이것저것

[SK shieldus Rookies 29기] 42일차

atfield1988 — Sat, 17 Jan 2026 13:17:59 +0900

지난 번 다양한 컴플라이언스를 다루고 이제는 다시 기술적인 이야기를 할 타이밍이다. 지금부터는 아무래도 이론적인 내용보다는 실무에 초점을 맞춘 작업형 과정이 다수 포함이 되어 있어서 캡처뜨기 좀 빡셀 것 같다...

URI, URL, URN 차이 쉽게 이해하기

인터넷에서 자주 보이는 URI, URL, URN은 모두 "자원(resource)을 식별하는 방법"과 관련된 개념이다.

1. URI (Uniform Resource Identifier)

정의

인터넷 상의 자원을 식별하는 모든 문자열

이 주식이 뭔지 알 수 있는 모든 정보를 말함
종목명
종목코드
거래소 + 위치 정보
기타 등등

2. URL (Uniform Resource Locator)

정의

자원의 "위치"를 알려주는 URI

어디에 있는지 알려줌, 우리가 흔히 말하는 "웹 주소"
브라우저에 입력하는 주소 대부분이 URL

예시

https://www.google.com
ftp://ftp.example.com/file.txt

구성 요소
```
https://   www.example.com   /index.html
프로토콜       도메인             경로
```
어느 거래소에서, 어떤 방식으로 거래되는 주식인지를 생각하면 됨
NYSE 거래소, NVDA 종목 페이지 위치

3. URN (Uniform Resource Name)

정의

자원의 "이름"만으로 식별하는 URI
위치 정보는 몰라도 됨
"어디 있는지는 몰라도, 이게 뭔지는 앎"
주로 표준 문서, ISBN, 고유 식별자 등에 사용함

예시

urn:isbn:9780134685991
urn:uuid:550e8400-e29b-41d4-a716-446655440000

티커 생각하면 됨! 엔비디아: NVDA, 아마존:AMZN
이건 바뀔 일 없음.

URI는 자원을 식별하는 전체 개념이고,
URL은 위치를 알려주는 URI,
URN은 이름으로 식별하는 URI이다.

네트워크 보안

채용 공고를 잘 보면 네떡이 많은 것을 알 수가 있다. 그렇다면 네떡 엔지니어, 유지보수 등등 회사나 사람들이 왜 이렇게 네떡에 진심인지 알아보자.

네트워크는 물리적 제약이 적다, 피아 식별이 어렵다. 이 말은 공격하기는 상당히 쉽고 방어하기는 상당히 어렵다는 말이다. 그러면 사람들은 왜 네트워크를 사용하는 걸까? 그야 당연히 온 세상이 네트워크로 이미 구축되어 있으니까다. 뭐 어쩌겠나 이미 태어나보니 다 이렇게 되어 있게 이걸 바꿀만한 저기도 없고 하니깐 그냥 쓰는 거지...

방화벽

IP/Port 기반으로 동작
허용 정책에 포함되지 않는 모든 IP/Port 차단

그런데 문제가 생김. 방화벽으로도 커버되지 않는 문제가 발생한다. 대표적으로 우리가 배운 웹 해킹이다.

IDS(Intrusion Detection System)

IP/Port 상위 개념의 접근제어 필요성 대두
애플리케이션 레이어의 데이터 패턴을 검사하는 snort
패턴매칭(주고 받는 패턴으로 상호관계 파악 가능)

침입탐지모델

구분	블랙리스트 (패턴 매칭)	화이트리스트 (이상징후 탐지)
개념	정의된 패턴을 갖는 공격만 차단	정의된 패턴을 갖는 정상만 허용
기본 접근	알려진 공격 패턴 기반	정상 행위 기준선(Baseline) 기반
장점	(알려진) 공격 정의가 쉽다	정상만 정의하면 된다
단점	알려지지 않은 공격은 탐지 불가	정상 범위를 정의하기 어렵다
오탐/미탐	미탐(false negative) 가능성 높음	오탐(false positive) 가능성 높음
구현 예시	IDS, IPS, 방화벽, 웹 방화벽	이상징후 기반 IDS, 행위 기반 보안 시스템

위에 내용에 이어서 패턴매칭을 적용하여 보안관제를 실시를 했을 경우 어마무시한 로그들이 찍히는 것을 확인할 수 있다.

근데 이렇게 엄청나게 많은 로그를 어떻게 하나하나씩 다 보냐?
그러니까 더욱 더 정밀하게 룰들을 설정하고 패턴들을 설정해야한다.

앞에는 그냥 리마인드 겸 단순 몸풀기 정도이다. 이어서 할 snort도 오늘은 그렇게까지 저기 하지 않으므로 만약 기억이 안난다면 복습을 다시 하자!

복습 링크 15일차 16일차 17일차

우선 그냥 진행하면 권한이 막힐 수가 있기 때문에 관리자 권한으로 전환한다.

1. 관리자 권한으로 cmd창 실행 후 net user administrator /active:yes 명령어 입력

2. 기존 계정 로그아웃

3. administrator 계정으로 로그인

이제 시작하자~

snort 설치를 위해서 아래와 같은 명령어를 입력하자

yum install epel-release -y
yum install wget gcc gcc-c++ libnetfilter_queue-devel git flex bison zlib zlib-devel pcre pcredevel libdnet* libpcap* nghttp2 xz-devel libtool libsfbpf* daq* -y
rpm -ivh https://snort.org/downloads/snort/snort-2.9.20-1.centos.x86_64.rpm
ln -s /usr/lib64/libdnet.so.1.0.1 /usr/lib64/libdnet.1

yum install epel-release -y이 뭐 하는 거냐면 EPEL 저장소를 추가하는 명령어임. 기본 yum 저장소에는 없는 패키지들을 설치할 수 있게 해줌. 그래서 왜 설치하냐면 snort나 기타 의존성 패키지들 중 일부가 EPEL에만 있음. 이거 없으면 나중에 패키지를 찾을 수 없습니다하면서 에러 남.

yum install wget gcc gcc-c++ libnetfilter_queue-devel git \
flex bison zlib zlib-devel pcre pcre-devel \
libdnet* libpcap* nghttp2 xz-devel libtool \
libsfbpf* daq* -y

주요 패키지 설명 (with gpt)

컴파일 도구
- gcc, gcc-c++
  → C/C++ 컴파일러 (Snort는 C 기반)
- flex, bison
  → Snort 룰 파싱할 때 사용
- libtool
  → 라이브러리 빌드/링크 관리
네트워크 관련
- libpcap*
  → 패킷 캡처 핵심 라이브러리 (Snort 필수)
- libdnet*
  → 저수준 네트워크 처리 (라우팅, 인터페이스 등)
- libnetfilter_queue-devel
  → Linux 커널의 netfilter와 연동 (IPS 모드에서 중요)
- daq*
  → Snort DAQ(Data Acquisition) 모듈
  → Snort가 패킷을 어디서/어떻게 받을지 결정함
문자열/압축 처리
- pcre, pcre-devel
  → 정규표현식 처리 (Snort 룰에서 엄청 많이 씀)
- zlib, zlib-devel
  → 압축 데이터 처리
기타
- wget
  → 파일 다운로드
- git
  → 소스 코드 관리
- nghttp2
  → HTTP/2 지원
- xz-devel
  → xz 압축 라이브러리
- libsfbpf*
  → 고성능 BPF 필터 (Snort 성능 관련)

rpm -ivh https://snort.org/downloads/snort/snort-2.9.20-1.centos.x86_64.rpm

-> 스노트 사이트에서 미리 컴파일된 RPM 패키지를 설치

ln -s /usr/lib64/libdnet.so.1.0.1 /usr/lib64/libdnet.1

-> 라이브러리 심볼릭 링크 생성(원래는 되어 있는게 맞긴 하지만 오픈소스다. 알아서 모자르면 하자.)

[root@Snort ~]# vi /etc/snort/snort.conf

아래와 같은 명령어 입력할 것
:548,651norm i#

그러면 이제 이렇게 바뀜
스노트 룰도 한 번 추가해주자!

alert icmp any any -> any any (msg:"ping-request"; itype:8; sid:1000000; rev:1;)
alert icmp any any -> any any (msg:"ping-response"; itype:0; sid:1000001; rev:1;)

snort -i eth1 -c /etc/snort/snort.conf -A fast

잘 잡히는 것을 확인할 수 있다.
그러면 이렇게 잡은 물고기를 그냥 두면 안된다.
DB에 저장하자! 근데 DB가 없으니까 설치 한 번 해보자

rpm -ivh https://dev.mysql.com/get/mysql80-community-release-el7-11.noarch.rpm

MySQL 공식 YUM 저장소(repo) 를 시스템에 추가하는 명령어

yum install mysql-server mysql-devel -y

MySQL 서버 + 개발 라이브러리 설치

service mysqld start

MySQL 서비스 실행

정상적으로 active 된 걸 확인할 수 있다.

mysql이 버전업이 되면서 패스워드 정책이 까탈스럽게 바뀌었기 때문에 원만한 실습을 위해 조금 설정을 변경하자.

echo >> /etc/my.cnf
echo "default_password_lifetime=0" >> /etc/my.cnf
echo "validate_password.policy=LOW" >> /etc/my.cnf
echo "validate_password.length=6" >> /etc/my.cnf
echo "validate_password.special_char_count=0" >> /etc/my.cnf
echo "validate_password.mixed_case_count=0" >> /etc/my.cnf
echo "validate_password.number_count=0" >> /etc/my.cnf
echo "skip_external_locking" >> /etc/my.cnf
echo "skip_name_resolve " >> /etc/my.cnf

그리고 당연하지만 적용하려면 재시작해야 한다.

service mysqld restart

그리고 mysql을 접속할 때 비번을 입력해야 되는데 비번을 모르니까 우리가 아는 비번으로 바꾸는 작업을 시작하자. 그럴려면 초기 비번을 알아내야 한다. 초기 비번을 알아낸 뒤 no1ids로 변경을 하자.

[root@Centos7 ~]# grep "temporary password is generated" /var/log/mysqld.log | grep -oP "\S+$"
f+bQNiPd6cTg
[root@Centos7 ~]# mysql --connect-expired-password -uroot -p -e "alter user 'root'@'localhost' identified with mysql_native_password by 'no1ids';"
Enter password:
[root@Centos7 ~]#

성공했음

원격접속을 위한 세팅을 마쳤으니까 잘 되는지 한 번 확인해보자!

성공했음

원격접속을 위한 세팅을 마쳤으니까 잘 되는지 한 번 확인해보자

이제 디비를 생성하고 내용을 채워야 함

[barnyard2.conf]에서 mysql 연동하려면 설정 변경해야쥐

[root@Centos7 ~]# vi /etc/snort/snort.conf
[root@Centos7 ~]# vi /etc/snort/sid-msg.map
[root@Centos7 ~]# cat /etc/snort/sid-msg.map
1000000 || ping-request
1000001 || ping-response

[root@Centos7 ~]# barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort/ -f alert.log -w /bar.log.snort/barnyard2.temp

아까처럼 ping 192.168.56.100을 날려보자

수집한 데이터를 디비에서 보기 위해 쿼리문을 입력하자

select a.timestamp, b.sig_name
from event a, signature b
where a.signature = b.sig_id

사실 지금까지 한 건 그냥 간단한 연습임

이제는 아까 열심히 설정한 것들이 이미 설정된 파일이 snort.ova을 가지고 해보자고

이제 진짜로 snort를 불러오고 다시 해보자

[root@Snort ~]# barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort/ -f alert.log -w /var/log/snort/by.tmp

잘 되는 것을 확인할 수 있다. 아까처럼 디비에서도 되는지 확인해보자
굳굳 잘된다!!

이제 여기서 각종 쿼리문을 조합하여 조인도 하고 테이블도 변경해가면서 원하는 컬럼값을 뽑아내면 된다.

아직까진 뭐...그냥저냥 할 만한 정도

[SK shieldus Rookies 29기] 41일차

atfield1988 — Sat, 17 Jan 2026 13:17:16 +0900

가명정보

1. 가명정보(Pseudonymous Information)란?

정의

제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다. <개정 2014. 3. 24., 2020. 2. 4., 2023. 3. 14.>

“개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.

가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.
다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”라 한다)

1의2. “가명처리”란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다.

“처리”란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.

단독으로는 특정 개인을 식별할 수 없으나 추가 정보와 결합하면 개인을 식별할 수 있는 정보

가명정보는

"개인정보" (법적 보호 필요)
개인정보보호법의 규제 대상
보안 조치 필수
동의 원칙 적용

2. 개인정보 VS 가명정보 VS 익명정보 비교

개인정보

이름	생년월일	핸드폰	주소	직업	가족	예금잔액	대출금액
atfield1988	98.1.9	010-2222-3333	서울시 강남구 테헤란로 123	국회의원	배우자, 아들1, 딸1	15,000,000	35,000,000

잘못된 가명정보

구분	이름	생년월일	핸드폰	주소	직업	가족	예금잔액	대출금액
잘못된 가명정보			gsr*4tg!e	서울시 강남구	국회의원	배우자, 아들1, 딸1	15,000,000	35,000,000
처리방법	삭제	삭제	암호화	범주화	개인식별가능

가명정보

구분	이름	생년월일	핸드폰	주소	직업	가족	예금잔액	대출금액
가명정보			gsr*4tg!e	서울시 강남구		배우자, 아들1, 딸1	15,000,000	35,000,000
처리방법	삭제	삭제	암호화	범주화	삭제

익명정보

구분	이름	생년월일	핸드폰	주소	직업	가족	예금잔액	대출금액
익명정보			gsr*4tg!e	서울시 강남구		가족3	1천만원~2천만원	3천만원~4천만원
처리방법	삭제	삭제	암호화	범주화	삭제	일반화	범주화	범주화

3. 익명정보(Anonymous Information)란?

정의

제3조(개인정보 보호 원칙) ⑦ 개인정보처리자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의하여, 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록 하여야 한다. <개정 2020. 2. 4.>

"익명정보"란 다음 모두를 만족하는 정보

단독으로 특정 개인을 식별할 수 없고
다른 정보와 결합해도 개인을 식별할 수 없는 정보

추가 정보 + 익명정보 ≠ 개인 식별 불가능
따라서 개인정보가 아니다.

예시

구분	사례	설명
익명정보 O	2020년 1월 ~ 12월 서울 지역 폐렴 환자 현황	개인명, 주민등록번호, 병원명 등 개인을 식별할 수 있는 정보가 포함되지 않음
익명정보 O	나이대별 소비 패턴	특정 개인을 식별할 수 없고 통계·집계 수준의 정보임
익명정보 O	지역별 평균 소득	개인 단위가 아닌 평균값으로 구성되어 재식별 불가
익명정보 O	성별·연령대별 질병 분포	집계 통계 형태로 개인을 알아볼 수 없음
익명정보 X	2024년 1월 서울 강남구 30대 여성 환자	다른 정보와 결합될 경우 특정 개인 식별 가능
익명정보 X	특정 학교 2019년 12월 졸업생	이름·사진 등과 결합 시 개인 식별 가능
익명정보 X	택시 이동 기록 (장소·시간·이동 경로)	AI 분석 및 외부 정보 결합을 통해 개인 식별 가능(역식별 사례)

4. 가명정보 처리의 요구사항

4.1 정의 및 적용

가명정보: 개인을 직접 식별할 수 없도록 처리된 개인정보
처리 가능 여부: 원칙적으로 동의 없이 처리 가능 (조건 충족 시)

4.2 처리 조건

조건	설명
연구·통계 목적	학술 연구, 통계 분석 등
공익 목적	명백한 공익 목적 필요
개인정보 최소화	필요한 정보만 처리, 최소한으로 제한

4.3 예시 처리 목적

분야	예시
의료 연구	암 발생률 통계 분석
공중보건	전염병 역학 조사, 질병 추적
신약 개발	임상 데이터 활용
데이터 분석	질병 패턴 분석

4.4 가명처리와 가명정보의 처리 차이점

가명처리는 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 과정
가명정보 처리는 가명처리를 통해 생성된 가명정보를 이용·제공 등 활용하는 행위를 말함

제3절 가명정보의 처리에 관한 특례 <신설 2020. 2. 4.> 제28조의2~7

제28조의2(가명정보의 처리 등)

① 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.

② 개인정보처리자는 제1항에 따라 가명정보를 제3자에게 제공하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함해서는 아니 된다.

제28조의3(가명정보의 결합 제한)

① 제28조의2에도 불구하고 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 서로 다른 개인정보처리자 간의 가명정보의 결합은 보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관이 수행한다.

② 결합을 수행한 기관 외부로 결합된 정보를 반출하려는 개인정보처리자는 가명정보 또는 제58조의2에 해당하는 정보로 처리한 뒤 전문기관의 장의 승인을 받아야 한다.

③ 제1항에 따른 결합 절차와 방법, 전문기관의 지정과 지정 취소 기준ㆍ절차, 관리ㆍ감독, 제2항에 따른 반출 및 승인 기준ㆍ절차 등 필요한 사항은 대통령령으로 정한다.

제28조의4(가명정보에 대한 안전조치의무 등)

① 개인정보처리자는 제28조의2 또는 제28조의3에 따라 가명정보를 처리하는 경우에는 원래의 상태로 복원하기 위한 추가 정보를 별도로 분리하여 보관ㆍ관리하는 등 해당 정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 않도록 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다. <개정 2023. 3. 14.>

② 개인정보처리자는 제28조의2 또는 제28조의3에 따라 가명정보를 처리하는 경우 처리목적 등을 고려하여 가명정보의 처리 기간을 별도로 정할 수 있다. <신설 2023. 3. 14.>

③ 개인정보처리자는 제28조의2 또는 제28조의3에 따라 가명정보를 처리하고자 하는 경우에는 가명정보의 처리 목적, 제3자 제공 시 제공받는 자, 가명정보의 처리 기간(제2항에 따라 처리 기간을 별도로 정한 경우에 한한다) 등 가명정보의 처리 내용을 관리하기 위하여 대통령령으로 정하는 사항에 대한 관련 기록을 작성하여 보관하여야 하며, 가명정보를 파기한 경우에는 파기한 날부터 3년 이상 보관하여야 한다. <개정 2023. 3. 14.>

제28조의5(가명정보 처리 시 금지의무 등)

① 제28조의2 또는 제28조의3에 따라 가명정보를 처리하는 자는 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 아니 된다. <개정 2023. 3. 14.>

② 개인정보처리자는 제28조의2 또는 제28조의3에 따라 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우에는 즉시 해당 정보의 처리를 중지하고, 지체 없이 회수ㆍ파기하여야 한다. <개정 2023. 3. 14.>

제28조의6 삭제 <2023. 3. 14.>

제28조의7(적용범위)

제28조의2 또는 제28조의3에 따라 처리된 가명정보는 제20조, 제20조의2, 제27조, 제34조제1항, 제35조, 제35조의2, 제36조 및 제37조를 적용하지 아니한다. <개정 2023. 3. 14.>

4.5 개인정보 및 신용정보 관련 법령·고시·가이드라인

번호	구분	제목	주관기관
1	법률	개인정보보호법	개인정보보호위원회
2	법률	신용정보의 이용 및 보호에 관한 법률	금융위원회
3	시행령	개인정보보호법 시행령	개인정보보호위원회
4	시행령	신용정보의 이용 및 보호에 관한 법률 시행령	금융위원회
5	고시	가명정보의 결합 및 반출 등에 관한 고시	개인정보보호위원회
6	고시	공공기관의 가명정보 결합 및 반출 등에 관한 고시	개인정보보호위원회
7	고시	신용정보업 감독규정	금융위원회
8	가이드라인	가명정보 처리 가이드라인	개인정보보호위원회
9	가이드라인	보건의료 데이터 활용 가이드라인	보건복지부
10	가이드라인	교육분야 가명·익명 정보 처리 가이드라인	교육부
11	가이드라인	공공분야 가명정보 제공 실무 안내서	행정안전부
12	가이드라인	금융분야 가명·익명 처리 안내서	금융위원회

4.6 기타 사항

가명 처리 활용 사례
- 특정기관(금융,통신,의료,유통등)의 개인정보처리방침에서 가명정보 처리 기록 공개 확인
개인정보데이터(자료형태) 이해
- 범주형(이산형/범주형), 수치형(연속형)
- K-익명성, 사분위수 분석, 3시그마 규칙(대충 빅분기에 나오는 내용)
가명 처리 기술
- ISO/IEC20889 기준 분류, 엑셀을 이용(통계 처리, 문자 처리, 사용자 정의)
가명정보 처리 가이드라인의 이해
- 사전준비 -> 위험성 검토 -> 가명처리 -> 적정성 검토 -> 안전한 관리

5. IT 신기술과 개인정보보호

5.1 생체정보와 개인정보보호

생체정보 정의

지문, 얼굴, 홍채, 정맥, 음성 필적 등 개인의 신체적, 생리적, 행동적 특징에 관한 정보
특정 개인을 인증, 식별하거나 개인에 관한 특징(연령, 성별, 감정 등)을 알아보기 위해 일정한 기술적 수단을 통해 처리되는 정보

생체인식정보 정의

생체정보 중 특정 개인을 인증, 식별할 목적으로 처리되는 정보

생체정보 수집단계 유의 사항

생체인식 정보 수집 시 개인정보 수집·이용 동의서 징구

개인정보 수집·이용 목적
개인정보 수집 항목
개인정보 보유·이용 기간
동의 거부 권리

특징정보(민감정보) 생성 후 원본정보 보관이 필요한 경우 원본 정보 수집·이용 동의 시 목적 및 보유기간 구분하여 안내
정보통신망을 통해 생체인식정보를 전송하는 경우 안전한 알고리즘으로 암호화한 후 전송하며, SSL/TLS 방식, VPN 적용

생체정보 이용단계 유의사항

이용자에게 인증 또는 식별 목적으로 동의받은 생체인식정보는 무단으로 인사, 연구, 개발 등 다른 목적으로 활용 평가
이용자가 본인의 생체인식 정보 제공과 이용을 결정할 수 있도록 열람·정정·삭제 등의 통제 수단 제공
생체인식 정보 수집·입력은 단말에서 처리

생체정보 보관·파기 단계 유의사항

생체인식 정보 저장 시 암호화하여 저장
암호화에 사용하는 암호키 생성, 이용 보관, 배포, 파기 등에 관한 절차를 수립하여 관리
동의 받은 보유기간 경과 또는 처리목적 달성 시 생체인식정보 지체없이 파기
특징정보 생성시 원본정보를 보관해야 하는 경우 다른 개인정보와 분리하여 별도로 저장·관리

5.2 클라우드 개인정보보호

클라우드 유형	설명	특징
Private	특정 회사 전용 클라우드 구축, 물리적 분할	자원 독점, 보안성 높음, 초기 투자 많음, 확장성 낮음
Public	불특정 다수 인터넷 공유, 논리적 분할	인터넷 접속 용이, 저비용, 다양한 서비스 이용, 보안 낮음, CSP 의존도 높음
Hybrid	Private + Public 조합형	보안 필요 영역은 Private, 그 외는 Public, 데이터/업무 분산, 동기화 필요, 활용 제약 없음, 이용 가이드 준수 필요

이제 다들 아는 내용인 뭐 접근 권한 설정이니 정책 설정이니 설정 오류이니 그러한 것들이 나온다.

