원회 | 영향평가 결과 접수 및 정책 반영 |
05개인정보보호법 위반 — 행정처분 & 형사 책임
과태료
경미한 행정 위반 제재
상한 있음 (3천만 원 이하). 근거: 제75조. 수탁자에게는 부과 불가 (위탁자에게만 부과). 과징금 부과 시 중복 부과 금지.
과징금
불법 이익 환수
관련 매출액의 3% 이내. 근거: 제64조의2. 대기업의 경우 수천억 가능. 수탁자에게도 부과 가능.
시정명령
위반 행위 개선 명령
위반 상태에 대한 구체적 개선·조치 요구. 이행 거부 시 추가 제재 가능.
위반행위 공표
관보 게재 공개
민간·공공기관 동일 적용. 기업 평판에 직접적 타격. 브랜드 리스크 최대.
과징금 감경 사유
감경 인정 사례
- ISMS-P 인증 취득 — 관리적·기술적·물리적 보호조치 이행 입증
- 정기적 취약점 분석·평가 — 보안 조치 이미 취했으나 유출된 경우
- 안전성 확보에 필요한 조치를 이행했음이 입증되면 감경 또는 면제 가능
과징금 산정 쟁점
- 제64조: 전체 매출액의 3% 이내
- 제64조의2: 위반 행위와 관련 없는 매출액 제외 가능
- 기업은 위반 부문만 매출 기준으로 과징금 낮추려 시도
- 개보위 vs 대기업 간 법적 이슈 지속 중
행정처분 vs 형사 책임 차이
| 구분 | 행정처분 (과태료·과징금) | 형사 책임 (벌금·징역) |
|---|---|---|
| 처리 방식 | 납부 후 종결 | 전과 기록 — 평생 따라다님 |
| 적용 기준 | 법 위반 행위 자체 | 고의 또는 미필적 고의 필요 |
| 영향 | 재무적 손실 | 신분적·사회적 불이익 |
핵심 실무 요약 | ISMS-P 인증 유지 = 과징금 감경 사유. 유출 사고가 발생해도 안전조치 이행 입증이 되면 처분이 줄어든다. PIA 미수행은 3천만 원 과태료. 로그·증거 보존은 형사 책임 방어를 위해서도 필수.
'보안 공부' 카테고리의 다른 글
| 개인정보보호법 - 데이터 3법 · 개인정보보호 · ISMS-P 완전 정리 (0) | 2026.06.02 |
|---|---|
| 클라우드 보안 - AWS 보안 서비스 · 로그 · Config · SSM · CloudFormation (0) | 2026.06.02 |
| 클라우드 보안 - Bastion · CloudWatch · CloudTrail · Route 53 · AWS 보안 (0) | 2026.06.02 |
| 클라우드 보안 - RDS · DynamoDB · Lambda · VPC 심화 (0) | 2026.06.01 |
| 클라우드 보안 - S3 심화 · ELB · Auto Scaling · 통합 아키텍처 (0) | 2026.06.01 |