5.3 마이데이터 개인정보보호

마이데이터는 다수 정보시스템에 분산되어 있는 정보주체 개인의 정보에 대한 권리를 보장하고, 동의에 따라 본인 데이터를 개방·활용하는 것을 의미
마이데이터의 핵심 권리는 개인정보를 전송, 재배치 하는 개념의 개인정보이동권과 제공 및 활용여부를 통제하는 개인정보자기결정권으로 정의

이거는 뭐 평소에 많이 쓰니깐 다들 아시죠. 토스나 기타 은행 및 카드 사등에서 내 정보 가져가려고 맨날 뭐 동의하라고 하니깐...

5.4 인공지능과 개인정보보호

이것도 그냥 뭐 항상 떠드는 내용들임 대충 프롬프트 인젝션으로 민감정보 노출을 한다던가 더티 스터디를 시켜서 AI가 맛가게 만드는 거나 뭐 그런거임. 그리고 딸~깍 할 수 있다는 거, 그런 다음에 다들 알다시피 정부나 기관 등에서 윤리니 거버넌스니 그런 말 떠드시고 대충 이런 느낌

5.5 IoT와 개인정보보호

이것도 뭐 다들 알다시피 홈캠이나 로봇청소기 최근에는 헤드폰 블루투스 취약점 이용해서 이것저것 하는 거. 당연히 민감정보나 고유식별정보 등이 노출되니깐 많이 위험함. 이런게 다 유출되서 보이스피싱 이런 걸로 돌아옴.

6. 개인정보 관련 판례 및 사례

이것도 그냥 교양 느낌으로 판례나 사례 보면 됨
변호사도 아니고 굳이 외울 필요까진 없음

개인정보보호 파트도 3일만에 싹~ 끝났다. 이번은 뭐랄까 직관적인 느낌이 없었다. 원래는 뭔가 딱딱 맞아가는 느낌이 있는데 역시 이쪽은 한 번 뛰어보는게 느낌이 팍 오는 것 같다. 그래도 어렵지는 않아서... 다들 뭐 느낌 아시죠~

최신화 완료(CPPG, ADsP 일정 추가) 2026 자격증 일정 정리

[SK shieldus Rookies 29기] 40일차

atfield1988 — Sat, 17 Jan 2026 13:16:29 +0900

ISMS-P 인증기준 세부점검 항목(2023.10.31)

1. 관리체계 수립 및 운영 (16개 분야 / 42개 세부항목)

분야	항목	상세내용	주요 확인사항
1.1 관리체계 기반 마련	1.1.1 경영진의 참여	최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립·운영하여야 한다.	정보보호 및 개인정보보호 관리체계 수립·운영 전반에 대한 경영진 참여 책임과 역할을 문서화하고 있는가? 경영진이 의사결정에 적극 참여할 수 있는 보고·검토·승인 절차를 수립·이행하고 있는가?
	1.1.2 최고책임자의 지정	최고경영자는 정보보호 최고책임자와 개인정보보호 책임자를 예산·인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다.	정보보호 및 개인정보보호 업무를 총괄할 최고책임자를 공식 지정하고 있는가? 두 책임자가 임원급이며 법령상 자격요건을 충족하는가?
	1.1.3 조직 구성	정보보호 및 개인정보보호의 효과적 구현을 위한 실무조직, 위원회, 부서별 협의체를 구성·운영하여야 한다.	전문성을 갖춘 실무조직을 구성·운영하고 있는가? 주요 사항을 검토·의결할 위원회를 운영하고 있는가? 부서별 담당자로 구성된 협의체를 운영하고 있는가?
	1.1.4 범위 설정	핵심 서비스와 개인정보 처리 현황을 고려하여 관리체계 범위를 설정하고 문서화하여야 한다.	핵심 서비스 및 핵심자산을 포함하도록 범위를 설정했는가? 예외사항에 대한 사유·승인·근거를 기록·관리하고 있는가? 범위를 명확히 확인할 수 있는 문서를 관리하고 있는가?
	1.1.5 정책 수립	정보보호 및 개인정보보호 정책과 시행문서를 수립하고 경영진 승인을 받아 전파하여야 한다.	최상위 정보보호·개인정보보호 정책을 수립했는가? 지침·절차·매뉴얼 등 시행문서를 마련했는가? 제·개정 시 경영진 승인을 받는가? 최신본을 임직원에게 제공하는가?
	1.1.6 자원 할당	전문 인력을 확보하고 관리체계 운영을 위한 예산 및 자원을 할당하여야 한다.	전문성을 갖춘 인력을 확보했는가? 필요 자원 평가 후 예산·인력을 지원하는가? 연도별 추진계획 수립 및 성과 평가를 수행하는가?
1.2 위험 관리	1.2.1 정보자산 식별	정보자산 분류기준을 수립하고 모든 자산을 식별·분류·중요도 산정 후 목록을 최신으로 관리하여야 한다.	정보자산 분류기준 및 자산목록을 관리하는가? 중요도 및 보안등급을 부여하는가? 정기적으로 최신성을 유지하는가?
	1.2.2 현황 및 흐름분석	정보서비스 및 개인정보 처리 현황과 업무 흐름을 분석·문서화하고 최신성을 유지하여야 한다.	정보서비스 및 업무 흐름을 문서화했는가? 개인정보 흐름도를 작성했는가? 변경사항을 주기적으로 반영하는가?
	1.2.3 위험 평가	연 1회 이상 위험을 평가하고 수용 위험은 경영진 승인을 받아 관리하여야 한다.	위험 식별·평가 방법을 정의했는가? 연간 위험관리계획을 수립했는가? 정기/수시 위험평가를 수행하는가? 목표 위험수준을 설정했는가? 결과를 경영진에 보고하는가?
	1.2.4 보호대책 선정	위험 처리 전략에 따라 보호대책을 선정하고 이행계획을 수립하여 경영진 승인을 받아야 한다.	위험 처리 전략을 수립했는가? 일정·담당자·예산을 포함한 이행계획을 수립·보고했는가?
1.3 관리체계 운영	1.3.1 보호대책 구현	보호대책을 이행계획에 따라 구현하고 경영진이 효과성을 확인하여야 한다.	보호대책 이행 결과를 경영진이 확인할 수 있도록 보고하는가? 운영명세서를 기준별로 작성하는가?
	1.3.2 보호대책 공유	보호대책을 운영·시행할 부서 및 담당자에게 공유·교육하여야 한다.	운영 부서 및 담당자를 명확히 했는가? 관련 내용을 공유 또는 교육했는가?
	1.3.3 운영현황 관리	운영활동을 기록·관리하고 경영진이 효과성을 주기적으로 확인하여야 한다.	운영활동을 문서화·기록하는가? 경영진이 효과성을 주기적으로 확인하는가?
1.4 관리체계 점검 및 개선	1.4.1 법적 요구사항 준수 검토	정보보호 및 개인정보보호 관련 법적 요구사항을 파악하고 준수 여부를 검토하여야 한다.	법적 요구사항을 최신으로 관리하는가? 연 1회 이상 준수 여부를 검토하는가?
	1.4.2 관리체계 점검	독립성과 전문성을 갖춘 인력으로 연 1회 이상 관리체계를 점검하여야 한다.	점검 기준·범위·주기·인력 요건을 포함한 계획을 수립했는가? 독립적인 인력이 점검하고 결과를 경영진에 보고하는가?
	1.4.3 관리체계 개선	문제점의 원인을 분석하고 재발방지 대책을 수립·이행하며 효과성을 확인하여야 한다.	근본 원인 분석 및 개선 대책을 이행하는가? 개선 효과를 확인하기 위한 기준과 절차를 마련했는가?
## 2. 보호대책 요구사항
### 2.1 정책, 조직, 자산 관리

분야	항목	상세내용	주요 확인사항
2.1 정책·조직·자산	2.1.1 정책의 유지관리	정보보호 및 개인정보보호 정책과 시행문서를 법령, 상위정책, 환경변화에 따라 주기적으로 검토·제개정하고 이력관리하여야 한다.	정책·시행문서의 정기적 타당성 검토 절차를 수립·이행하고 있는가? 환경 변화 시 정책 영향 검토 및 제·개정을 수행하는가? 제·개정 시 이해관계자 검토를 거치는가? 정책 및 시행문서의 이력을 관리하고 있는가?
	2.1.2 조직의 유지관리	구성원별 정보보호 및 개인정보보호 역할과 책임을 할당하고 평가 및 의사소통 체계를 수립·운영하여야 한다.	역할과 책임을 명확히 정의했는가? 책임자·담당자 활동 평가체계를 마련했는가? 조직 간 의사소통 체계 및 절차를 수립·이행하고 있는가?
	2.1.3 정보자산 관리	정보자산의 용도와 중요도에 따른 취급 절차와 보호대책을 수립·이행하고 책임자를 지정하여 관리하여야 한다.	보안등급별 취급절차 및 보호대책을 정의·이행하는가? 정보자산별 책임자 및 관리자를 지정했는가?
### 2.2 인적 보안

분야	항목	상세내용	주요 확인사항
2.2 인적 보안	2.2.1 주요 직무자 지정	개인정보·중요정보 취급 및 주요 시스템 접근 직무자를 최소화하여 지정·관리하여야 한다.	주요 직무 기준을 정의했는가? 주요 직무자 및 개인정보취급자 목록을 최신으로 관리하는가? 직무자 지정을 최소화하고 있는가?
	2.2.2 직무 분리	권한 오·남용 방지를 위해 직무 분리 기준을 수립·적용하여야 한다.	직무 분리 기준을 적용하고 있는가? 분리 곤란 시 보완통제를 마련했는가?
	2.2.3 보안 서약	정보자산 접근자에게 보안 및 비밀유지 서약을 받아야 한다.	신규자·외부자 보안서약을 받고 있는가? 퇴직 시 비밀유지 서약을 받는가? 서약서를 안전하게 관리하는가?
	2.2.4 인식제고 및 교육	연간 교육계획을 수립하고 효과성을 평가하여야 한다.	연간 교육계획 수립 및 승인 여부 정기·추가 교육 수행 여부 직무별 전문교육 수행 여부 교육 효과 평가 여부
	2.2.5 퇴직·직무변경 관리	퇴직·이동 시 자산반납 및 권한회수 절차를 수립·이행하여야 한다.	인사변경 정보 공유 여부 권한 회수·조정 절차 이행 여부
	2.2.6 보안 위반 시 조치	법령·정책 위반 시 조치 절차를 수립·이행하여야 한다.	위반 시 처벌 규정 수립 여부 위반 발생 시 절차에 따른 조치 수행 여부

2.3 외부자 보안

분야	항목	상세내용	주요 확인사항
2.3 외부자 보안	2.3.1 외부자 현황 관리	위탁·외부 서비스 현황을 식별하고 위험을 관리하여야 한다.	위탁·외부서비스 현황을 식별했는가? 법적 요구사항 및 위험을 반영했는가?
	2.3.2 외부자 계약 시 보안	계약 시 정보보호·개인정보보호 요구사항을 명시하여야 한다.	외부자 선정 시 보안역량을 고려하는가? 계약서에 보안요구사항을 명시했는가?
	2.3.3 외부자 보안 이행관리	외부자의 보안 이행 여부를 점검·관리하여야 한다.	외부자 점검·감사를 수행하는가? 문제점 개선을 이행하는가? 재위탁 시 동의를 받고 있는가?
	2.3.4 계약 변경·만료 시 보안	계약 종료 시 자산 회수·파기 등 보호대책을 이행하여야 한다.	계약 종료 시 자산 반납·계정 삭제 절차 이행 여부 중요정보 회수·파기 여부

2.4 물리 보안

분야	항목	상세내용	주요 확인사항
2.4 물리 보안	2.4.1 보호구역 지정	통제·제한·접견구역을 지정하고 보호대책을 수립·이행하여야 한다.	보호구역 지정 기준 수립 여부 구역별 보호대책 이행 여부
	2.4.2 출입통제	보호구역 출입을 인가자만 허용하고 기록을 관리하여야 한다.	출입통제 절차 운영 여부 출입기록 보존·검토 여부
	2.4.3 정보시스템 보호	시스템을 환경적 위협으로부터 보호하여 배치해야 한다.	시스템 배치 분리 여부 케이블 보호 여부
	2.4.4 보호설비 운영	화재·전력·환경 보호설비를 운영해야 한다.	보호설비 운영 절차 수립 여부 IDC 위탁 시 요구사항 반영 여부
	2.4.5 보호구역 내 작업	보호구역 작업 절차 및 기록을 관리해야 한다.	작업 승인 절차 수립 여부 작업기록 검토 여부
	2.4.6 반출입 기기 통제	기기·매체 반출입 통제 절차를 수립해야 한다.	반출입 통제 절차 운영 여부 이력 점검 여부
	2.4.7 업무환경 보안	클린데스크 등 업무환경 보호대책을 수립해야 한다.	공용·개인 환경 보호대책 이행 여부 정기 점검 여부

2.5 인증 및 권한관리

분야	항목	상세내용	주요 확인사항
2.5 인증·권한관리	2.5.1 사용자 계정 관리	사용자 계정 등록·해지 및 접근권한 부여·변경·말소 절차를 수립·이행하고 최소권한을 적용하여야 한다.	계정·권한 등록·변경·삭제 절차를 수립·이행하는가? 직무별 최소권한 원칙을 적용하는가? 사용자에게 보안책임을 인식시키는가?
	2.5.2 사용자 식별	사용자별 고유 식별자를 부여하고 공유 계정 사용 시 보완대책을 마련하여야 한다.	사용자별 유일한 식별자를 부여하는가? 공유계정 사용 시 승인 및 보완대책을 마련했는가?
	2.5.3 사용자 인증	안전한 인증절차 및 강화된 인증수단을 적용하여야 한다.	로그인 제한·경고 등 인증통제 적용 여부 외부 접속 시 안전한 인증수단 적용 여부
	2.5.4 비밀번호 관리	비밀번호 작성규칙 및 관리절차를 수립·이행하여야 한다.	안전한 비밀번호 정책을 적용하는가? 정보주체 인증수단을 안전하게 관리하는가?
	2.5.5 특수 계정 관리	관리자 등 특수 계정은 최소화하여 별도로 식별·관리하여야 한다.	특수권한 계정 승인 절차 존재 여부 특수 계정 목록 및 통제 여부
	2.5.6 접근권한 검토	계정·권한 이력을 관리하고 주기적으로 적정성을 검토하여야 한다.	계정·권한 이력 기록 여부 정기 검토 기준·주기 수립 여부 문제 발견 시 조치 절차 존재 여부

2.6 접근통제

분야	항목	상세내용	주요 확인사항
2.6 접근통제	2.6.1 네트워크 접근	네트워크 접근통제 및 영역 분리를 적용하여야 한다.	네트워크 접근경로 식별 여부 영역 분리 및 접근통제 적용 여부 전송구간 암호화 여부
	2.6.2 정보시스템 접근	정보시스템 접근 사용자·방식·수단을 정의하여 통제하여야 한다.	시스템 접근 사용자·위치·수단 정의 여부 유휴 시 자동 차단 여부
	2.6.3 응용프로그램 접근	업무별 접근권한 차등 및 정보노출 최소화를 적용하여야 한다.	응용프로그램 권한 차등 적용 여부 세션·동시접속 통제 여부 중요정보 노출 최소화 여부
	2.6.4 데이터베이스 접근	DB 내 정보 식별 및 접근통제 정책을 수립·이행하여야 한다.	DB 정보 목록 식별 여부 응용·사용자별 접근통제 적용 여부
	2.6.5 무선 네트워크 접근	무선 인증·암호화 및 비인가 AP 차단 대책을 적용하여야 한다.	무선 인증·암호화 적용 여부 비인가 AP 탐지·차단 여부
	2.6.6 원격접근 통제	원격접근 시 강화된 인증 및 보안통제를 적용하여야 한다.	원격접근 승인 절차 여부 관리용 단말 지정 여부 재택·원격업무 보안대책 여부
	2.6.7 인터넷 접속 통제	인터넷 접속 제한 정책을 수립·이행하여야 한다.	업무용 PC 인터넷 통제 여부 서버 외부 접속 차단 여부

2.7 암호화 적용

분야	항목	상세내용	주요 확인사항
2.7 암호화	2.7.1 암호정책 적용	암호화 대상·강도·사용정책을 수립하고 저장·전송 시 암호화를 적용하여야 한다.	암호정책 수립 여부 저장·전송 데이터 암호화 적용 여부
	2.7.2 암호키 관리	암호키 생성·보관·폐기·복구 절차를 수립·이행하여야 한다.	암호키 관리 절차 존재 여부 암호키 접근권한 최소화 여부

2.8 정보시스템 도입 및 개발 보안

분야	항목	상세내용	주요 확인사항
2.8 개발보안	2.8.1 보안 요구사항 정의	시스템 도입·개발·변경 시 보안 요구사항을 정의·반영하여야 한다.	보안 요구사항 정의 여부 안전한 코딩 기준 적용 여부
	2.8.2 요구사항 검토·시험	보안 요구사항 적용 여부를 시험·점검하고 개선하여야 한다.	취약점 점검 수행 여부 문제점 개선 절차 존재 여부
	2.8.3 시험·운영 환경 분리	개발·시험 환경과 운영 환경을 분리하여야 한다.	환경 분리 여부 미분리 시 보완대책 존재 여부
	2.8.4 시험 데이터 보안	시험 시 운영데이터 유출 방지 절차를 수립·이행하여야 한다.	운영데이터 사용 제한 여부 사용 시 승인·삭제 절차 여부
	2.8.5 소스 프로그램 관리	소스 접근 통제 및 변경이력 관리를 수행하여야 한다.	소스 접근통제 여부 변경이력 관리 여부
	2.8.6 운영환경 이관	운영환경 이관 시 통제된 절차를 적용하여야 한다.	이관 절차 수립 여부 운영환경 최소 파일 설치 여부

2.9 시스템 및 서비스 운영관리

분야	항목	상세내용	주요 확인사항
2.9 운영관리	2.9.1 변경관리	정보시스템 변경 시 사전 영향분석, 승인, 시험 및 결과 검토 절차를 수립·이행하여야 한다.	변경관리 절차 수립 여부 변경 영향분석 및 승인 이행 여부 변경 후 결과 검토 여부
	2.9.2 성능 및 용량관리	서비스 안정성을 위해 성능·용량을 모니터링하고 조치하여야 한다.	성능·용량 기준 정의 여부 모니터링 및 조치 이력 관리 여부
	2.9.3 장애관리	장애 발생 시 신속한 대응 및 재발방지 대책을 수립·이행하여야 한다.	장애 대응 절차 존재 여부 장애 분석 및 재발방지 여부
	2.9.4 백업 관리	중요 정보 및 시스템에 대해 백업 및 복구 절차를 수립·이행하여야 한다.	백업 대상·주기·보관정책 수립 여부 복구 시험 수행 여부
	2.9.5 로그 및 접속기록 관리	시스템 로그 및 접속기록을 생성·보관·점검하여야 한다.	로그 생성·보관 기준 수립 여부 접속기록 점검 여부
	2.9.6 악성코드 통제	악성코드 예방·탐지·대응 대책을 수립·운영하여야 한다.	백신 설치·업데이트 여부 악성코드 대응 절차 여부
	2.9.7 취약점 관리	기술적 취약점을 식별·조치·관리하여야 한다.	취약점 점검 주기 수립 여부 조치 및 이력 관리 여부
	2.9.8 패치관리	보안패치를 신속히 적용하고 관리하여야 한다.	패치 정책 수립 여부 패치 적용 및 검증 여부
	2.9.9 시스템 시간관리	시스템 시간 동기화 및 관리 절차를 수립·이행하여야 한다.	표준시간 서버 운영 여부 시간 동기화 점검 여부

2.10 시스템 및 서비스 보안관리

분야	항목	상세내용	주요 확인사항
2.10 보안관리	2.10.1 보안시스템 운영	보안시스템을 설치·운영하고 정책을 최신으로 유지하여야 한다.	보안시스템 목록 관리 여부 정책 업데이트 여부
	2.10.2 침해사고 탐지	침해사고 탐지체계를 구축·운영하여야 한다.	침입탐지·방지 시스템 운영 여부 이벤트 모니터링 여부
	2.10.3 이상행위 분석	로그 분석을 통해 이상행위를 식별·대응하여야 한다.	이상행위 분석 기준 존재 여부 분석 결과 조치 여부
	2.10.4 클라우드 서비스 보안	클라우드 이용 시 책임분담 및 보안통제를 적용하여야 한다.	CSP 보안책임 정의 여부 접근통제·암호화 적용 여부
	2.10.5 공개서버 보안	외부 공개 서버에 대한 보안대책을 수립·이행하여야 한다.	DMZ 분리 여부 취약점 점검 여부
	2.10.6 정보유출 방지	중요정보 유출 방지 대책을 수립·운영하여야 한다.	DLP 등 유출방지 솔루션 운영 여부 반출 통제 여부
	2.10.7 개인정보 처리시스템 보안	개인정보 처리시스템에 대한 보호대책을 강화하여야 한다.	개인정보 접근통제 강화 여부 접속기록 점검 여부

2.11 사고 예방 및 대응

분야	항목	상세내용	주요 확인사항
2.11 사고관리	2.11.1 사고 대응체계	침해사고 및 개인정보 유출 대응체계를 수립·운영하여야 한다.	사고 대응 조직·절차 수립 여부 비상연락체계 운영 여부
	2.11.2 사고 대응 훈련	사고 대응 훈련을 주기적으로 수행하여야 한다.	연간 훈련 계획 수립 여부 모의훈련 수행 여부
	2.11.3 사고 분석 및 보고	사고 발생 시 원인 분석 및 보고·통지를 수행하여야 한다.	사고 원인 분석 수행 여부 법정 보고·통지 여부
	2.11.4 사고 복구 및 재발방지	사고 복구 및 재발방지 대책을 수립·이행하여야 한다.	복구 절차 수립 여부 재발방지 조치 이행 여부

2.12 재해복구

분야	항목	상세내용	주요 확인사항
2.12 재해복구	2.12.1 재해복구 체계	서비스 중단에 대비한 재해복구 체계를 수립·운영하여야 한다.	DR 정책·조직·절차 수립 여부
	2.12.2 복구 목표 설정	RTO·RPO 등 복구 목표를 정의하여야 한다.	중요 서비스별 복구 목표 설정 여부
	2.12.3 복구 자원 확보	복구를 위한 인력·시스템·백업자원을 확보하여야 한다.	복구 자원 확보 및 관리 여부
	2.12.4 재해복구 훈련	재해복구 훈련을 주기적으로 수행하여야 한다.	훈련 계획·수행·평가 여부
	2.12.5 재해복구 개선	훈련·사고 결과를 반영하여 체계를 개선하여야 한다.	개선 이력 관리 여부

3. 개인정보 처리단계별 요구사항

3.1 개인정보 수집 시 보호조치

분야	항목	상세내용	주요 확인사항
3.1 개인정보 수집	3.1.1 개인정보 수집·이용	개인정보는 적법·정당하게 수집·이용하여야 하며, 동의에 근거한 수집 시 적법한 방법으로 동의를 받아야 한다. 만 14세 미만 아동의 경우 법정대리인 동의를 받아야 한다.	적법 요건(동의·법령·계약 등)에 따라 개인정보를 수집하고 있는가? 동의 방법·시점이 적절한가? 동의 시 필수 고지사항을 명확히 표시하고 있는가? 만 14세 미만 아동에 대해 법정대리인 동의를 받고 있는가? 법정대리인 확인 절차를 마련했는가? 아동 대상 고지를 이해하기 쉬운 방식으로 제공하는가? 동의 기록을 보관하고 있는가? 동의 없이 처리 가능한 개인정보를 구분·공개하고 있는가? 동의 없이 추가 이용 시 판단기준을 수립·공개·점검하는가?
	3.1.2 개인정보 수집 제한	처리 목적에 필요한 최소한의 개인정보만 수집하여야 하며, 선택 동의 거부를 이유로 서비스 제공을 제한해서는 안 된다.	최소수집 원칙을 준수하고 있는가? 선택 항목 동의 거부 가능 사실을 고지하는가? 선택 동의 거부를 이유로 서비스 제공을 제한하지 않는가?
	3.1.3 주민등록번호 처리 제한	주민등록번호는 법적 근거가 있는 경우에만 처리 가능하며, 대체수단을 제공해야 한다.	주민등록번호 처리에 명확한 법적 근거가 있는가? 관련 법조항을 식별하고 있는가? 인터넷 회원가입 시 대체수단을 제공하는가?
	3.1.4 민감정보 및 고유식별정보 처리 제한	민감정보 및 고유식별정보는 법령 근거 또는 별도 동의를 받아 처리하여야 한다.	민감정보 별도 동의 또는 법적 근거 여부 고유식별정보(주민번호 제외) 별도 동의 여부 민감정보 공개 위험 시 사전 고지 여부
	3.1.5 개인정보 간접수집	제3자로부터 개인정보를 수집하는 경우 최소수집 원칙을 적용하고, 요구 시 수집 출처 등을 고지해야 한다.	제3자 제공 시 동의 책임을 계약으로 명시했는가? 공개 정보 수집 범위를 준수하는가? 자동수집 정보도 최소수집 원칙을 적용하는가? 요구 시 수집 출처 등을 고지하는가? 수집 출처 고지 기록을 보관하는가?
	3.1.6 영상정보처리기기 설치·운영	영상정보처리기기 설치·운영 시 법적 요건을 준수하고 보호대책을 수립·이행해야 한다.	설치 목적의 적법성 검토 여부 안내판 등 고지 조치 여부 이동형 촬영 시 표시 여부 운영·관리 방침 수립 여부 보관기간 설정 및 만료 시 파기 여부
	3.1.7 마케팅 목적의 개인정보 수집·이용	재화·서비스 홍보, 판매 권유, 광고성 정보 전송 등 마케팅 목적으로 개인정보를 수집·이용하는 경우 그 목적을 명확히 고지하고 별도 동의를 받아야 한다.	마케팅 목적 개인정보 처리에 대해 별도 동의를 받고 있는가? 광고성 정보 전송 시 사전 동의를 받고 있는가? 2년마다 수신동의 여부를 정기적으로 확인하고 있는가? 수신거부 또는 동의 철회 시 즉시 전송을 중단하는가? 전송자 명칭 및 수신거부 방법을 명확히 표시하는가? 야간시간 광고성 정보 전송을 제한하고 있는가?

3.2 개인정보 보유 및 이용 시 보호조치

분야	항목	상세내용	주요 확인사항
3.2 보유·이용	3.2.1 개인정보 현황관리	개인정보 항목·보유량·목적·보유기간 등을 정기적으로 관리해야 한다.	개인정보 현황을 정기적으로 관리하는가? 공공기관의 경우 파일 등록을 수행하는가? 보유 현황을 처리방침에 공개하는가?
	3.2.2 개인정보 품질보장	개인정보의 정확성·완전성·최신성을 보장해야 한다.	최신성 유지 절차를 마련했는가? 정보주체가 직접 정정할 수 있는 방법을 제공하는가?
	3.2.3 이용자 단말기 접근 보호	이용자 단말기 정보·기능 접근 시 명확히 알리고 동의를 받아야 한다.	단말기 접근 권한에 대해 명확히 고지·동의 받는가? 필수 권한 미동의 시 서비스 제한을 하지 않는가? 동의 철회 방법을 제공하는가?
	3.2.4 목적 외 이용·제공	수집 목적 범위를 초과한 이용·제공 시 추가 동의 또는 법적 근거가 필요하다.	목적 내 이용·제공만 수행하는가? 초과 이용·제공 시 동의 또는 법적 근거를 확보하는가? 공공기관의 경우 관련 사항을 공개·기록하는가?
	3.2.5 가명정보 처리	가명정보 처리 시 목적제한·안전조치·재식별 금지 등을 준수해야 한다.	가명처리 절차·기준을 수립했는가? 재식별 방지 수준을 충족하는가? 결합 시 전문기관을 이용하는가? 추가정보 분리·기록 관리 여부 처리기간 경과 시 파기 여부 익명처리 적정성 확보 여부

3.3 개인정보 제공 시 보호조치

분야	항목	상세내용	주요 확인사항
3.3 제공	3.3.1 개인정보 제3자 제공	제3자 제공 시 적법 요건을 충족하고 안전한 제공 절차를 적용해야 한다.	제3자 제공의 법적 요건을 준수하는가? 별도 동의를 적법하게 받는가? 최소 항목만 제공하는가? 제공 내역을 기록·보관하는가? 동의 없는 추가 제공 판단기준을 수립·공개하는가?
	3.3.2 개인정보 처리 위탁	개인정보 처리업무 위탁 시 위탁 내용과 수탁자를 공개해야 한다.	위탁 현황을 홈페이지 등에 공개하는가? 마케팅 위탁 시 정보주체에게 별도 고지하는가?
	3.3.3 영업 양도 등에 따른 이전	개인정보 이전 시 사전 또는 사후 통지를 수행해야 한다.	이전 사실을 정보주체에게 고지하는가? 이전받은 자가 목적 제한을 준수하는가?
	3.3.4 개인정보 국외이전	국외 이전 시 별도 동의 또는 적법 요건을 충족해야 한다.	국외 이전 동의·고지를 수행하는가? 국외 이전 계약에 보호조항을 포함하는가? 국외 이전 보호조치를 이행하는가?

3.4 개인정보 파기 시 보호조치

분야	항목	상세내용	주요 확인사항
3.4 파기	3.4.1 개인정보 파기	보유기간 경과 또는 목적 달성 시 안전하게 파기해야 한다.	파기 정책을 수립했는가? 파기 시점을 준수하는가? 복구 불가능한 방법으로 파기하는가? 파기 기록을 관리하는가?
	3.4.2 목적 달성 후 보유	법령에 따라 보존 시 최소 항목만 분리 보관해야 한다.	법정 보존기간만 보유하는가? 다른 개인정보와 분리 보관하는가? 접근권한을 최소화했는가?

3.5 정보주체 권리보호

분야	항목	상세내용	주요 확인사항
3.5 권리보호	3.5.1 개인정보 처리방침 공개	개인정보 처리방침을 알기 쉽게 작성·공개·현행화해야 한다.	필수 항목을 모두 포함했는가? 상시 접근 가능하도록 공개하는가? 변경 시 지체 없이 공지하는가?
	3.5.2 정보주체 권리보장	열람·정정·삭제·처리정지·동의철회 권리를 보장해야 한다.	권리행사 절차를 쉽게 제공하는가? 법정 기한 내 조치하는가? 동의 철회 시 파기하는가? 이의제기 절차를 마련했는가? 처리 결과를 기록하는가? 삭제·임시조치 절차를 운영하는가?
	3.5.3 정보주체에 대한 통지	개인정보 이용·제공 내역을 주기적으로 통지해야 한다.	법적 통지 대상 여부를 판단하는가? 통지 항목을 모두 포함하는가?

항목별 결함 사례

3.1.1 개인정보 수집제한

회원가입 시 서비스 제공을 위해 필요한 최소한의 정보 외의 기타 정보들을 수집하면 필수항목과 선택항목으로 구분하지 않고 일괄로 동의를 받는 경우
회원가입 양식에서 필수정보와 선택정보로 나눠서 동의를 받고 있으나, 필수정보에 포함된 개인정보 항목에 서비스 제공을 위해 필요한 최소한의 정보 외의 과도한 개인정보 항목이 포함되어 있는 경우
회원가입 양식에서 필수와 선택 정보를 구분하여 별도 동의를 받도록 되어 있었으나, 선택 정보에 대해 동의하지 않아도 회원가입이 가능함을 정보주체가 인지할 수 있도록 구체적으로 알리지 않는 경우(개인정보 입력 양식에 개인정보 항목별로 필수, 선택 여부가 표시되어 있지 않은 경우 등)
홈페이지 회원가입 화면에서 선택사항에 대해 동의하지 않거나 선택정보를 입력하지 않으면 다음 단계로 넘어가지 않거나 회원가입이 차단되는 경우

3.1.2 개인정보 수집 동의

개인정보 보호법을 적용받는 개인정보처리자가 개인정보 수집 동의 시 고지사항에 “동의 거부 권리 및 동의 거부에 따른 불이익 내용”을 누락한 경우
개인정보 수집 동의 시 수집하는 개인정보 항목을 구체적으로 명시하지 않고 ‘~등’과같이 포괄적으로 안내하는 경우
쇼핑몰 홈페이지에서 회원가입 시 회원가입에 필요한 개인정보 외에 추후 물품 구매 시 필요한 결제, 배송 정보를 미리 필수 항목으로 수집하는 경우
Q&A, 게시판을 통해 비회원의 개인정보(이름, 이메일, 휴대폰번호)를 수집하면서 개인정보 수집 동의 절차를거치지 않은 경우
만 14세 미만 아동의 개인정보를 수집하면서 법정대리인의 동의를 받지 않은경우
만 14세 미만 아동에 대해 서비스를 제공하고 있지 않지만, 회원가입 단계에서 입력받는 생년월일을 통해 나이 체크를 하지 않아 법정대리인 동의 없이 가입 된 만 14 미만 아동 회원이 존재한 경우
법정대리인의 진위 여부를 확인하는 절차가 미흡하여 미성년자 등 아동의 법정대리인으로 보기 어려운데도 법정대리인 동의가 가능한 경우
만 14세 미만 아동으로부터 법정대리인 동의를 받는 목적으로 법정대리인의 개인정보(이름, 휴대폰번호)를 수집한 이후 법정대리인의 동의가 장기간 확인되지 않았음에도 이를 파기하지 않고 계속 보유하고 있는 경우
법정대리인 동의에 근거하여 만 14 미만 아동의 개인정보를 수집하였으나, 관련 기록을 보존하지 않아 법정대리인동의와 관련된 사항(법정대리인명, 동의 일시 등)을 확인할 수 없는 경우

3.1.3 주민등록번호 처리 제한

홈페이지 가입과 관련하여 실명확인, 단순 회원관리 목적을 위해 정보주체(이용자)의 동의에 근거하여 주민등록번호를 수집한 경우
정보주체의 주민등록번호를 시행규칙이나 지방자치단체의 조례에 근거하여 수집한 경우
비밀번호 분실 시 본인확인 등의 목적으로 주민등록번호 뒷 6자리를 수집하지만, 관련된 법적 근거가 없는 경우
채용전형 진행단계에서 법적 근거 없이 입사지원자의 주민등록번호를 수집한 경우
콜센터에 상품, 서비스 관련 문의 시 본인확인을 위해 주민등록번호를 수집한 경우
주민등록번호 수집 법정주의 시행 이전에 수집하여 저장하고 있던 주민등록번호를 현재 법적 근거가 없음에도 파기하지 않고 보관하는 경우
주민등록번호 수집의 법적 근거가 있다는 사유로 홈페이지 회원가입 단계에서 대체수단을 제공하지 아니하고 주민등록번호를 입력받는 본인확인 및 회원가입 방법만을 제공한 경우

3.1.4 민감정보 및 고유식별정보의 처리제한

장애인에 대한 요금감면 등 혜택 부여를 위해 장애여부 등 건강에 관한 민감정보를 수집하면서 다른 개인정보 항목에 포함하여 일괄 동의를 받은 경우
회원가입 시 외국인에 한해 외국인등록번호를 수집하면서 다른 개인정보 항목에 포함하여 일괄 동의를 받은 경우
민감정보 또는 고유식별정보에 대하여 별도 동의를 받으면서 고지해야 할 4가지 사항 중에 일부를 누락하거나 잘못된 내용으로 고지하는 경우(동의 거부 권리 및 동의 거부에 따른 불이익 사항을 고지하지 않은 경우 등)

3.1.5 간접수집 보호조치

인터넷 홈페이지, SNS에 공개된 개인정보를 수집하고 있는 상태에서 정보주체(이용자)의 수집출처 요구에 대한 처리절차가 존재하지 않는 경우
개인정보보호법 제17조제1항제1호에 따라 다른 사업자로부터 개인정보 제공동의를 근거로 개인정보를 제공받았으나 이에 대해 해당 정보주체에게 3개월 내에 통지하지 않은 경우(단, 제공받은 사업자가 5만명 이상 정보주체의 민감정보 또는 고유식별정보를 처리하거나 100만명 이상 정보주체의 개인정보를 처리하는 경우)
서비스 제공과 직접 관련이 없는 타겟 마케팅 목적으로 쿠키에 포함된 개인정볼르 동의받지 않고 수집하는 경우

3.1.6 영상정보처리기기 설치, 운영

영상정보처리기기 안내판의 고지 문구가 일부 누락 되어 운영되고 있거나 영상정보처리기기 운영, 관리 방침을 수립, 운영하고 있지 않은 경우
영상정보처리기기 운영, 관리 방침을 수립 운영하고 있으나 방침의 내용과 달리 보관기간을 준수하지 않고 운영되거나, 영상정보 보호를 위한 접근통제 및 로깅 등 방침에 기술한 사항이; 준수 되지 않는 등 경우
영상처리기기의 설치, 운영 사무를 외부업체에 위탁을 주고 있으나 영상정보의 관리 현황 점검에 관한 사항, 손해배상 책임에 관한 사항 등 법령에서 요구한 내용을영상정보처리기기 업무 위탁 계
영상정보처리기기의 설치, 운영 사무를 외부업체에서 위탁을 주고 있으나 영상정보리기기 안내 판에 수택자의 명칭과 연락처를 누락하여 고지한 경우

3.1.7 홍보 및 마케팅 목적 활용 시 조치

‘홍보 및 마케팅’ 목적으로 개인정보를 수집하면서 ‘부가서비스 제공’, ‘제휴 서비스 제공’ 등과 같이 목적을 모호하게 안내하는 경우 또는 다른 목적으로 수집하는 개인정보와 구분하지 않고 포괄 동의를 받는 경우
모바일 앱에서 광고성 정보전송(앱푸시)에 대해 거부 의사를 밝혔으나, 프로그램 오류 등의 이유로 광고성 앱 푸시가 이루어지는 경우
온라인 회원가입 화면에서 문자, 이메일에 의한 광고성 정보 전송에 대해 디폴트로 체크되어 있는 경우
광고성 정보 수신동의 여부에 대해 매 2년 마다 확인을 하지 않은 경우

3.2.1 개인정보 현황관리

개인정보파일을 홈페이지의 개인정보파일 등록 메뉴를 통해 목록을 관리하고 있으나 그 중 일부 홈페이지 서비스와 관련된 개인정보파일의 내용이 개인정보 처리방침에 누락되어 있는 경우
신규 개인정보파일을 구축한지 2개월이 경과하였으나, 해당 개인정보파일을 행정안전부에 등록하지 않은 경우
행정안전부에 등록되어 공개된 개인정보파일의 내용(수집하는 개인정보의 항목 등)이 실제 처리하고 있는 개인정보파일 현황과 상이한 경우

3.2.2 개인정보 품질관리

인터넷 홈페이지를 통해 회원정보를 변경할 때는 본인확인 절차를 거치고 있으나, 고객센터 상담원과의 통화를 통한 회원 정보 변경 시에는 본인확인 절차가 미흡하여 회원정보의 불법적인 변경이 가능한 경우
온라인 회원에 대해서는 개인정보를 변경할 수 있는 방법을 제공하고 있으나, 오프라인 회원에 대해서는 개인정보를 변경할 수 있는 방법을 제공하고 있지 않은 경우

3.2.3 개인정보 표시제한 및 이용시 보호조치

개인정보 표시제한 조치 표준이 마련되어 있지 않거나 이를 준수하지 않는 등의 사유로 동일한 개인정보 항목에 대해 개인정보처리스템 화면 별로 서로 다른 마스킹 기준이 적용된 경우
개인정보처리시스템의 화면 상에서는 개인정보가 마스킹되어 표시되어 있으나, 웹브라우저 소스보기를 통해 마스킹되지 않은 전체 개인정보가 노출되는 경우
개인정보 검색 화면에서 전체적으로 like 검색이 허용되어 성씨만으로도 불필요하게 과도한 개인정보가 조회되는 경우
개인정보를 동의 받은 목적을 벗어나 빅데이터 분석에 활용하기 위해 비식별 조치를 하면서 ‘개인정보 비식별 조치 가이드라인’에 따른 공식적인 적정성 평가 절차를 거치지 않고 내부 인원만으로 적정성 평가를 수행한 경우

3.2.4 이용자 단말기 접근 보호

스마트폰 앱에서 서비스에 불필요함에도 불구하고 주소록, 사진, 문자
정보통신서비스 제공자의 스마트폰 앱에서 스마트폰 내 저장되어 있는 정보 및 설치된 기능에 접근하면서 접근권한에 대한 고지 및 동의를 받지 않고 있는 경우
스마트폰 앱의 접근권한에 대한 동의를 받으면서 선택사항에 해당하는 권한을 필수권한으로 고지하여 동의를 받는 경우
접근권한에 대한 개별동의가 불가능한 안드로이드 6.0 미만 버전을 지원하는 스마트폰 앱을 배포하면서 선택적 접근권한을 함께 설정하여, 선택적 접근권한에 대해 거부할 수 없도록 하고 있는 경우

3.2.5 개인정보 목적 외 이용 및 제공

상품배송을 목적으로 수집한 개인정보를 사전에 동의 받지 않은 자사 상품의 통신판매 광고에 이용한 경우
고객 만족도 조사, 경품 행사에 응모하기 위해 수집한 개인정보를 자사의 할인판매행사 안내용 광고 발송에 이용한 경우
공공기관이 다른 법률에 근거하여 민원인의 개인정보를 목적 외로 타 기관에 제공하면서 관련 사항을 관보 또는 인터넷 홈페이지에 게시하지 않은 경우
공공기관이 범죄 수사의 목적으로 경찰서에 개인정보를 제공하면서 ‘개인정보 목적 외 이용 및 제3자 제공 대장’에 관련 사항을 기록하지 않은 경우

3.3.1 개인정보 제3자 제공

개인정보처리자가 개인정보 제3자 제공 동의를 받을 때 정보주체에게 고지하는사항 중에 일부 사항(동의 거부권, 제공하는 항목 등)을 누락하는 경우
개인정보를 제3자에게 제공하는 과정에서 제3자 제공 동의 여부를 적절히 확인하지 못하여 동의하지 않은 정보주체(이용자)의 개인정보가 함께 제공된 경우
개인정보를 제공 동의를 받을 때, 제공받는자를 특정하지 않고 “~등”과 같이 포괄적으로 안내하고 동의를 받은 경우
회원 가입 단계에서 선택사항으로 제3자 제공 동의를 받고 있으나, 제3자 제공에 동의하지 않으면 회원 가입 절차가 더 이상 진행되지 않도록 되어있는 경우
제공받는 자의 이용 목적과 관련 없이 지나치게 많은 개인정보를 제공하는 경우

확실하게 구별할 것
업무 위탁(삼성전자->삼성sds//고지임 필요한 경우 동의)
제 3자 제공(삼성전자->sk하이닉스//당연 고지&동의임)
홍보 및 마케팅 목적 활용시 조치(삼성전자가 직접 홍보//고지&동의임)

3.3.2 업무 위탁에 따른 정보주체 고지

홈페이지 개인정보 처리방침에 개인정보 처리업무 위탁 사항을 공개하고 있으나 일부 수탁사와 위탁하는 업무의 내용이 누락된 경우
정보통신서비스 제공자이면서 정보통신서비스 제공에 관한 계약 이행과 무관한 개인정보 처리 업무를 위탁하면서 수탁자를 개인정보 처리방침에 공개하는 것으로 갈음하여 이용자의 동의를 받지 않은 경우
정보통신서비스 제공자로부터 개인정보 처리업무를 위탁받은 수탁자가 위탁자의 승인없이 개인정보 처리업무를 재위탁 한 경우

3.3.3 영업의 양수 등에 따른 개인정보의 이전

정보통신서비스 제공자가 영업 양수를 통해 개인정보를 이전 받으면서 양도자가 이미 통지했다는 이유로 개인정보 이전 사실 등에 대해 이용자에게 알리지 않은 경우
개인정보처리자가 영업 양수를 통해 개인정보를 이전 받으면서 양도자가 개인정보 이전 사실을 알리지 않았음에도 개인정보 이전 사실을 정보주체에게 알리지 않은 경우
영업 양수도 등에 의해 개인정보를 이전받으면서 정보주체(이용자)가 이전을 원하지 않은 경우 조치할 수 있는 방법과 절차를 마련하지 않거나, 이를 정보주체(이용자)에게 알리지 않은 경우

3.3.4 개인정보의 국외이전

개인정보를처리하는 과정에서 해외 사업자에게 개인정보 국외 이전이 발생하였으나 이에 대한 동의를 받지 않은 경우
정보통신서비스 제공자가 필수적인 서비스 제공을 위하여 해외 클라우드 서비스를 이용하여 개인정보 처리위탁 및 보관을 하면서 이전되는 국가, 이전 방법 등 관련 사항을 홈페이지에 공개하거나 이용자에게 알리지 않은 경우
정보통신서비스 제공자가 개인정보 국외 이전에 대한 동의를 받으면서 이전받는 자의 명칭(업체명)만 고지하고 이전되는 국가 등에 대해 알리지 않은 경우
정보통신서비스 제공자가 계약의 이행 및 이용자 편의 증진과 직접적인 관련이 없는 개인정보 처리 업무를 위해 해외 클라우드 서비스(일본 도쿄 리전, 미국 버지니어 리전 등)를 사용하면서 국외 이전 관련 이용자 동의를 받지 않은 경우

3.4.1 개인정보의 파기

회원 탈퇴 등 목적이 달성되거나 보유기간이 경과된 경우 회원 DB에서는 해당 개인정보를 파기하였으나 CRM, DW 등 연계된 개인정보처리시스템에 복제되어 저장되어 있는 개인정보를 파기하지 않은 경우
특정 기간 동안 이벤트를 하면서 수집된 개인정보에 대해 이벤트가 종료된 이후에도 파기 기준이 수립되어 있지 않거나 파기가 이루어지고 있지 않은 경우
콜센터에서 수집되는 민원처리 관련 개인정보(상담이력, 녹취 등)를 전자상거래법을 근거로 3년간 보존하고 있으나, 3년이 경과한 후에도 파기하지 않고 보관하고 있는 경과한 후엗도 파기하지 않고 보관하고 있는 경우

3.4.2 처리목적 달성 후 보유 시 조치

탈퇴회원 정보를 파기하지 않고 전자상거래법에 따라 일정기간 보관하면서 Flag값만 변경하여 다른 회원 정보와 동일한 테이블에 보관하고 있는 경우
전자상거래법에 따른 소비자 불만 및 분쟁처리에 관한 기록을 법적 의무보존 기간인 3년을 초과하여 5년간 보존하고 있는 경우
분리 DB를 구성하였으나 접근권한을 별도로 설정하지 않아 업무상 접근이 불필요한 인원도 분리 DB에 자유롭게 접근이 가능한 경우

3.4.3 휴면 이용자 관리

개인정보 유효기간제를 적용받는 정보통신서비스 제공자가 1년 이상 서비스를 접속하지 않은 이용자의 개인정보를 지체 없이 파기 또는 분리 보관하지않고 월단위로 파기 또는 분리보관하고 있는 경우
1년간 홈페이지에 로그인 하지 않은 회원정보를 별도 DB에 분리 보관하였으나, 이 때 분리된 회원 DB에 접근 가능한 관리자를 최소 인원으로 제한하지 않고 기존에 고객 DB의 조회권한이 부여된 개발자, 운영자 모두가 분리된 회원 DB에서 고객정보 조회가 가능한 경우
휴면 이용자의 재이용 요청에 대비하여 회원 DB에 일부 정보를 남겨두면서 이름, 연락처 등 과도한 정보를 저장하고 있는 경우

3.5.1 개인정보처리방침 공개

개인정보 처리방침에 공개되어 있는 개인정보 수집, 제3자 제공 내역이 실제 수집 및 제공하는 내역과 다른 경우
개인정보 보호책임자의 변경, 수탁자 변경 등 개인정보 처리방침 공개 내용 중에 변경사항이 발생하였음에도 이를 반영하여 변경하지 않은 경우
개인정보 처리방침이 공개는 되어 있으나, 명칭이 ‘개인정보 처리방침’이 아니라 ‘개인정보 보호정책’으로 되어 있고 글자 크기, 색상 등을 활용하여 정보주체(이용자)가 쉽게 찾을 수 있도록 되어 있지 않은 경우
개인정보 처리방침이 수차례 개정되었으나 예전에 작성된 개인정보 처리방침의 내용을 확인할 수 있도록 공개되어 있지 않은 경우

3.5.2 정보주체 권리보장

개인정보의 열람, 정정, 삭제, 처리정지 요구 방법을 정보주체가 알 수 있도록 공개하지 않은 경우
개인정보의 열람 요구에 대하여 정당한 사유의 통지 없이 열람 요구를 접수받은 날로부터 10일을 초과하여 회신하고 있는 경우
개인정보의 열람 민원에 대한 처리 내역 기록 및 보관이 이루어지지 않은 경우
정보주체 당사자 또는 정당한 대리인이 맞는지에 대한 확인 절차 없이 열람 통지가 이루어지는 경우
개인정보의 정정, 삭제 요구에 대하여 정정, 삭제 요구를 접수받은 날로부터 10일을 초과하여 회신하는 경우
회원 가입 시에는 온라인을 통해 쉽게 회원 가입이 가능하였으나, 회원 탈퇴 시에는 신분증 등 추가 서류를 제출하게 하거나 오프라인 방문을 통해서만 가능하도록 하는 경우

3.5.3 정보주체에 대한 통지

전년도 정보통신서비스 부문 매출액이 100억 이상이었으나, 금년도에 개인정보 이용내역을 통지하지 않은 경우
개인정보 이용내역을 개별 이용자에게 직접적으로 통지하는 대신 홈페이지에서 팝업창이나 별도 공지사항으로 안내만 한 경우

개인정보 영향평가 제도

1. 개인정보 영향평가 개요

1.1 개념

개인정보 영향평가(이하 영향평가)

개인정보파일을 운용하는 새로운 정보시스템의 도입이나 기존에 운영 중인 개인정보 처리시스템의 중대한 변경 시
시스템의 구축᛫운영᛫변경 등이 개인정보에 미치는 영향(impact)을 사전에 조사᛫예측᛫검토하여 개선방안을 도출하고 이행여부를 점검하는 체계적인 절차

1.2 목적 및 필요성

개인정보 처리가 수반되는 사업 추진 시 해당 사업이 개인정보에 미치는 영향을 사전에 분석하고 이에 대한 개선방안을 수립하여 개인정보 침해사고를 사전에 예방
1.3 평가 대상
일정규모 이상의 개인정보를 전자적으로 처리하는 개인정보파일을 구축‧운영 또는 변경하려는 공공기관은 「개인정보 보호법」 (이하 “법”이라 한다) 제33조 및 「개인정보 보호법 시행령」(이하“영”이라 한다) 제35조에 근거하여 영향평가를 수행
- (5만명 조건) 5만명 이상의 정보주체의 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일
- (50만명 조건) 해당 공공기관의 내부 또는 외부의 다른 개인정보파일과 연계하려는 경우로서, 연계 결과정보주체의 수가 50만 명 이상인 개인정보파일
- (100만명 조건) 100만 명 이상의 정보주체 수를 포함하고 있는 개인정보파일

※ 현시점 기준으로 영향평가 대상은 아니나 가까운 시점(1년 이내)에 정보주체의 수가 법령이 정한 기준 이상이 될 가능성이 있는 경우, 영향평가를 수행할 것을 권고

(변경 시) 영 제35조에 근거하여 영향평가를 실시한 기관이 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하려는 경우, 변경된 부분에 대해서는 영향평가를 실시

※ 법령상 규정된 대상시스템이 아니더라도 대량의 개인정보나 민감한 개인정보를 수집᛫이용하는 기관은 개인정보 유출 및 오᛫남용으로 인한 사회적 피해를 막기 위해 영향평가 수행 가능

개인정보 영향평가를 하지 아니하거나 그 결과를 보호위원회에 제출하지 아니한 자에게는 개인정보 보호법 제75조제2항16호에 근거하여 3천만원 이하의 과태료를 부과함(’24.3.15.시행)

개인정보파일이란?
개인정보파일은 이름, 연락처 등 개인정보를 쉽게 찾을 수 있도록 일정한 기준에 따라 정리해 둔 개인정보의 묶음임.
전자적 형태(DB, 엑셀 등)뿐만 아니라 종이 문서도 포함될 수 있음.
다만 영향평가 대상은 전자적으로 처리 가능한 개인정보파일만 해당하며,
종이 문서라도 PDF 등 전자파일로 변환되면 평가 대상이 될 수 있음.

개인정보처리시스템이란?
개인정보처리시스템은 개인정보파일을 수집·저장·이용·제공·파기하기 위해 구성된 시스템을 말함.
보통 DB와 이를 사용하는 응용시스템(웹·업무 시스템 등)을 포함함.규모는 단일 서버부터 대규모 서버·DB 환경까지 다양함.
영향평가에서는 이 시스템이 법령을 준수하고, 개인정보를 안전하게 보호하며, 정보주체의 권리를 제대로 보장하는지를 확인함.

개인정보파일: 개인정보가 정리되어 있는 데이터 묶음
개인정보처리시스템: 그 개인정보파일을 처리·관리하는 시스템

1.4 평가시기

1.5 평가 수행 주체

공공기관은 개인정보보호위원회가 지정한 영향평가기관에 평가를 의뢰하여 수행

1.6 평가 수행 체계

영향평가는 개인정보보호위원회가 지정한 영향평가기관에 의뢰하여 영향평가를 수행하고 그 결과 및 요약본을 최종 제출받은 날로부터 2개월 이내에 개인정보보호위원회에 제출

2. 용어정의 및 추진근거

2.1 용어정의

개인정보

‘개인정보’란 살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보를 말하며, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는 정보가 포함됨. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려해야 함. 또한 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 가명처리한 정보 즉, 가명정보도 개인정보에 포함(「개인정보 보호법」 제2조제1호)
처리
개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위(「개인정보 보호법」 제2조제2호)
정보주체
처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람(「개인정보 보호법」 제2조제3호)
개인정보파일
개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)(「개인정보 보호법」 제2조제4호)
개인정보처리자
업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등(「개인정보 보호법」 제2조제5호)
고정형 영상정보처리기기
일정한 공간에 설치되어 지속적 또는 주기적으로 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치(「개인정보 보호법」 제2조제7호)

이동형 영상정보처리기기

사람이 신체에 착용 또는 휴대하거나 이동 가능한 물체에 부착 또는 거치(据置)하여 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치(「개인정보 보호법」 제2조제7의2)
민감정보
사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서, 유전자검사 등의 결과로 얻어진 유전정보, 「형의 실효 등에 관한 법률」 제2조제5호에 따른 범죄경력자료에 해당하는 정보, 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보, 인종이나 민족에 관한 정보(「개인정보 보호법」 제23조제1항 및 동법 시행령 제18조)
고유식별정보
법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호를 의미(「개인정보 보호법」 제24조제1항 및 동법 시행령 제19조)
개인정보취급자
개인정보처리자의 지휘‧감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 임직원, 파견근로자, 시간제근로자 등을 말함(개인정보 보호법 제28조제1항)

※ 개인정보취급자는 개인정보 처리 업무를 담당하고 있는 자라면, 정규직, 비정규직, 하도급, 시간제 등 모든 근로 형태를 불문하며, 고용관계가 없더라도 실질적으로 개인정보처리자의 지휘᛫감독을 받아 개인정보를 처리하는 자는 개인정보취급자에 포함(개인정보 보호법령 및 지침᛫고시 해설 제28조)

개인정보처리시스템

데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템(개인정보의 안전성 확보조치 기준 제2조 제1호)
위험도 분석
개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별‧평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안 마련을 위한 종합적으로 분석하는 행위(개인정보의 안전성 확보조치 기준 제2조 제13호)

개인정보 영향평가(이하 영향평가)

법 제33조제1항에 따라 공공기관의 장이 영 제35조에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에 그 위험요인의 분석과 개선 사항 도출을 위한 평가(「개인정보 영향평가에 관한 고시」 제2조제1호)
대상기관
영 제35조에 해당하는 개인정보파일을 구축᛫운용, 변경 또는 연계하려는 공공기관 (「개인정보 영향평가에 관한 고시」 제2조제2호)
개인정보 영향평가기관(이하 평가기관)
영 제36조제1항 각 호의 요건을 모두 갖춘 법인으로서 공공기관의 영향평가를 수행하기 위하여 개인정보보호위원회가 지정한 기관(「개인정보 영향평가에 관한 고시」 제2조제3호)
대상시스템
영 제35조에 해당하는 개인정보파일을 구축᛫운용, 변경 또는 연계하려는 정보시스템 (「개인정보 영향평가에 관한 고시」 제2조제4호)
2.2 추진근거
개인정보 보호법 제33조(개인정보 영향평가)
개인정보 보호법 시행령 제35조(개인정보 영향평가의 대상)
개인정보 보호법 시행령 제36조(평가기관의 지정 및 지정취소)
개인정보 보호법 시행령 제37조(영향평가 시 고려사항)
개인정보 보호법 시행령 제38조(영향평가의 평가기준 등)
개인정보 영향평가에 관한 고시(개인정보보호위ㅎ원회고시 제2025-7호)
[시행 2025.9.5.]

3. 영향평가 수행절차

출처 : 개인정보보호위원회 「개인정보 영향평가 수행안내서」 2025.10.

와우~ 빡세다....
보면서 하면 하겠는데 문제는 시험 어떻게 보냐..?

[SK shieldus Rookies 29기] 39일차

atfield1988 — Sat, 17 Jan 2026 13:15:47 +0900

1. 데이터 3법

1.1 데이터 3법의 종류

개인정보보호법
정보통신망 이용촉진 및 정보보호 등에 관한 법률
신용정보보호법

개보법(개보위), 정통망법(과기부/방통위), 신보법(금융위)으로 외우자

1.2 기타 데이터 관련 법

데이터 산업진흥 및 이용촉진에 관한 기본법(과기부)
공공데이터의 제공 및 이용 활성화에 관한 법률(행안부)
데이터기반행정 활성화에 관한 법률(행안부)
산업 디지털 전환 촉진법(산자부)

1.3 정보보호/개인정보관련주요법률체계

1.4 CBPR 인증 개요

CBPR(Cross-Border Privacy Rules)

국경간프라이버시보호규칙(Cross Border Privacy Rule)의 약자로 2011년 APEC이 전자상거래의 활성화와 회원국간 안전한 개인정보의 상호이전을 위해 개발한 글로벌 개인정보보호 자율인증제도
APEC프라이버시 보호원칙을 기반으로 기업의 개인정보보호체계를 평가하여 인증하는 글로벌 인증제도로, APEC 회원국간 자유롭고 안전한 개인정보이전을지원하기위해 APEC 회원국이 공동으로 개발
CBPR 인증은 회원국 또는 기업의 자율적 참여를 기반으로 운영되며, 제도운영국가에서 별도의 규정이 있지 않는 한 CBPR 인증을 취득한다고해서자국의법령에서 요구하는 의무를 경감하거나 면제하지않음.
그러나 CBPR을 운영하는 국가의 관련 규범이나 법집행체계를 바탕으로 운영되어 인증에 대한 공신력이있음

1.5 GDPR

주제 및 목적
- 1. 본 규정은 개인정보의 처리에 있어 자연인을 보호하기 위한 규칙과 개인정보의 자유로운 이동에 관한 규칙에 대하여 규정한다.
- 1. 본 규정은 자연인의 자유와 기본권, 특히 개인정보 보호에 대한 권리를 보호한다.
- 1. 유럽연합 내에서 개인정보의 자유로운 이동은, 개인정보를 처리함에 있어 자연인의 보호와 연관되어 있다는 이유로, 제한되거나 금지되어서는 안 된다.
전문 2조
- 개인의 개인정보 처리 보호, 특히 개인정보 보호는 개개인의 국적 또는 거주지에 상관없이 개인의 기본적 권리와 자유로써 존중되어야 함을 기본원칙으로 한다.
  이 법은 자유, 안보 및 정의와 경제연합 분야의 성과, 경제 및 사회적 발전, 역내시장 경제의 강화 및 통합, 그리고 개인의 복지 증진을 목적으로 한다.
전문 6조
- 급격한 기술발전과 세계화에 따라 개인정보 보호 분야에 새로운 도전이 제기되었다. 개인정보의 수집 및 공유 규모가 상당한 수준으로 확대되었다. 기술을 통해 민간기업과 공공기관이 업무수행을 위해 전례 없는 규모로 개인정보를 활용하게 되었다. 개인들은 점점 더 많이 개인정보를 공개적으로, 그리고 세계적으로 활용될 수 있도록 하고 있다. 기술은 경제 및 사회생활을 변화시켜왔다.
  앞으로는 기술을 통해 개인정보를 높은 수준으로 보호하는 한편, 유럽연합 역내에서, 그리고 제3국 및 국제기구로 개인정보가 자유로이 이동할 수 있도록 지원해야 한다.

1.6 Privacy 인증마크 개요

Privacy 인증마크

필요성

정보주체의 개인정보를 활용한 IT서비스가 점차 고도화·다양화되어 개인정보의 활용 및 이전이 활발해지면서 개인정보보호에 대한 중요성과 개인정보처리자의 사회적 책임이 증가하고있음.
그러나 개인정보보호법에 대한 이해도가 낮은 개인정보처리자의 경우 서비스 운영시 개인정보보호조치를 취하였음에도 불구하고 안전한 조치인지 혹은법규를 준수하고 있는 것인지 확인하기 어려운 문제점 발생
이에(사)개인정보보호협회(OPA)는 개인정보보호에 대한 법규준수 및 안전한 개인정보관리를 위한 보호조치 이행여부 확인을 위한 제도로 국내 유일 개인정보보호민간인증제도인 PRIVACY 인증마크운영
법적효력
PRIVACY 인증마크는(사)개인정보보호협회가 자체적으로 실시하는 민간자율임의인증으로, 법정 인증인 정보보호 및 개인정보보호관리체계인증(ISMS-P)제도와구분
또한 ISMS-P는 신청기관이 정보보호 및 개인정보보호를 위한 관리체계(Plan-Do-Check-Act)를 갖추었음을 심사하여 인증을 부여하는데 비하여, PRIVACY 인증마크는 기관이 신청한 심사범위의 서비스(웹사이트등) 운영 형태가 개인정보보호법령을 준수하고 있는지를 심사하여 인증을부여

(사)개인정보보호협회는 CPPG 자격증 주관사임

1.7 ISMS & ISMS-P

ISMS-P(Information Security Management System & Personal information management System)는 정보보호 관리체계(ISMS)와 개인정보보호 관리체계(PIMS)를 통합한 인증 제도입니다.

정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시

[시행 2024. 7. 24.] [개인정보보호위원회고시 제2024-8호, 2024. 7. 24., 일부개정][시행 2024. 7. 24.] [과학기술정보통신부고시 제2024-30호, 2024. 7. 24., 일부개정]

법적 근거

정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)

정보통신망법 제47조제3항,제4항
동법 시행령 제47조~제53조의2
동법 시행규칙 제3조

개인정보 보호법

개인정보보호법 제32조의2
동법 시행령 제34조의2~제34조의8

주무부처

과학기술정보통신부

정보보호 및 개인정보보호 관리체계 인증 제도 총괄
인증기관 및 심사기관 지정
인증 정책 수립 및 관리

개인정보보호위원회

개인정보보호 부분의 인증 관리
과학기술정보통신부와 협의하여 공동으로 정책 운영
2020년 8월 5일부터 방송통신위원회 대신 개인정보보호위원회가 주무부처로 변경

정보보호 및 개인정보보호 관리체계의 인증기준

ISMS(정보보호 관리체계 인증)

기존의 ISMS의 의무대상 기업 기관, 개인정보를 보유하지 않거나 개인정보 흐름의 보호가 불필요한 조직 등

관리체계 수립 및 운영과 보호대책 요구사항 영역을 포함함.

정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시
제23조(인증심사 기준)
① 다음 각 호의 인증의 구분에 따라 별표 7의 인증기준을 적용한다.
2. 정보보호 관리체계 인증 : 별표 7 가목 및 나목

ISMS-P(정보보호 및 개인정보보호 관리체계 인증)

보호하고자 하는 정보서비스가 개인정보의 흐름을 가지고 있어 개인정보 처리 단계별 보안강화가 필요한 조직

관리체계 수립 및 운영과 보호대책 요구사항 영역은 ISMS와 동일하지만 개인정보 처리 단계별 요구사항을 추가하면 ISMS-P임.

정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시
제23조(인증심사 기준)
① 다음 각 호의 인증의 구분에 따라 별표 7의 인증기준을 적용한다.

정보보호 및 개인정보보호 관리체계 인증 : 별표 7 가목부터 다목

2. 개인정보보호법 개요

2.1 개인정보보호법이란?

정의

개인의 개인정보를 보호하고, 개인정보와 관련된 기본적 인권을 보장하는 법률

목적

제1조(목적)
이 법은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다.

개정 배경

디지털 플랫폼 정부가 출범 및 글로벌리 디지털과 웹 환경 변화 등이 있다.

주요 개정 사항

신기술·신산업 등 데이터 경제 성장 견인

구분	주요 내용	현행(개정 이전)	개정 내용	관련 조문
개인정보 전송요구권	개인정보 이동권	금융·공공 분야에 한해 제한적 도입	정보주체가 자신의 개인정보를 본인 또는 제3자에게 전송하도록 요구할 수 있는 일반적 권리 신설	제35조의2 (시행일 미지정)
이동형 영상정보처리기기 규정	자율주행차·드론 등	이동형 기기의 영상정보 수집에 대한 입법 미비	이동형 기기 특성을 반영한 수집 기준, 촬영 사실 표시 등 운영 기준 마련	제25조의2, 제2조
온·오프라인 규제 일원화	규제 체계	온·오프라인 규제 이원화로 기업의 법 적용 혼선 및 이중 부담	일반규정과 특례규정 일원화 → ‘동일 행위–동일 규제’ 원칙 적용	전반적 체계 개편

디지털 시대에 적합한 국민의 적극적 권리 강화

구분	주요 내용	현행(개정 이전)	개정 내용	관련 조문
개인정보 처리요건 정비	동의 제도 개선	복잡·형식적 동의로 필수 동의 강제 관행 존재	계약 체결·이행 요건 정비, 필수 동의 관행 개선 및 공중위생 등 안전조치 강화	제1절 (수집·이용·제공)
개인정보처리방침 평가제	처리방침 실효성	처리방침 수립·공개 의무만 있고 내용 판단 기준 부재	처리방침의 적정성·가독성 평가 후 필요 시 개선 권고 가능	제30조의2
자동화된 결정 대응권	AI 기반 의사결정	자동화된 결정에 대한 정보주체 권리 규정 부재	자동화된 결정이 권리·의무에 영향 시 거부·설명 요구권 신설	제37조의2
개인정보 분쟁조정	분쟁 해결 실효성	소액 사건 위주로 적극적 조정 한계	분쟁조정 의무 참여 대상 확대, 사실조사 근거 마련	제45조
사적 목적 이용 금지	내부자 오·남용	개인정보의 사적 이용에 대한 명확한 제재 근거 부재	정당한 권한 없이 또는 권한을 초과하여 타인의 개인정보를 이용하는 행위 금지	금지행위 규정

글로벌 스탠다드에 부합하는 법·제도 정비

구분	주요 내용	현행(개정 이전)	개정 내용	관련 조문
개인정보 국외 이전	국외 이전 요건	국외 이전 시 원칙적으로 별도 동의 필요	동의 외에도 다양한 국외 이전 요건 허용, 국외 이전 중지 명령권 신설	제28조의8 ~ 제28조의11
과징금·벌칙 규정	제재 체계	업무 담당자 형벌 중심 → 기업의 투자 유인 부족	형벌 중심에서 경제 제재 중심으로 전환, 과징금 상한·대상 확대	제70조 ~ 제76조

시행일별 개정사항

시행일(2024.3.15)

공공기관 개인정보 보호수준 평가
개인정보영향 평가 미수행 시 과태료 부과 등
자동화된 결정에 대한 정보주체의 권리 등
개인정보관리 전문기관 등

시행일(2025.3.13)

개인정보 전송요구권 신설

3. 개인정보보호법(2024.3.15)

총칙(제1장)

개인정보보호법

개인정보 처리원칙 등을 규정하고 개인정보에 대한 권리와 이익을 보장하려는 법
일반법

용어의 정의(제2조)

개인정보: 살아 있는 개인에 관한 정보
- 성명, 주민등록번호 및 영상을 통하여 개인을 알아볼 수 있는 정보
- 해당 정보만으로는 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보
- 가명정보도 개인정보
가명처리: 개인정보의 일부를 삭제하거나 일부 또는 전체를 대체하는 방법으로 추가 정보 없이 특정 개인을 알아볼 수 없도록 처리하는 것
처리: 개인정보의 수집+생성+연계+연동+기록+저장+보유+가공+편집+검색+출력+정정+복구+이용+제공+공개+파기 등 유사한 행위 ⇒ 웬만하면 다 처리로 보아야 함
정보주체: 처리되는 정보에 의해 알아볼 수 있는 사람 (정보의 주인)
개인정보파일: 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물 ⇒ 하드카피, DB, 엑셀파일, 서버로그 등 모두 해당 됨
개인정보처리자: 업무를 목적으로 개인정보파일을 운용하기 위하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등
고정형 영상정보처리기기: 일정한 공간에 설치되어 지속적/주기적으로 사람 또는 사람의 영상 등을 촬영하거나 이를 전송하는 장치
이동형 영상정보처리기기: 사람이 신체에 착용 또는 휴대하거나 이동 가능한 물체에 부착/거치하여 사람 또는 사물의 영상 등을 촬영하거나 이를 전송하는 장치
과학적연구: 기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구

개인정보 보호 원칙(제3조)

개인정보의 처리 목적을 명확하게 해야하고 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집해야 함
개인정보의 정확성/완전성/최신성이 보장되도록 해야함(정보정확성의 원칙)
개인정보를 안전하게 관리해야 함(안정성 확보의 원칙)
개인정보를 익명/가명으로 처리하여 수집목적을 달성할 수 있는 경우에는 익명/가명에 의하여 처리될 수 있도록 해야함(수집 제한의 원칙)

정보주체의 권리(제4조)

개인정보 자기결정권 또는 개인정보 자기통제권을 인정하고 있음
자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지 정보주체가 스스로 결정하는 것
여기에는 개인정보 전송을 요구할 권리(마이데이터)도 포함됨

다른 법률과의 관계(제6조)

개인정보보호법은 일반법이므로 다른 법률에 특별한 규정이 있는 경우에는 그 법률의 규정이 우선 적용

개인정보 보호정책의 수립(제2장)

개인정보 보호위원회(제7조)

개인정보 보호에 관한 사무를 독립적으로 수행하기 위해 국무총리 소속으로 개인정보보호위원회를 둔다
보호위원회는 정부조직법에 따른 중앙행정기관으로 취급

보호위원회의 구성(제7조의2)

대통령이 임명/위촉하며 상임위원 2명(위원장 1, 부위원장1)을 포함한 9명의 위원으로 구성
위원장, 부위원장은 국무총리의 제청
2인은 위원장의 제청
2인은 대통령이 소속되거나 소속되었던 정당의 추천
3명은 그 외의 교섭단체 추천

위원의 임기(제7조의4)

위원의 임기는 3년, 한 차례 연임 가능

회의(제7조의10)

회의는 위원장이 필요하다고 인정하거나 재적위원 4분의 1 이상의 요구가 있는 경우 소집
위원장 또는 2인 이상의 위원은 의안을 제의할 수 있음
재적인원 과반수의 출석으로 개의하고, 출석인원의 과반수의 찬성으로 의결

기본계획(제9조)

3년마다 개인정보 보호 기본 계획을 관계 중앙행정기관의 장과 협의하여 수립
보호위원회는 기본계획을 효율적으로 수립하기 위해 개인정보처리자, 관계 중앙행정기관의 장, 지방자치단체의 장 및 관계 기관/단체 등에 개인정보처리자의 법규 준수현황과 개인정보 관리 실태 등에 관한 자료의 제출이나 의견 진술을 요구할 수 있음(제11조)

시행계획(제10조)

중앙행정기관의 장은 기본계획에 따라 매년 개인정보 보호를 위한 시행계획을 작성하여 보호위원회에 제출하고, 보호위원회의 심의/의결을 거쳐 시행

개인정보 보호수준 평가(제11조의2)

보호위원회는 공공기관 중 중앙행정기관 및 소속기관, 지방자치단체 등을 대상으로 매년 개인정보 보호정책/업무의 수행 및 의무 준수여부 등을 평가해야 함
개인정보 보호수준 평가에 필요한 경우 해당 공공기관 장에게 자료 제출을 요구할 수 있음

개인정보 보호지침(제12조)

보호위원회는 표준 개인정보 보호지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있음
중앙행정기관의 장은 표준지침에 따라 소관 분야의 개인정보 처리와 관련한 보호지침을 정하여 개인정보처리자에게 준수를 권장할 수 있음

개인정보 수집, 이용, 제공 등(제3장 1절)

개인정보의 수집/이용(제15조)

정보주체의 동의를 받은 경우
법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위해 불가피한 경우
공공기관이 법령 등에서 정하는 소관 업무의 수행을 위해 불가피한 경우
정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위해 필요한 경우 ⇒ 정보주체 요청의 업무를 할 때에는 동의 없이 처리 가능
동의를 받을 때에는 다음 사항을 정보주체에 알려야함
- 개인정보의 수집/이용 목적
- 수집하려는 개인정보의 항목
- 개인정보의 보유기간
- 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용

개인정보의 수집 제한(제16조)

목적에 필요한 최소한의 개인정보를 수집해야 한다.
최소한의 개인정보는 개인정보처리자가 입증한다.
최소한의 정보 외의 개인정보 수집에 동의를 안하였다는 이유로 정보주체에게 재화 또는 서비스 제공을 거부하면 안됨

개인정보의 제공(제17조)

정보주체의 동의를 받은 경우에만 제3자에게 제공 가능 (공공/법률/사회안정/급박한 생명 제외)
개인정보처리 업무를 위탁받은 수탁자에게는 본 조항이 적용되지 않음
동의를 받을 때에는 다음 사항을 정보주체에게 알려야함
- 개인정보를 제공받는 자
- 개인정보를 제공받는 자의 개인정보 이용 목적
- 제공하는 개인정보의 항목
- 개인정보를 제공받는 자의 개인정보 보유 및 이용기간
- 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용

개인정보의 목적 외 이용/제공 제한(제18조)

개인정보처리자는 개인정보의 범위를 초과하여 이용하거나 제 3자에게 제공 불가
예외사항
- 정보주체로부터 별도의 동의를 받은 경우
- 다른 법률에 특별한 규정이 있는 경우
- 정보주체 또는 제3자의 급박한 생명/신체/재산의 이익을 위해 필요한 경우
- 공공업무

개인정보를 제공받은 자의 이용/제공 제한(제19조)

개인정보를 제공받은 자는 제공받은 목적 외의 용도로 이용하거나 제3자에게 제공해서는 안됨
개인정보처리 업무를 위탁받은 수탁자에게는 본 조항이 적용되지 않음

정보주체 이외로부터 수집한 개인정보의 수집 출처 등 통지(제20조)

개인정보를 공개된 출처로부터 수집하거나 본인이 아닌 제3자로부터 수집하여 처리하는 경우
정보주체의 요구가 있으면 즉시 다음 사항들을 모두 정보주체에게 알려야함
- 개인정보의 수집 출처
- 개인정보의 처리 목적
- 개인정보 처리의 정지를 요구하거나 동의를 철회할 권리가 있다는 사실
개인정보 이용/제공 내역의 통지(제20조의2)
- 주기적으로 정보주체에게 통지하여야 함

개인정보의 파기(제21조)

개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성, 가명정보의 처리 기간 경과 등 개인정보가 불필요하게 되었을 때 지체없이(5일 이내) 파기하여야 함

동의를 받는 방법(제22조)

다음 동의문들은 구분하여 각각 동의를 받아야함
개인정보 수집/이용 동의 (제15조)
개인정보 제3자 제공동의(제17조)
개인정보 목적 외 이용/제공 제한(제18조)
개인정보를 제공받은 자의 이용/제공 제한(제19조)
민감정보 처리(제23조)
고유식별정보 처리(제24조)

아동의 개인정보보호(제22조의 2)

만 14세 미만의 아동의 경우 법정대리인의 동의를 받아야 함

개인정보의 처리 제한(제3장 2절)

민감정보의 처리 제한(제23조)

사상, 신념, 노동조합, 정당의 가입/탈퇴, 정치적 견해, 건강, 성생활 등의 정보를 민감정보라고 함
원칙적으로 처리가 금지되며, 정보주체의 동의를 받은 경우와 법령에서 민감정보의 처리를 요구하거나 허용하는 경우에만 민감정보 처리를 허용

고유식별정보 처리 제한(제24조)

고유식별정보: 개인을 고유하게 구별하기 위해 부여된 식별정보(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호)
원칙적으로 고유식별정보 처리는 하면 안됨
정보주체의 동의를 받더라도 처리할 수 없음(제24조의2)
- 법률/대통령령/국회규칙/대법원규칙/헌법재판소규칙/중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우만 동의받고 처리

고정형 영상처리정보기기의 설치/운영 제한(제25조)

기본적으로 설치가 안되며 고정형 영상정보처리기기를 설치하는 경우에는
설치지역임을 표시하는 안내판을 설치해야 하고
음성은 녹음하면 안됨
목적 외 용도로 사용하면 안됨
고정형 영상정보처리기기 설치가 허용되는 경우
- 법령에서 허용한 경우
- 범죄의 예방 및 수사를 위해 필요한 경우
- 시설의 안전 및 관리, 화재 예방을 위해 정당한 권한을 가진자가 설치/운영하는 경우
- 교통 단속을 위하여 정당한 권한을 가진자가 설치/운영하는 경우
- 교통정보의 수집/분석 제공을 위해 정당한 권한을 가진자가 설치/운영하는 경우
고정형 영상정보처리기기 설치 시 안내판에 다음 사항을 표시할 것
- 설치목적 및 장소
- 촬영의 범위 및 시간
- 관리책임자의 연락처

이동형 영상정보처리기기의 운영 제한(제25조의2)

기본적으로 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상을 촬영하면 안됨
촬영 가능한 경우
- 제15조 1항(개인정보 수집/이용)에 따라 처리할 수 있는 경우 (동의 받은 경우)
- 촬영 사실을 명확히 표시하여 정보주체가 촬영 사실을 알 수 있도록 하였음에도 불구하고 촬영 거부 의사를 밝히지 않은 경우

업무위탁에 따른 개인정보 처리 제한(제26조)

업무위탁 시에는 반드시 문서로 해야하고 위탁계약서에 개인정보보호에 대한 역할과 책임을 명시해야 함
업무 위탁 사항은 개인정보처리방침에 공개해야 함
위탁자가 홍보나 판매를 권유하는 경우에는 처리방침 공개 외에도 별도로 정보주체에게 안내해야 함
수탁자가 위탁받은 업무를 재위탁 하는 경우에는 위탁자의 동의를 받아야 함

영업양도 등에 따른 개인정보 이전 제한(제27조)

개인정보 이전사실을 정보주체에 알려야 한다.
- 개인정보를 이전하려는 사실
- 개인정보를 이전받는 자(영업양수자)의 성명(법인명), 주소, 전화번호 등
- 정보주체가 개인정보 이전을 반대할 경우 조치할 수 있는 방법/절차

개인정보취급자에 대한 감독(제28조)

개인정보처리자: 업무를 목적으로 개인정보를 처리하는자(공공기관, 법인, 단체 및 개인)
개인정보취급자: 개인정보처리자의 지휘/감독을 받아 개인정보를 처리하는 임직원, 파견근로자 등

가명정보의 처리에 관한 특례(제3장 3절)

가명정보의 처리 등(제28조의2)

통계작성, 과학적 연구, 공익적 기록보존 등을 위해 정보주체 동의 없이 가명처리가 가능함
가명정보를 제3자에게 제공할 때에는 특정 개인을 알아보기 위해 사용되는 정보들은 제3자 제공을 하면 안됨

가명정보의 결합 제한(제 28조의3)

가명정보의 결합은 보호위원회 또는 관계 중앙행정기관의 장이 지명하는 전문기관이 수행

가명정보에 대한 안전조치의무 등(제28조의4)

가명처리에서 생성/사용된 추가정보는 가명정보와 분리하여 보관
추가정보가 불필요할 때는 파기할 것
가명정보의 처리 기록을 파기한 날부터 3년 이상 보관하여야 함

가명정보 처리 시 금지의무 등(제28조의5)

재식별 금지

개인정보의 국외 이전(제28조의8)

개인정보를 국외로 제공/처리위탁/보관하여서는 안됨
국외이전 가능한 경우
- 정보주체로부터 별도의 동의를 받은 경우
- 정보주체와 계약의 체결 및 이행을 위하여 개인정보의 처리위탁/보관이 필요한 경우 + 하기 조건 충족
  - 개인정보 처리방침에 공개한 경우
  - 전자우편 등 대통령령으로 정하는 방법에 따라 정보주체에게 알린 경우
동의를 받을 때에는 다음 사항을 알려야 함
- 이전되는 개인정보 항목
- 개인정보가 이전되는 국가, 시기 및 방법
- 개인정보를 이전받는 자의 성명(법인의 경우 법인명과 연락처)
- 개인정보를 이전하는 목적
- 개인정보 이전을 거부하는 방법, 절차 및 거부의 효과

개인정보의 안전한 관리(제4장)

안전조치의무(제29조)

개인정보의 안전한 처리를 위한 내부 관리계획의 수립/시행
개인정보에 대한 접근통제 및 접근권한의 제한 조치
개인정보를 안전하게 저장/전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위/변조 방지
개인정보에 대한 보안프로그램의 설치 및 갱신
개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치

개인정보 처리방침의 수립 및 공개(제30조)

개인정보처리방침을 정하고 공개해야 함

개인정보 보호책임자의 지정(제31조)

개인정보보호 책임자를 지정해야 하고 다음 업무를 수행
- 개인정보 보호 계획의 수립 및 실행
- 개인정보 처리 실태 및 관행의 정기적인 조사 개선
- 개인정보 처리와 관련한 불만의 처리 및 피해 구제
- 개인정보 유출 및 오/남용 방지를 위한 내부통제시스템 구축
- 개인정보 보호 교육 계획의 수립 및 시행
- 개인정보파일의 보호 및 관리 감독

국내 대리인의 지정(제32조)

국내에 주소/영업소가 없는 개인정보처리자로서 국내대리인을 지정하여야 한다.
국내대리인의 역할
- 개인정보 보호책임자의 업무
- 개인정보 유출 등의 통지 및 신고
- 물품/서류 등 자료의 제출

개인정보파일의 등록 및 공개(제33조)

공공기관의 장이 개인정보파일을 운용하는 경우에는 보호위원회에게 사실을 등록해야 함
등록할 사항
- 개인정보파일의 명칭
- 개인정보파일의 운영근거 및 목적
- 개인정보파일에 기록되는 개인정보의 항목
- 개인정보의 처리방법
- 개인정보의 보유기간
- 개인정보를 통상적 또는 반복적으로 제공하는 경우 제공받는 자

개인정보 보호 인증(제32조의2)

ISMS-P 인증의 근거
인증의 유효기간은 3년

개인정보의 영향평가(제33조)

개인정보영향평가(PIA)의 근거
공공기관 중 다음의 경우 영향평가를 의무화 하고 있음
- 5만명 이상의 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일
- 다른 개인정보파일과 연계하는 경우로서 50만명 이상의 개인정보를 연계
- 100만명 이상의 개인정보 보유한 개인정보파일 보유

개인정보 유출 등의 통지/신고(제34조)

유출이 발견되면 72시간 내에 정보주체에게 알려야함
1천명 이상 유출된 경우 인터넷 홈페이지에 30일 이상 게시하는 것으로 통지를 갈음
안내사항
- 유출된 개인정보의 항목
- 유출된 시점과 그 경위
- 유출등으로 인하여 발생할 수 있는 피해를 최소하하기 위하여 정보주체가 할 수 있는 방법
- 개인정보처리자의 대응조치 및 피해 구제절차
- 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처

정보주체의 권리 보장(제5장)

개인정보의 열람(제35조)

정보주체에게 열람을 요구받았을 때에는 10일 이내에 개인정보를 열람할 수 있도록 조치해야 함

개인정보의 정정/삭제(제36조)

정보주체에게 정정/삭제를 요구 받았을 때에는 10일 이내에 개인정보를 정정/삭제 후 결과를 알려야 함
다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있다면 삭제를 요구할 수 없음

개인정보의 처리정지 등(제37조)

정보주체는 자신의 개인정보 처리에 대해 정지를 요구하거나 처리에 대한 동의를 철회할 수 있음

손해배상책임(제39조)

정보주체에게 손해가 발생할 겨우에는 손해액에 5배를 넘지 않는 범위에서 손해배상액을 정할 수 있음
300만원 이하의 범위에서 손해액으로 배상을 청구할 수 있음

개인정보 분쟁조정위원회(제7장)

설치 및 구성(제40조)

위원장 1명을 포함한 30명 이내의 위원으로 구성
당연직위원과 위촉위원으로 구성
국가기관 소속 공무원은 당연직 위원이 되고 위촉위원은 보호위원회 위원장이 위촉함
위원장과 위촉위원의 임기는 2년이며 한차례 연임 가능
조정사건의 분야 별로 5명 이내의 위원으로 구성되는 조정부를 둘 수 있음

조정의 신청 등(제43조~제48조)

개인정보 분쟁의 조정을 원하는 자는 신청할 수 있음
분쟁조정위원회는 분쟁조정 신청을 받은 날부터 60일 이내에 이를 심사하여 조정안을 작성(제44조)
조정안을 받은 당사자가 제시받은 날부터 15일 이내에 수락 여부를 알리지 않으면 수락한 것으로 봄

집단분쟁조정(제49조)

집단분쟁조정을 받으면 분정조정위원회는 14일 이상 절차의 개시를 공고해야 함
집단분쟁조정기간은 공고가 종료된 날의 다음날 부터 60일 이내로 함

개인정보 안전성 확보 조치의 기준(2023.09.22)

개인정보보호법에 따라 안전성 확보에 필요한 기술적/관리적/물리적 안전조치에 관한 최소한의 기준

용어의 정의(제2조)

개인정보처리시스템: 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템
이용자: 정보통신서비스 제공자가 제공하는 서비스를 이용하는 자
접속기록: 개인정보처리시스템에 접속하는자가 접속하여 수행한 업무에 대하여 전자적으로 기록한 것
정보통신망: 전기통신설비를 이용하거나 컴퓨터 기술을 활용하여 정보를 수집/가공/저장/검색/송신/수신하는 체계
P2P: 정보통신망을 통해 서버의 도움 없이 개인과 개인이 직접 연결되어 파일을 공유하는 것
공유설정: 컴퓨터 소유자의 파일을 타인이 조회/변경/복사 등을 할 수 있도록 설정하는 것
생체정보: 지문, 얼굴, 홍채, 음성, 필적 등 개인의 신체적, 생리적, 행동적 특징에 관한 정보
생채인식정보: 생체정보 중 특정 개인을 인증 또는 식별할 목적으로 기술적 수단을 통해 처리되는 정보
인증정보: 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등에 접속을 요청하는 자의 신원을 검증하는데 사용되는 정보
내부망: 인터넷망 차단, 접근 통제시스템 등에 의해 인터넷 구간에서 접근이 차단되는 구간
위험도 분석 : 개인정보 유출에 영향을 미칠 수 있는 다양한 위험 요소를 식별/평가하고 통제할 수 있는 방안 마련을 위한 종합적으로 분석하는 행위

안전조치의 적용 원칙(제3조)

스스로 환경에 맞는 개인정보의 안정성 확보에 필요한 조치를 적용해야함

내부관리 계획의 수립/시행 및 점검(제4조)

내부 관리계획은 전사적인 계획 내에서 개인정보가 관리될 수 있도록 최고경영층으로부터 승인을 받아 모든 임직원/관련자에게 알림
1만명 이상의 정보주체를 다루는 개인정보처리자는 내부관리계획을 수립/시행 하여야 함

접근 권한의 관리(제5조)

개인정보처리자는 권한부여/변경/말소에 대한 내역을 기록하고 3년 이상 보관해야 함

개인정보의 암호화(제7조)

다음 정보는 암호화가 의무
- 고유식별번호(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호)
- 신용카드번호
- 계좌번호
- 생체인식정보
다음에 해당되는 개인정보처리자는 암호키 생성/이용/보관/배포/파기 등에 관한 절차를 수립/시행해야 함
- 10만명 이상의 개인정보를 처리하는 대기업/중견기업/공공기관
- 100만명 이상의 개인정보를 처리하는 중소기업/단체

접속기록의 보관 및 점검(제8조)

개인정보처리 시스템에 대한 접속기록을 1년 이상 보관해야함
다음의 경우 2년 이상 보관해야 함
- 5만명 이상의 개인정보를 처리하는 개인정보처리시스템
- 고유식별정보 또는 민감정보를 처리하는 개인정보처리 시스템
- 개인정보처리자로서 기간통신사업자에 해당하는 경우
개인정보처리시스템의 접속기록 등을 월1회 이상 점검해야 함

악성프로그램 등 방지(제9조)

보안 프로그램은 일 1회 이상 업데이트를 실시하여 최신상태로 유지

물리적 안전조치(제10조)

물리적 보관 장소를 별도로 두고 이에 대한 출입통제절차를 수립/운영해야 함

재해/재난 대비 안전조치(제11조)

다음에 해당하는 개인정보처리자는 재해/재난을 대비하는 보호 조치를 해야함
- 10만명 이상의 개인정보를 처리하는 대기업/중견기업/공공기관
- 100만명 이상의 개인정보를 처리하는 중소기업/단체
위기대응 메뉴얼 등 대응절차를 마련하고 정기적 점검
개인정보처리시스템 백업 및 복구를 위한 계획 마련

개인정보의 파기(제13조)

개인정보 처리자는 개인정보를 파기할 때 다음 중 하나를 통해 수행해야 함
- 안전파괴(소각/파쇄)
- 전용소자장비를 이용하여 삭제
- 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행

정보통신망 이용촉진 및 정보보호 등에 관한 법률(2025.10.1)_개정 및 신설 조항 많음

과학기술정보통신부, 방송통신위원회가 관리함

총칙(제1장)

용어의 정의(제2조)

정보통신망: 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터 기술을 활용하여 정보를 처리하는 정보통신체계
정보통신서비스: 전기통신역무와 이를 이용하여 정보를 제공하거나 정보 제공을 매개하는 것(통신서비스, 인터넷 서비스)
정보통신서비스 제공자: 전기통신사업자와 영리를 목적으로 정보를 제공하거나 정보의 제공을 매개하는자 (인터넷서비스 사업자)
이용자: 정보통신서비스 제공자가 제공하는 서비스를 이용하는자
전자문서: 전자적인 형태로 작성되어 송수신되거나 저장된 문서형식의 자료
침해사고: 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위
- 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부, 고출력전자기파 등의 방법
- 정보통신망의 정상적인 보호/인증을 우회하여 정보통신망에 접근하는 프로그램이나 기술적 장치
통신과금서비스: 통신사가 제공하는 결제 서비스 (휴대폰 소액결제)
전자적 전송매체: 정보통신망을 통하여 부호/문자/음성/영상 등을 수신자에게 전자적 형태로 전송하는 매체

정보통신망 이용촉진 및 정보보호 등에 관한 시책의 마련(제4조)

과학기술통신부 또는 방송통신위원회는 정보사회 기반을 조성하기 위한 시책을 마련해야 함
개정사항 : 과기부 장관 or 방통위는 시책을 마련할 때 「지능정보화 기본법」 제6조에 따른 지능정보사회 종합계획과 연계되도록 하여야 한다.

합성영상등으로 인한 피해 예방을 위한 시책(제4조의2)-신설조항([ 2024. 12. 3.])

① 과학기술정보통신부장관과 방송미디어통신위원회는 인공지능 기술을 이용하여 사람의 얼굴ㆍ신체 또는 음성을 대상으로 한 촬영물ㆍ영상물 또는 음성물을 대상자의 의사에 반하여 편집ㆍ합성 또는 가공한 정보(이하 이 조에서 “합성영상등”이라 한다)의 무분별한 유통으로 인한 성범죄, 명예훼손 또는 사기 등의 피해를 예방하기 위하여 시책을 마련하여야 한다. <개정 2025. 10. 1.>

② 제1항에 따른 시책에는 다음 각 호의 사항이 포함되어야 한다.

합성영상등으로 인한 피해 실태 파악
합성영상등의 유통 실태 파악
합성영상등 관련 국내외 기술 동향 파악
합성영상등의 무분별한 유통 방지를 위한 기술 개발의 촉진
합성영상등의 무분별한 유통 방지 및 피해 예방을 위한 교육ㆍ홍보
그 밖에 합성영상등의 무분별한 유통 방지 및 피해 예방에 필요한 사항

다른 법률과의 관계(제5조)

특별법으로 다른 일반법과 충돌 시에는 이 법을 따름
제7장 통신과금서비스에 한해서 전자금융거래법(특별법)과 경합할 경우 이 법을 우선시 함

접근권한에 대한 동의(제22조의2)

스마트폰의 정보 및 기능에 대한 접근권한이 필요한 경우 필수적 권한과 선택적 권한을 구분하여 명확하게 인지할 수 있도록 알리고 동의를 받아야 함

해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우
- 가. 접근권한이 필요한 정보 및 기능의 항목
- 나. 접근권한이 필요한 이유
해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우
- 가. 접근권한이 필요한 정보 및 기능의 항목
- 나. 접근권한이 필요한 이유
- 다. 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실

② 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공을 거부하여서는 아니 된다.

③ 이동통신단말장치의 기본 운영체제(이동통신단말장치에서 소프트웨어를 실행할 수 있는 기반 환경을 말한다)를 제작하여 공급하는 자와 이동통신단말장치 제조업자 및 이동통신단말장치의 소프트웨어를 제작하여 공급하는 자는 정보통신서비스 제공자가 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근하려는 경우 접근권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를 하여야 한다.

④ 방송미디어통신위원회는 해당 서비스의 접근권한의 설정이 제1항부터 제3항까지의 규정에 따라 이루어졌는지 여부에 대하여 실태조사를 실시할 수 있다. <신설 2018. 6. 12., 2025. 10. 1.>

⑤ 제1항에 따른 접근권한의 범위 및 동의의 방법, 제3항에 따른 이용자 정보 보호를 위하여 필요한 조치 및 그 밖에 필요한 사항은 대통령령으로 정한다. <개정 2018. 6. 12.>

주민등록번호 사용의 제한(제23조의2)

정보통신서비스 제공자는 주민등록번호를 수집/이용할 수 없다
예외케이스
- 본인확인기관으로 지정받은 경우
- 기간통신사업자로부터 이동통신서비스 등을 제공받아 재판매하는 전기통신사업자가 본인확인기관으로 지정받은 이동통신사업자의 본인확인 업무 수행과 관련하여 이용자의 주민등록번호를 수집/이용하는 경우 (알뜰폰 사업자가 통신사 업무를 위해 수집하는 경우)
주민등록번호를 수집ㆍ이용할 수 있는 경우에도 이용자의 주민등록번호를 사용하지 아니하고 본인을 확인하는 방법(이하 “대체수단”이라 한다)을 제공하여야 한다.

본인확인기관의 지정 등(제23조의3)

① 방송미디어통신위원회는 다음 각 호의 사항을 심사하여 대체수단의 개발ㆍ제공ㆍ관리 업무(이하 “본인확인업무”라 한다)를 안전하고 신뢰성 있게 수행할 능력이 있다고 인정되는 자를 본인확인기관으로 지정할 수 있다. <개정 2025. 10. 1.>

본인확인업무의 안전성 확보를 위한 물리적ㆍ기술적ㆍ관리적 조치계획
본인확인업무의 수행을 위한 기술적ㆍ재정적 능력
본인확인업무 관련 설비규모의 적정성

② 본인확인기관이 본인확인업무의 전부 또는 일부를 휴지하고자 하는 때에는 휴지기간을 정하여 휴지하고자 하는 날의 30일 전까지 이를 이용자에게 통보하고 방송미디어통신위원회에 신고하여야 한다. 이 경우 휴지기간은 6개월을 초과할 수 없다. <개정 2025. 10. 1.>

③ 본인확인기관이 본인확인업무를 폐지하고자 하는 때에는 폐지하고자 하는 날의 60일 전까지 이를 이용자에게 통보하고 방송미디어통신위원회에 신고하여야 한다. <개정 2025. 10. 1.>

④ 제1항부터 제3항까지의 규정에 따른 심사사항별 세부 심사기준ㆍ지정절차 및 휴지ㆍ폐지 등에 관하여 필요한 사항은 대통령령으로 정한다.

청소년 보호를 위한 시책의 마련 등(제41조)

① 방송미디어통신위원회는 정보통신망을 통하여 유통되는 음란ㆍ폭력정보 등 청소년에게 해로운 정보(이하 “청소년유해정보”라 한다)로부터 청소년을 보호하기 위하여 다음 각 호의 시책을 마련하여야 한다. <개정 2025. 10. 1.>

내용 선별 소프트웨어의 개발 및 보급
청소년 보호를 위한 기술의 개발 및 보급
청소년 보호를 위한 교육 및 홍보
그 밖에 청소년 보호를 위하여 대통령령으로 정하는 사항

② 방송미디어통신위원회는 제1항에 따른 시책을 추진할 때에는 「방송미디어통신위원회의 설치 및 운영에 관한 법률」제18조에 따른 방송미디어통신심의위원회(이하 “심의위원회”라 한다), 정보통신서비스 제공자단체ㆍ이용자단체, 그 밖의 관련 전문기관이 실시하는 청소년 보호를 위한 활동을 지원할 수 있다. <개정 2025. 10. 1.>

정보통신망에서의 권리보호(제44조)(개정, 신설 많음)

이용자는 사생활 침해 또는 명예훼손 등 타인의 권리를 침해하는 정보를 유통시켜서는 안된다.

② 정보통신서비스 제공자는 자신이 운영ㆍ관리하는 정보통신망에 제1항에 따른 정보가 유통되지 아니하도록 노력하여야 한다.

③ 방송미디어통신위원회는 정보통신망에 유통되는 정보로 인한 사생활 침해 또는 명예훼손 등 타인에 대한 권리침해를 방지하기 위하여 기술개발ㆍ교육ㆍ홍보 등에 대한 시책을 마련하고 이를 정보통신서비스 제공자에게 권고할 수 있다. <개정 2025. 10. 1.>

정보의 삭제요청 등(제44조의2)

사생활 침해 및 명예훼손을 당한자는 해당 정보를 처리한 정보통신서비스 제공자에게 침해사실을 소명하여 삭제 또는 반박내용의 게재를 요청할 수 있다.
침해여부 판단이 어려울 경우 정보에 대한 접근을 임시(30일 이내)로 차단하는 조치를 할 수 있음

이용자 정보의 제공청구(제44조의6)

① 특정한 이용자에 의한 정보의 게재나 유통으로 사생활 침해 또는 명예훼손 등 권리를 침해당하였다고 주장하는 자는 제44조의20에 따른 분쟁조정의 신청 또는 민형사상의 소를 제기하기 위하여 침해사실을 소명하여 제44조의18에 따른 분쟁조정부(이하 “분쟁조정부”라 한다)에 해당 정보통신서비스 제공자가 보유하고 있는 해당 이용자의 정보(제44조의20에 따른 분쟁조정의 신청 또는 민형사상의 소를 제기하기 위한 성명ㆍ주소 등 대통령령으로 정하는 최소한의 정보를 말한다)를 제공하도록 청구할 수 있다. <개정 2026. 1. 6.>

② 분쟁조정부는 제1항에 따른 청구를 받으면 해당 이용자와 연락할 수 없는 등의 특별한 사정이 있는 경우 외에는 그 이용자의 의견을 들어 정보제공 여부를 결정하여야 한다. <개정 2026. 1. 6.>

③ 제1항에 따라 해당 이용자의 정보를 제공받은 자는 해당 이용자의 정보를 제44조의20에 따른 분쟁조정의 신청 또는 민형사상의 소를 제기하기 위한 목적 외의 목적으로 사용하여서는 아니 된다. <개정 2026. 1. 6.>

④ 그 밖의 이용자 정보 제공청구의 내용과 절차에 필요한 사항은 대통령령으로 정한다.

[전문개정 2008. 6. 13.][시행일: 2026. 7. 7.]

불법정보 유통의 금지(제44조의7)

다음 정보들은 정보통신망에 유포하면 안됨
- 정당한 사유 없이 정보통신시스템, 데이터, 프로그램 등을 훼손/변경/위조 또는 운용을 방해하는 정보
- 음란물, 타인명예훼손, 공포심 유발 등이 포함된 정보
- 청소년보호법에 따른 연령확인 표시 의무 이행하지 않은 정보
- 그 외 불법적인 정보(총기/화약, 국가기밀, 사행성도박 등)

제44조의7(불법정보 및 허위조작정보의 유통금지 등)

① 누구든지 정보통신망을 통하여 다음 각 호의 어느 하나에 해당하는 불법정보(이하 “불법정보”라 한다)를 유통하여서는 아니 된다. <개정 2011. 9. 15., 2016. 3. 22., 2018. 6. 12., 2025. 1. 21., 2026. 1. 6.>

음란한 부호ㆍ문언ㆍ음향ㆍ화상 또는 영상을 배포ㆍ판매ㆍ임대하거나 공공연하게 전시하는 내용의 정보
사람을 비방할 목적으로 공공연하게 거짓의 사실을 드러내어 타인의 명예를 훼손하는 내용의 정보

2의2. 공공연하게 인종, 국가, 지역, 성별, 장애, 연령, 사회적 신분, 소득수준 또는 재산상태를 이유로 특정 개인이나 집단(해당 집단에 소속된 개인을 포함한다. 이하 이 호에서 같다)에 대한 다음 각 목의 어느 하나에 해당하는 내용의 정보

가. 직접적인 폭력이나 차별을 선동하는 정보

나. 증오심을 심각하게 조장하여 특정 개인이나 집단의 인간으로서의 존엄성을 현저히 훼손하는 정보

공포심이나 불안감을 유발하는 부호ㆍ문언ㆍ음향ㆍ화상 또는 영상을 반복적으로 상대방에게 도달하도록 하는 내용의 정보
정당한 사유 없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손ㆍ멸실ㆍ변경ㆍ위조하거나 그 운용을 방해하는 내용의 정보
「청소년 보호법」에 따른 청소년유해매체물로서 상대방의 연령 확인, 표시의무 등 법령에 따른 의무를 이행하지 아니하고 영리를 목적으로 제공하는 내용의 정보
법령에 따라 금지되는 사행행위에 해당하는 내용의 정보

6의2. 이 법 또는 개인정보 보호에 관한 법령을 위반하여 개인정보를 거래하는 내용의 정보

6의3. 총포ㆍ화약류(생명ㆍ신체에 위해를 끼칠 수 있는 폭발력을 가진 물건을 포함한다)를 제조할 수 있는 방법이나 설계도 등의 정보

6의4. 「마약류 관리에 관한 법률」에서 금지하는 마약류의 사용, 제조, 매매 또는 매매의 알선 등에 해당하는 내용의 정보

법령에 따라 분류된 비밀 등 국가기밀을 누설하는 내용의 정보
「국가보안법」에서 금지하는 행위를 수행하는 내용의 정보
그 밖에 범죄를 목적으로 하거나 교사(敎唆) 또는 방조하는 내용의 정보

② 누구든지 다음 각 호에 해당한다는 사실을 알았음에도 손해를 끼칠 의도 또는 부당한 이익을 얻을 목적으로 타인의 인격권이나 재산권 또는 공공의 이익을 침해하는 정보로서 다음 각 호의 어느 하나에 해당하는 정보(이하 “허위조작정보”라 한다)를 정보통신망을 통하여 유통하여서는 아니 된다. 다만, 풍자와 패러디는 제외한다. <신설 2026. 1. 6.>

내용의 전부 또는 일부가 허위인 정보(이하 “허위정보”라 한다)
내용을 사실로 오인하도록 변형된 정보(이하 “조작정보”라 한다)

③ 방송미디어통신위원회는 제1항제1호, 제2호, 제2호의2, 제3호부터 제6호까지, 제6호의2부터 제6호의4까지의 정보에 대하여는 심의위원회의 심의를 거쳐 정보통신서비스 제공자 또는 게시판 관리ㆍ운영자로 하여금 그 처리를 거부ㆍ정지 또는 제한하도록 명할 수 있다. 다만, 제1항제2호 및 제3호에 따른 정보의 경우에는 해당 정보로 인하여 피해를 받은 자가 구체적으로 밝힌 의사에 반하여 그 처리의 거부ㆍ정지 또는 제한을 명할 수 없다. <개정 2016. 3. 22., 2018. 6. 12., 2025. 1. 21., 2025. 10. 1., 2026. 1. 6.>

④ 방송미디어통신위원회는 제1항제7호부터 제9호까지의 정보가 다음 각 호의 모두에 해당하는 경우에는 정보통신서비스 제공자 또는 게시판 관리ㆍ운영자에게 해당 정보의 처리를 거부ㆍ정지 또는 제한하도록 명하여야 한다. <개정 2016. 3. 22., 2018. 12. 24., 2024. 12. 3., 2025. 10. 1., 2026. 1. 6.>

관계 중앙행정기관의 장의 요청[제1항제9호의 정보 중 「성폭력범죄의 처벌 등에 관한 특례법」 제14조 및 제14조의2에 따른 촬영물ㆍ편집물ㆍ합성물ㆍ가공물 또는 복제물(복제물의 복제물을 포함한다)과 「아동ㆍ청소년의 성보호에 관한 법률」 제2조제5호에 따른 아동ㆍ청소년성착취물에 대하여는 수사기관의 장의 요청을 포함한다]이 있었을 것
제1호의 요청을 받은 날부터 7일 이내에 심의위원회의 심의를 거친 후 「방송미디어통신위원회의 설치 및 운영에 관한 법률」 제22조제4호에 따른 시정 요구를 하였을 것
정보통신서비스 제공자나 게시판 관리ㆍ운영자가 시정 요구에 따르지 아니하였을 것

⑤ 방송미디어통신위원회는 제3항 및 제4항에 따른 명령의 대상이 되는 정보통신서비스 제공자, 게시판 관리ㆍ운영자 또는 해당 이용자에게 미리 의견제출의 기회를 주어야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 의견제출의 기회를 주지 아니할 수 있다. <개정 2025. 10. 1., 2026. 1. 6.>

공공의 안전 또는 복리를 위하여 긴급히 처분을 할 필요가 있는 경우
의견청취가 뚜렷이 곤란하거나 명백히 불필요한 경우로서 대통령령으로 정하는 경우
의견제출의 기회를 포기한다는 뜻을 명백히 표시한 경우

⑥ 국내에 데이터를 임시적으로 저장하는 서버를 설치ㆍ운영하는 정보통신서비스 제공자 중 사업의 종류 및 규모 등이 대통령령으로 정하는 기준에 해당하는 자는 제1항 각 호에 해당하는 정보의 유통을 방지하기 위하여 다음 각 호의 기술적ㆍ관리적 조치를 하여야 한다. <신설 2024. 1. 23., 2026. 1. 6.>

제3항 및 제4항에 따른 심의위원회의 심의를 거친 제1항 각 호의 정보가 서버에 저장되어 있는지 식별하여 신속하게 접근을 제한하는 조치
제1호에 따라 식별한 정보의 게재자에게 해당 정보의 유통금지를 요청하는 조치
제1호에 따른 조치의 운영ㆍ관리 실태를 시스템에 자동으로 기록되도록 하고, 이를 대통령령으로 정하는 기간 동안 보관하는 조치
그 밖에 제1항 각 호에 해당하는 정보의 유통을 방지하기 위하여 필요한 대통령령으로 정하는 조치

[전문개정 2008. 6. 13.][제목개정 2026. 1. 6.][시행일: 2026. 7. 7.] 제44조의7

제44조의10(손해배상) ① 고의 또는 과실로 불법정보, 허위정보, 조작정보 또는 허위조작정보를 정보통신망에 유통하여 타인에게 손해를 끼친 자는 그 손해를 배상할 책임이 있다.

② 법원은 제1항에 따른 손해배상 청구가 있는 경우 원고에게 손해가 발생한 사실은 인정되나 정보 유통에 따른 구체적인 손해의 액수를 증명하는 것이 사안의 성질상 매우 어려운 때에는 확정판결까지의 소요기간 등 법 위반상태의 지속기간, 변론 전체의 취지 및 증거조사의 결과를 고려하여 5천만원의 범위 내에서 상당한 금액을 손해액(해당 손해의 증명 또는 손해액의 산정이 불가능한 손해액을 말한다)으로 정할 수 있다.

③ 법원은 게재자 중 사실이나 의견을 불특정 다수에게 전달하는 것을 업(業)으로 하는 자로서 정보게재 수, 구독자 수, 조회 수 등이 대통령령으로 정하는 기준에 해당하는 자가 다음 각 호의 요건을 모두 충족하는 경우 제1항 및 제2항에 따라 인정된 손해액의 5배를 넘지 아니하는 범위에서 배상액을 정할 수 있다.

불법정보 또는 허위조작정보임을 알았던 경우
타인에게 손해를 끼칠 의도 또는 부당한 이익을 얻을 목적이 있는 경우
정보 유통으로 인하여 피해자에게 법익(法益)의 침해가 발생한 경우

④ 법원은 제3항의 배상액을 정할 때에는 다음 각 호의 사항을 고려하여야 한다.

불법정보 또는 허위조작정보의 유통으로 인한 피해(원고 외의 자가 입은 피해도 포함한다) 규모 및 정도
불법정보 또는 허위조작정보의 유통으로 가해자가 취득한 경제적 이익
불법정보 또는 허위조작정보의 내용 및 정도, 그 유통의 기간ㆍ횟수, 전파의 정도
불법정보 또는 허위조작정보의 유통에 따라 부과된 형사처벌 및 과징금의 정도
해당 정보가 이미 불법정보 또는 허위조작정보로 판명되어 확정판결을 받은 사실을 알면서도 그와 실질적으로 동일한 내용을 유통하였는지 여부
해당 정보가 「언론중재 및 피해구제 등에 관한 법률」 제2조제16호에 따른 정정보도가 이루어진 사실을 알면서도 그와 실질적으로 동일한 내용을 유통하였는지 여부
해당 정보의 본문 또는 전체 내용과 명백히 다른 내용의 불법정보 또는 허위조작정보를 제목 또는 자막으로 강조하였는지 여부
불법정보 또는 허위조작정보의 유통을 전후하여 피해자에게 금품 또는 부당한 조치를 요구하였는지 여부
가해자의 재산상태
가해자의 피해구제 노력 정도
동일한 피해의 재발 방지를 위하여 부과되는 제재의 수준

⑤ 공공복리 등 공공의 이익을 위한 정보로서 다음 각 호의 어느 하나에 해당하는 정보의 경우 제3항을 적용하지 아니한다.

「공익신고자 보호법」 제2조제1호의 공익침해행위와 관련한 사항에 대한 정보
「부정청탁 및 금품등 수수의 금지에 관한 법률」에서 금지하는 행위와 관련한 사항에 대한 정보
제1호 또는 제2호에 준하는 공익적 관심사와 관련된 사항으로 인정되는 정보

⑥ 제3항에 해당하는 자가 법인 또는 단체인 경우 그 피용자는 제3항에 따른 손해배상책임의 주체가 되지 아니한다. 다만, 그 피용자가 해당 법인 또는 단체를 실질적으로 경영하면서 사실상 대표하고 있는 자로서 제44조의7제1항 또는 제2항에 따른 행위에 가담한 경우 법인 또는 단체와 연대하여 손해배상책임을 진다.

⑦ 손해배상 청구의 대상이 된 정보의 유통이 오로지 공공의 이익을 위한 것으로서 정보의 유통 당시 그 내용을 진실이라고 믿었고 그와 같이 믿은 것에 상당한 이유가 있는 경우 또는 피해자의 동의를 받아 이루어진 경우에는 제1항 및 제3항에 따른 손해배상책임을 지지 아니한다.

[본조신설 2026. 1. 6.][종전 제44조의10은 제44조의18로 이동 <2026. 1. 6.>][시행일: 2026. 7. 7.] 제44조의10

제44조의11(가중 손해배상 청구 남용에 대한 특칙) ① 누구든지 공공의 이익을 위한 정당한 비판과 감시 활동을 방해하려는 목적으로 제44조의10제3항에 따른 손해배상 청구의 소를 제기할 수 없다.

② 제44조의10제3항에 따른 손해배상 청구의 소의 피고는 원고의 청구가 제1항에 해당한다고 판단하는 경우 법원에 중간판결을 신청할 수 있다.

③ 법원은 제2항에 따른 중간판결의 신청이 있는 경우 신청을 받은 날부터 60일 이내에 선고하여야 한다.

④ 법원은 제2항에 따른 신청이 있는 경우 중간판결의 선고 시까지 소송절차를 중지하여야 한다.

⑤ 법원은 다음 각 호의 사정을 고려하여 원고의 제44조의10제3항에 따른 손해배상 청구가 제1항에 따른 청구로 인정되는 경우 판결로써 각하하여야 하며, 그러하지 아니하다고 인정하는 경우에는 결정으로 제2항에 따른 신청을 기각하여야 한다.

게재된 정보가 공공의 이익과 관련된 것인지 여부
원고가 반복적으로 또는 다수의 게재자를 상대로 제44조의10제3항에 따른 손해배상을 청구하였는지 여부

⑥ 법원이 제5항에 따라 소 각하 판결을 하는 경우 원고의 소송비용은 「민사소송법」 제109조제1항에도 불구하고 상대방이 그 소송을 대리한 변호사에게 지급하였거나 지급할 보수 전액을 포함한다.

⑦ 법원은 제5항에 따른 소 각하 판결을 하는 경우 원고가 「공직선거법」 제2조에 따른 선거의 후보자 또는 후보자가 되고자 하는 자, 「공공기관의 운영에 관한 법률」 제4조에 따른 공공기관의 장, 기업 임원과 대주주 등 대통령령으로 정하는 자(이하 “공인등”이라 한다)에 해당하는 때에는 공인등에게 공표 방식을 지정하여 소 각하 판결을 공표할 것을 명하여야 한다.

⑧ 제5항에 따른 기각 결정에 대하여는 즉시항고를 할 수 있다.

⑨ 원고의 제44조의10제3항에 따른 손해배상 청구가 제1항에 따른 청구에 해당하는지 여부 판단을 위한 심문절차, 제2항에 따른 피고의 중간판결 신청에 따른 소송절차의 중지 및 제7항에 따른 판결 공표 방식 등에 관한 구체적인 사항은 대법원규칙으로 정한다.

⑩ 공인등의 제44조의10제3항에 따른 손해배상 청구가 제1항에 해당하여 제5항에 따라 각하될 경우 법원은 공인등에게 피고가 입은 소송절차 대응으로 인한 손해의 배상을 명할 수 있다.

[본조신설 2026. 1. 6.][시행일: 2026. 7. 7.] 제44조의11

제44조의12(불법정보와 허위조작정보의 신고와 조치, 자율적인 운영정책 등) ① 누구든지 대규모 정보통신서비스 제공자가 운영ㆍ관리하는 정보통신망에서 유통되는 불법정보와 허위조작정보를 대규모 정보통신서비스 제공자에게 신고할 수 있다.

② 제1항에 따른 신고를 하려는 자는 불법정보 또는 허위조작정보로 인식한 정보의 구체적 위치, 해당 정보가 불법정보 또는 허위조작정보인 이유와 근거, 연락처 등 대통령령으로 정하는 사항을 기재하여 대규모 정보통신서비스 제공자에게 신고하여야 한다. 이 경우 대규모 정보통신서비스 제공자는 신고를 접수한 후 신고자에게 그 사실을 통지하여야 한다.

③ 제1항에 따른 신고를 접수한 대규모 정보통신서비스 제공자는 해당 정보에 대하여 다음 각 호의 조치를 취하는 경우 해당 조치를 한 정당한 이유와 이의신청 절차 등을 신고자 및 게재자에게 통지하여야 한다.

해당 정보의 삭제 또는 접근차단, 정보노출 제한
게재자 계정의 정지 또는 해지
광고 수익 등 수익화 제한
금전 지급의 중지, 종료, 회수 등 제한
서비스의 전부 또는 일부 중지 또는 종료
청소년유해정보의 표시
신고의 기각
제6항의 자율적인 운영정책에 따른 조치

④ 신고자나 게재자는 제3항에 따른 조치에 대해서 통지를 받은 날부터 6개월 이내에 이의신청을 할 수 있다.

⑤ 신고자 또는 게재자는 대규모 정보통신서비스 제공자의 제3항에 따른 조치 및 제4항에 따른 이의신청에 대한 결정에 대하여 제44조의20에 따른 분쟁조정의 신청을 할 수 있다.

⑥ 대규모 정보통신서비스 제공자는 제44조의4제2항에 따른 자율규제 가이드라인을 참조하여 제1항부터 제5항까지에 따른 불법정보 또는 허위조작정보의 판정기준이나 신고와 조치 등에 관한 자율적인 운영정책을 수립하여야 한다.

⑦ 대규모 정보통신서비스 제공자는 제6항의 자율적인 운영정책을 수립할 때 이해관계자나 시민단체, 전문가 등의 의견을 반영하여야 한다.

⑧ 대규모 정보통신서비스 제공자는 「언론중재 및 피해구제 등에 관한 법률」 제14조제1항에 따른 언론사, 인터넷뉴스서비스사업자 및 인터넷 멀티미디어 방송사업자에 대해서는 제3항제1호부터 제5호까지의 조치를 취할 수 없다.

[본조신설 2026. 1. 6.][시행일: 2026. 7. 7.] 제44조의12

제44조의13(신고 남용에 대한 조치) 대규모 정보통신서비스 제공자는 명백히 근거 없는 신고를 빈번하게 하는 등 신고 제도를 남용한다고 판단한 경우에는 해당 신고자에 대하여 사전 통지 후 다음 각 호의 사항을 고려하여 결정한 합리적인 기간 동안 제44조의12제1항에 따른 신고를 접수하지 아니할 수 있다.

제44조의12제6항에 따라 수립한 자율적인 운영정책에 따른 일정 기간 동안 명백히 근거 없이 신고하였다고 판단된 신고의 수
제1호에 따른 기간 동안 제공된 정보 또는 신고된 정보의 전체 건수 중 제1호에 따른 신고비율
불법정보 또는 허위조작정보의 성격과 신고 남용의 결과가 피해자와 사회에 영향을 미치는 정도
신고자의 의도

[본조신설 2026. 1. 6.][시행일: 2026. 7. 7.] 제44조의13

제44조의14(보고서의 공표 등) ① 대규모 정보통신서비스 제공자는 6개월에 1회 이상 다음 각 호 및 제2항 각 호의 내용이 포함된 보고서를 작성하여 대통령령으로 정하는 접근성이 보장된 방식으로 공표하여야 한다.

일일 평균 이용자의 수, 매출액, 사업의 종류
신고된 불법정보와 허위조작정보의 제44조의7의 유형에 따른 분류와 각 신고 건수 및 이에 따라 처리한 건수, 조치
제44조의12제4항에 따른 이의신청과 이의신청 처리의 건수 및 결과
불법정보 또는 허위조작정보에 관하여 방송미디어통신위원회 등 국가기관으로부터 받은 명령이나 권고의 내용과 수, 명령이나 권고에 따른 조치
그 외 대규모 정보통신서비스 제공자의 약관, 정책 또는 제44조의4제2항에 따른 자율규제 가이드라인에 따라 처리한 정보의 유형, 건수, 조치
그 밖에 대통령령으로 정하는 사항

② 정보통신서비스 제공자 중 일일 평균 이용자의 수, 매출액, 사업의 종류 등이 대통령령으로 정하는 기준에 해당하는 자는 매년 자신이 제공하는 정보통신서비스를 통하여 유통되는 불법촬영물등의 처리에 관하여 다음 각 호의 사항을 포함한 보고서를 작성하여 다음 연도 1월 31일까지 방송미디어통신위원회에 제출하여야 한다.

정보통신서비스 제공자가 불법촬영물등의 유통방지를 위하여 기울인 일반적인 노력에 관한 사항
「전기통신사업법」 제22조의5제1항에 따른 불법촬영물등의 신고, 삭제요청 등의 횟수, 내용, 처리기준, 검토결과 및 처리결과에 관한 사항
「전기통신사업법」 제22조의5제1항에 따른 불법촬영물등의 삭제ㆍ접속차단 등 유통방지에 필요한 절차의 마련 및 운영에 관한 사항
불법촬영물등 유통방지 책임자의 배치에 관한 사항
불법촬영물등 유통방지를 위한 내부 교육의 실시와 지원에 관한 사항

③ 방송미디어통신위원회는 제1항 또는 제2항에 따른 보고서의 사실을 확인하거나 제출된 자료의 진위를 확인하기 위하여 정보통신서비스 제공자에게 자료의 제출을 요구할 수 있다.

[본조신설 2026. 1. 6.][시행일: 2026. 7. 7.] 제44조의14

제44조의15(방송미디어통신위원회의 감독) ① 방송미디어통신위원회는 정보통신서비스 제공자가 제2조제1항제3호의2에 따른 기준에 해당하는지 여부를 확인하기 위하여 정보통신서비스 제공자에게 일일 평균 이용자 수, 매출액, 사업 종류 등의 현황을 요청할 수 있다.

② 방송미디어통신위원회는 대규모 정보통신서비스 제공자의 제44조의12에 따른 신고와 제44조의4의 자율규제 조치 등의 운용에 관하여 조사를 할 수 있다.

[본조신설 2026. 1. 6.][시행일: 2026. 7. 7.] 제44조의15

제44조의16(허위정보등에 대한 사실확인 활동 지원 등) ① 대규모 정보통신서비스 제공자(이하 이 조에서 “제공자”라 한다)는 허위정보 또는 조작정보(이하 이 조에서 “허위정보등”이라 한다)의 처리에 관한 자율적인 정책을 수립ㆍ운영하여야 한다.

② 제공자는 허위정보등에 대한 사실확인 활동의 활성화를 위하여 대통령령으로 정하는 국제적인 사실확인 절차에 관한 규범을 준수하는 사실확인 단체(이하 “사실확인 단체”라 한다)와 사실확인 활동 활성화를 위한 협약을 체결할 수 있다. 이 경우 체결한 협약은 공개하여야 한다.

③ 사실확인 단체는 제2항에 따라 협약을 체결한 제공자가 운영ㆍ관리하는 정보통신망에서 유통되는 허위정보등에 관하여 사실확인된 정보, 사실확인 후 취한 조치 등에 관한 보고서(이하 이 조에서 “보고서”라 한다)를 작성하여 공개하여야 한다.

④ 제공자는 보고서의 내용을 제1항의 허위정보등의 처리에 관한 정책에 따라 서비스에 반영할 수 있다.

⑤ 제공자는 제4항에 따라 보고서의 내용을 서비스에 반영한 사실을 이용자들이 알 수 있도록 공표한다.

⑥ 제1항부터 제5항까지에 따른 사실확인의 범위, 보고서의 공개 방법, 서비스에 반영한 사실의 공표 방법, 협약체결에 필요한 사항은 대통령령으로 정한다.

[본조신설 2026. 1. 6.][시행일: 2026. 7. 7.] 제44조의16

제44조의17(투명성센터 설치 등) ① 방송미디어통신위원회는 이 법에 따른 대규모 정보통신서비스 제공자에 대한 감독과 제44조의16에 따른 사실확인 단체의 활동을 지원하기 위한 정보통신서비스투명성센터(이하 “투명성센터”라 한다)를 설립할 수 있다.

② 투명성센터는 사실확인 활동의 활성화를 위하여 다음 각 호의 업무를 수행한다.

사실확인 단체의 데이터베이스 운영 및 지원
사실확인 단체에 대한 지원
사실확인에 대한 연구와 교육 지원
사실확인 활성화를 위한 국제협력
그 밖에 대통령령으로 정하는 사실확인 활성화에 관한 사업

[본조신설 2026. 1. 6.][시행일: 2026. 7. 7.] 제44조의17

제44조의18(분쟁조정부) ① 심의위원회는 정보통신망을 통하여 유통되는 정보 중 사생활의 침해 또는 명예훼손 등 타인의 권리를 침해하는 정보, 제44조의12제3항의 조치 또는 같은 조 제4항의 이의신청에 대한 결정과 관련된 분쟁의 조정업무를 효율적으로 수행하기 위하여 9명 이상 20명 이하의 위원으로 구성된 분쟁조정부를 둔다. <개정 2020. 6. 9., 2026. 1. 6.>

② 제1항의 분쟁조정부의 위원은 다음 각 호의 사람 중에서 심의위원회의 위원장이 심의위원회의 동의를 받아 임명한다. 이 경우 각 호의 위원은 각각 위원 정수의 5분의 1 이상이 되어야 한다. <개정 2026. 1. 6.>

변호사의 자격이 있는 사람
정보통신서비스 관련 업무에 10년 이상 종사한 사람
언론사의 취재ㆍ보도ㆍ제작 업무(인터넷을 기반으로 하는 취재ㆍ보도ㆍ제작 업무를 포함하여야 한다)에 10년 이상 종사한 사람
그 밖에 정보통신망 또는 언론에 관하여 학식이나 전문성이 인정되는 사람

③ 삭제 <2026. 1. 6.>

④ 분쟁조정부의 설치ㆍ운영 및 분쟁조정 등에 관하여 그 밖의 필요한 사항은 대통령령으로 정한다. <개정 2026. 1. 6.>

[전문개정 2008. 6. 13.][제목개정 2026. 1. 6.][제44조의10에서 이동 <2026. 1. 6.>][시행일: 2026. 7. 7.] 제44조의18

제44조의19(위원의 제척ㆍ기피ㆍ회피) ① 분쟁조정부의 위원(이하 이 조 및 제44조의22에서 “위원”이라 한다)은 다음 각 호의 어느 하나에 해당되면 제44조의18제1항에 따른 분쟁조정 사건(이하 이 조에서 “사건”이라 한다)의 심의ㆍ의결에서 제척된다.

위원 또는 그 배우자나 배우자이었던 사람이 해당 사건의 당사자가 되거나 그 사건에 관하여 공동권리자 또는 공동의무자의 관계에 있는 경우
위원이 해당 사건의 당사자와 친족(「민법」 제777조에 따른 친족을 말한다) 관계에 있거나 있었던 경우
위원이 해당 사건에 관하여 증언이나 감정을 한 경우
위원이 해당 사건에 관하여 당사자의 대리인 또는 임직원으로서 관여하거나 관여하였던 경우

② 당사자는 위원에게 심의ㆍ의결의 공정을 기대하기 어려운 사정이 있으면 분쟁조정부에 기피신청을 할 수 있다. 이 경우 분쟁조정부는 기피신청이 타당하다고 인정하는 경우에는 기피의 결정을 한다.

③ 위원이 제1항 또는 제2항의 사유에 해당하면 스스로 그 사건의 심의ㆍ의결에서 회피할 수 있다.

[본조신설 2026. 1. 6.][시행일: 2026. 7. 7.] 제44조의19

제44조의20(분쟁의 조정) ① 제44조의18제1항의 사항에 관한 분쟁의 조정을 원하는 자는 심의위원회에 분쟁의 조정을 신청할 수 있다.

② 심의위원회는 제1항에 따른 분쟁의 조정 신청을 접수한 경우 분쟁조정부에 의뢰할 수 있다.

③ 제2항에 따라 분쟁의 조정을 의뢰받은 분쟁조정부는 신청을 받은 날부터 60일 이내에 심사하여 조정안을 작성하여야 한다. 다만, 부득이한 사정이 있는 경우에는 분쟁조정부의 의결로 그 기간을 연장할 수 있다.

④ 제3항 단서에 따라 기간을 연장한 경우에는 기간연장의 사유나 그 밖의 기간연장에 대한 사항을 당사자에게 알려야 한다.

[본조신설 2026. 1. 6.][시행일: 2026. 7. 7.] 제44조의20

제44조의21(자료요청 등) ① 분쟁조정부는 제44조의18제1항의 사항에 관한 분쟁의 조정을 위하여 필요한 자료의 제공을 당사자에게 요청할 수 있고, 당사자는 정당한 사유가 없으면 요청에 따라야 한다.

② 분쟁조정부는 필요하다고 인정하면 당사자나 참고인을 출석하도록 하여 그 의견을 들을 수 있다.

[본조신설 2026. 1. 6.][시행일: 2026. 7. 7.] 제44조의21

제44조의22(조정의 효력) ① 분쟁조정부는 제44조의20제3항에 따라 조정안을 작성하면 지체 없이 각 당사자에게 제시하여야 한다.

② 제1항에 따라 조정안을 제시받은 당사자는 제시받은 날부터 15일 이내에 수락 여부를 분쟁조정부에 통보하여야 한다.

③ 당사자가 조정안을 수락하면 분쟁조정부는 즉시 조정서를 작성하여야 하며, 위원 및 각 당사자는 그 조정서에 기명날인하여야 한다.

④ 당사자가 제3항에 따라 조정안을 수락하고 조정서에 기명날인을 하면 당사자 간에 조정서와 같은 내용의 합의가 성립된 것으로 본다.

[본조신설 2026. 1. 6.][시행일: 2026. 7. 7.] 제44조의22

제44조의23(조정의 거부 및 중지) ① 분쟁조정부는 분쟁의 성질상 조정하는 것이 적합하지 아니하다고 인정하거나 부정한 목적으로 신청되었다고 인정하는 경우에는 그 조정을 거부할 수 있다. 이 경우 조정거부의 사유 등을 신청인에게 알려야 한다.

② 분쟁조정부는 신청된 조정사건에 대한 처리절차를 진행하던 중에 한쪽 당사자가 소를 제기하면 그 조정의 처리를 중지하고 이를 당사자에게 알려야 한다.

[본조신설 2026. 1. 6.][시행일: 2026. 7. 7.] 제44조의23

제44조의24(불법정보 또는 허위조작정보 유통에 대한 과징금) ① 방송미디어통신위원회는 정보통신망을 통하여 사실이나 의견을 불특정 다수에게 전달하는 것을 업으로 하는 자가 이미 법원에 의하여 불법정보 또는 허위조작정보로 인정되어 유죄판결, 손해배상판결 또는 「언론중재 및 피해구제 등에 관한 법률」 제26조에 따른 정정보도청구등의 소에 대한 판결이 확정된 정보를 정보통신망에 2회 이상 유통한 경우 10억원 이하의 과징금을 부과할 수 있다.

② 방송미디어통신위원회는 제1항에 따라 과징금을 부과하는 경우 제44조의10제4항 각 호의 사항을 고려하여야 한다.

③ 제1항에 따른 과징금의 부과 대상과 기준은 대통령령으로 정한다.

[본조신설 2026. 1. 6.][시행일: 2026. 7. 7.] 제44조의24

제44조의25(의견제출) ① 방송미디어통신위원회는 제44조의24에 따른 과징금을 부과하기 전에 미리 당사자 또는 이해관계인 등에게 의견을 제출할 기회를 주어야 한다.

② 제1항에 따른 당사자 또는 이해관계인 등은 방송미디어통신위원회 회의에 출석하여 의견을 진술하거나 필요한 자료를 제출할 수 있다.

③ 당사자 또는 이해관계인 등은 제2항에 따른 의견 진술 등을 하는 경우 변호인의 도움을 받거나 그를 대리인으로 지정할 수 있다.

[본조신설 2026. 1. 6.][시행일: 2026. 7. 7.] 제44조의25

제44조의26(과징금의 징수 및 강제징수) ① 방송미디어통신위원회는 제44조의24에 따른 과징금납부의무자가 납부기한 내에 과징금을 납부하지 아니한 경우에는 납부기한의 다음 날부터 납부한 날의 전일까지의 기간에 대하여 연 100분의 40의 범위에서 「은행법」에 따른 은행의 연체이자율을 고려하여 대통령령으로 정하는 가산금을 징수할 수 있다.

② 방송미디어통신위원회는 과징금납부의무자가 납부기한 내에 과징금을 납부하지 아니한 경우에는 기간을 정하여 독촉을 하고, 그 지정된 기간 내에 과징금 및 제1항에 따른 가산금을 납부하지 아니한 경우에는 국세 강제징수의 예에 따라 징수할 수 있다.

③ 방송미디어통신위원회는 제1항 및 제2항에 따른 과징금 및 가산금의 징수 또는 강제징수에 관한 업무를 국세청장에게 위탁할 수 있다.

④ 방송미디어통신위원회는 체납된 과징금의 징수를 위하여 필요하다고 인정하는 경우에는 「국세기본법」 및 「지방세기본법」에 따라 문서로 해당 세무관서의 장이나 지방자치단체의 장에게 과세정보의 제공을 요청할 수 있다. 이 경우 과세정보의 제공을 요청받은 자는 정당한 사유가 없으면 그 요청에 따라야 한다.

⑤ 제1항부터 제4항까지에서 규정한 사항 외에 과징금 또는 가산금의 징수에 필요한 사항은 대통령령으로 정한다.

[본조신설 2026. 1. 6.][시행일: 2026. 7. 7.] 제44조의26

정보통신망의 안정성 확보 등(제45조)

정보통신서비스 제공자는 안정성 및 신뢰성을 확보하기 위한 보호조치를 하여야 함
과학기술정보통신부장관은 정보보호조치에 관한 지침을 고시하고 이를 지키도록 권고할 수 있다.

정보보호 사전점검(제45조의2)

신규 정보통신망을 구축하거나 정보통신서비스를 제공하고자 할 때는 계획/설계단계 부터 정보보호 사전점검을 실시

정보보호 최고책임자의 지정 등(제45조의3)

정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 안전한 관리를 위해 정보보호 최고 책임자를 지정하고 과학기술정보통신부 장관에게 신고 해야 함
신고 의무 예외 대상
- 자본금이 1억원 이하
- 소기업
- 중기업 중 다음 사항 어느하나도 해당되지 않는자
  - 전기통신사업자
  - 정보보호 관리체계 인증을 받아야 하는자
  - 개인정보처리방침을 공개해야 하는 개인정보처리자
  - 신고를 해야 하는 통신판매업자

정보보호 관리체계의 인증(제47조) - ISMS

의무 인증 대상
- 연간 매출액 또는 세입이 1,500억 이상
- 정보통신서비스 기준 매출액 100억원 이상
- 일일 평균 이용자수 100만명 이상
- 상급종합병원
- 재학생수 1만명 이상인 학교
- 전기통신사업자 (통신사)
- 집적정보통신시설 사업자 (데이터센터)
유효기간은 3년이며 연 1회 이상 사후 관리 실시하여 과학기술정보통신부 장관에게 통보

제47조의7(정보보호 관리체계 인증의 특례) ① 과학기술정보통신부장관은 제47조제1항 및 제2항에 따른 인증을 받으려는 자 중 다음 각 호의 어느 하나에 해당하는 자에 대하여 제47조에 따른 인증기준 및 절차 등을 완화하여 적용할 수 있다.

「중소기업기본법」 제2조제2항에 따른 소기업
그 밖에 정보통신서비스의 규모 및 특성 등에 따라 대통령령으로 정하는 기준에 해당하는 자

② 과학기술정보통신부장관은 정보통신망의 안정성ㆍ신뢰성 확보를 위하여 제1항에 관련된 비용 및 기술 등 필요한 지원을 할 수 있다.

③ 과학기술정보통신부장관은 제1항에 따른 인증기준 및 절차 등 그 밖에 필요한 사항을 정하여 고시할 수 있다.

[본조신설 2024. 1. 23.]

정보통신망 침해행위 등의 금지(제48조)

정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 안됨
누구든지 정당한 사유 없이 정보통신망의 정상적인 보호ㆍ인증 절차를 우회하여 정보통신망에 접근할 수 있도록 하는 프로그램이나 기술적 장치 등을 정보통신망 또는 이와 관련된 정보시스템에 설치하거나 이를 전달ㆍ유포하여서는 아니 된다.

침해사고의 신고 등(제48조의3)

정보통신서비스 제공자는 침해사고가 발생하면 그 즉시 과학기술정보통신부나 한국인터넷진흥원에 신고해야 함

정보통신망법 시행령[시행 2025. 11. 4.]

제58조의2(침해사고 신고의 시기, 방법 및 절차) ① 정보통신서비스 제공자는 법 제48조의3제1항 전단에 따라 침해사고를 신고하려는 경우에는 침해사고의 발생을 알게 된 때부터 24시간 이내에 다음 각 호의 사항을 과학기술정보통신부장관 또는 한국인터넷진흥원에 신고해야 한다.

침해사고의 발생 일시, 원인 및 피해내용
침해사고에 대한 조치사항 등 대응 현황
침해사고 대응업무를 담당하는 부서 및 연락처

② 정보통신서비스 제공자는 제1항에 따라 신고한 후 침해사고에 관하여 추가로 확인되는 사실이 있는 경우에는 확인한 때부터 24시간 이내에 신고해야 한다.

③ 제1항 및 제2항에 따른 신고는 서면, 전자우편, 전화, 인터넷 홈페이지 입력 등의 방법으로 할 수 있다.

[본조신설 2024. 8. 13.]

정보통신기반 보호법(2025.1.24)

주요정보통신시설의 교란/마비로 사회적 혼란을 막기 위해 제정

용어의 정리(제2조)

정보통신기반시설: 국가안전보장/행정/국방/치안/금융/통신/운송/에너지 등 업무와 관련된 전자적 제어/관리 시스템 및 정보통신망
전자적침해행위: 정보통신기반시설을 공격하는 행위
- 해킹, 컴퓨터바이러스, 논리/메일폭탄, 서비스거부 또는 고출력 전자기파 등의 방법
- 정상적인 절차를 우회하여 정보통신기반시설에 접근할 수 있도록 하는 프로그램이나 기술장치
침해사고: 전자적 침해행위로 인하여 발생한 사태
관리기관: 주요 정보통신기반시설을 관리하는 기관(보호대책 수립해야할 기관)

정보통신기반보호위원회(제3조)

국무총리 소속하에 정보통신기반보호위원회를 둠
위원장 1인을 포함한 25인 이내의 위원으로 구성
위원장은 국무조정실장이 되고 위원회의 위원은 중앙행정기관의 차관급 공무원과 위원장이 위촉하는 사람

주요 정보통신기반시설 보호대책의 수립등(제5조)

관리기관의 장은 주요정보통신기반시설보호대책을 수립하고 이를 관할하는 중앙행정기관의 장에게 제출하여야 함
지방자치단체의 장이 관리/감독하는 관리기관의 주요정보통신기반시설보호대책은 지방자치단체의 장이 행정안전부 장관에게 제출

주요정보통신기반시설 보호대책 이행 여부의 확인(제5조의2)

과학기술통신부장관과 국가정보원장 등 국가기관의 장은 관리기관에 대하여 보호대책 이행여부를 확인할 수 있음
과학기술통신부장관과 국가정보원장은 보호대책 이행여부 확인결과를 정보통신기반보호위원회에 보고해야 함

주요정보통신기반시설 보호계획의 수립 등(제6조)

주요정보통신기반시설을 관할하는 관계중앙행정기관의 장은 해마다 소관분야 주요정보통신기반시설에 대한 보호계획을 수립/시행해야 함

주요정보통신기반 시설의 지정(제8조)

중앙행정기관의 장은 소관분야 정보통신기반시설 중 중요한 시설을 주요정보통신기반시설로 지정할 수 있음

취약점 분석/평가(제9조)

관리기관의 장은 해마다 주요정보통신기반시설에 대한 보호대책을 수립해야함

보호지침(제10조)

관계중앙행정기관의 장은 주요정보통신기반시설에 대하여 보호지침을 제정하고 해당 분야 관리기관의 장에게 이를 지키도록 명령할 수 있음

주요정보통신기반시설 침해행위 등의 금지(제 12조)

누구든지 다음 행위를 하면 안됨
- 권한 없이 주요정보통신기반시설에 접근하거나 권한을 초과하는 데이터를 조작/파괴/은닉/유출
- 주요정보통신기반시설의 데이터를 파괴하거나 운영을 방해할 목적으로 악성프로그램을 투입하는 행위
- 운영을 방해할 목적으로 대량의 신호를 보내거나 부정한 명령을 처리하도록 하는 등의 행위

침해사고의 통지(제13조)

관리기관의 장은 침해사고를 인지하면 관계 행정기관, 수사기관, 인터넷진흥원에 그사실을 통지하여야 함

대책본부의 구성등(제15조)

중대한 침해사고가 발생할 경우 대책본부를 한시적으로 운영 가능

정보공유/분석센터(제16조)

정보공유/분석센터(ISAC, Information Sharing &Analysis Center)는 전자적 침해행위 정보를 분석하고 침해사고 발생 시 이를 관계기관에게 신속하게 배포하는 시스템

7장. 벌칙

주요정보통신기반시설을 교란ㆍ마비 또는 파괴한 자는 10년 이하의 징역 또는 1억원 이하의 벌금에 처한다.

비밀유지의 규정을 위반하여 비밀을 누설한 자는 5년 이하의 징역, 10년 이하의 자격정지 또는 5천만원 이하의 벌금에 처한다.

다음 각 호의 어느 하나에 해당하는 자에게는 5천만원 이하의 과태료를 부과한다. 다만, 관리기관의 장이 관계중앙행정기관의 장(그 소속기관의 장인 경우를 포함한다)인 경우에는 그러하지 아니하다.

제10조제1항에 따른 명령을 이행하지 아니한 자
제14조제2항 또는 제3항에 따른 복구 및 보호조치 명령을 이행하지 아니한 자

다음 각 호의 어느 하나에 해당하는 자에게는 3천만원 이하의 과태료를 부과한다. 다만, 관리기관의 장이 관계중앙행정기관의 장(그 소속기관의 장인 경우를 포함한다)인 경우에는 그러하지 아니하다.

제11조제1항 또는 제2항에 따른 보호조치 명령을 위반한 자
다음 각 호의 어느 하나에 해당하는 자에게는 500만원 이하의 과태료를 부과한다. 다만, 관리기관의 장이 관계중앙행정기관의 장(그 소속기관의 장인 경우를 포함한다)인 경우에는 그러하지 아니하다.
제9조제1항을 위반하여 정기적으로 취약점을 분석ㆍ평가하지 아니한 자
제9조제2항을 위반하여 취약점 분석ㆍ평가 명령에 따르지 아니한 자

과태료는 대통령령으로 정하는 바에 따라 관계중앙행정기관의 장 또는 과학기술정보통신부장관이 부과ㆍ징수한다.

수업을 배우긴 배웠는데 이게 참... 정리하기가 뭐하네
일단 여기까지 하고 나중에 수정해야지

[SK shieldus Rookies 29기] 38일차

atfield1988 — Sat, 17 Jan 2026 13:15:02 +0900

오늘 드디어 모듈 프로젝트를 끝냈다!
할 수 있는 역량까지는 모두 보고서에 담아낸 것 같아서 괜찮은 듯 싶다.

아래는 우리가 발표한 보고서의 내용이다!

[결과보고서] 클라우드 인프라 보안 취약점 진단 및 조치

프로젝트명: JM Collection 모듈프로젝트
작성조: 모듈프로젝트_O조
기간: 2025.12.31 ~ 2026.01.06

1. 프로젝트 개요 (Project Overview)

1.1. 배경 및 목적 (Background & Objectives)

디지털 전환 가속화로 기업 핵심 서비스 인프라에 대한 사이버 위협이 고도화되고 있습니다. 특히 클라우드 기반 Web-App(2-Tier) 구조는 외부 공격의 1차 접점(Web)과 중요 데이터 처리 구간(WAS)으로 구성되어 있어, 단일 취약점만으로도 서비스 중단 및 데이터 유출 등 치명적 피해로 이어질 수 있습니다.

본 보고서는 web-ec2 및 was-ec2를 대상으로 ISO/IEC 27001:2022 및 KISA 주요정보통신기반시설 기술적 취약점 분석·평가 기준에 따라 심층 진단을 수행함. 단순 취약점 식별을 넘어 잠재 결함 제거 및 ISMS 인증 기준을 충족하는 지속 가능한 보안 관리체계 수립을 목적으로 합니다.

1.2. 점검 수행 범위 (Scope of Work)

본 프로젝트는 서비스 가용성과 데이터 무결성에 직접적인 영향을 미치는 핵심 서버군을 대상으로 합니다.

구분	대상 자산명	OS 유형	주요 역할	진단 기준
Web	web-ec2	Linux (Unix 계열)	대고객 서비스 접점 HTTP 요청 처리	KISA U-01 ~ U-72 (Unix 서버 점검 항목)
Was	was-ec2	Windows Server	비즈니스 로직 처리 데이터 연동	KISA W-01 ~ W-80 (Windows 서버 점검 항목)

1.3. 수행절차 (Process)

본 인프라 점검은 ISMS-P 위험 관리 프로세스에 따라 4단계로 진행함.

현황 분석 (As-Is Analysis): 대상 자산 식별 및 정보보호 관리체계 현황 파악
위험 평가 (Risk Assessment): 기술적 취약점 스크립트 진단 및 모의 해킹 시나리오 검토
보호대책 수립 (To-Be Planning): 식별된 위험에 대한 수용 불가 위험(DoA) 선정 및 이행 계획(RTP) 수립
이행 및 보고 (Reporting): 조치 가이드 배포 및 최종 완료 보고서 작성

1.4. 현황분석 (As-IS Analysis)

1.4.1. 클라우드 아키텍쳐 구성

네트워크 구성
- Internet Gateway (IGW) / NAT Gateway: 외부 통신 경로 확보
- Subnet:
  - Web-sub-1, 2 (Public): EIP 할당 (Web Tier)
  - Was-sub-1, 2 (Private): EIP 미할당 (WAS Tier)
- Routing Table: Public(IGW 연결) / Private(NAT 연결) 분리
Web Tier
- ALB: web-tg:80으로 트래픽 분산
- Security Group: 80 포트(Any Open), Outbound(web-sg)
- Auto Scaling: Min 1 / Max 3 (Desired 2)
- Web-EC2: Linux 기반, 정적 콘텐츠 처리
WAS Tier
- NLB: was-tg:8009으로 트래픽 전달
- Security Group: 8009 포트(From web-sg Only)
- Auto Scaling: Min 1 / Max 3 (Desired 2)
- Was-EC2: Windows 기반, 비즈니스 로직 처리

1.4.2. 정보자산 목록

구분	대상 자산명	OS 유형	주요 역할
Web Server	web-ec2	Linux (Unix)	대고객 서비스 접점, HTTP 요청 처리
Was Server	was-ec2	Windows Server	비즈니스 로직 처리, 데이터 연동

1.5. 점검 일정

기간: 2025.12.30 ~ 2026.01.06
단계: 대상선정/현황파악(12/30) → 취약점 진단(12/31) → 결과분석(01/05) → 대응방안/보고서(01/06)

1.6. 진단방법

본 평가는 화이트박스(White-box) 방식을 채택하여 관리자 권한(root)을 획득한 상태에서 시스템 내부의 설정 파일, 데몬 실행 상태, 파일 시스템 권한 등을 직접 검증하는 방식으로 진행함
진단 항목의 중요도는 KISA 가이드라인에 따라 상(High), 중(Medium), 하(Low)로 분류하였으며, 본 보고서에서는 시스템 침해사고와 직결될 수 있는 '상(High)' 등급의 항목을 중점적으로 분석함

1.7. 진단항목

판단 기준:
• 양호 (Good): KISA 가이드라인의 보안 요구사항을 충족하거나, 클라우드 환경 특성에 맞는 보완 대책이 수립되어 있는 경우.
• 취약 (Vulnerable): 보안 설정이 적용되어 있지 않거나 미흡하여, 공격자에 의한 악용 가능성이 존재하는 경우.

진단 기준: KISA 「주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드(2026년)」를 참고하여, 항목 중요도 ‘상’ 기준에 해당하는 Unix 40개 / Windows 32개 진단 항목을 선정함
법적 근거: 「주요정보통신기반시설 취약점 분석·평가 기준」(과학기술정보통신부 고시 제2025-62호).

Unix 서버 보안 점검 항목

번호	코드	항목	위험도
1	U-01	root 계정 원격 접속 제한	상
2	U-02	비밀번호 관리정책 설정	상
3	U-03	계정 잠금 임계값 설정	상
4	U-04	비밀번호 파일 보호	상
5	U-05	root 이외의 UID가 ‘0’ 금지	상
6	U-06	사용자 계정 su 기능 제한	상
7	U-14	root 홈, 패스 디렉터리 권한 및 패스 설정	상
8	U-15	파일 및 디렉터리 소유자 설정	상
9	U-16	/etc/passwd 파일 소유자 및 권한 설정	상
10	U-17	시스템 시작 스크립트 권한 설정	상
11	U-18	/etc/shadow 파일 소유자 및 권한 설정	상
12	U-19	/etc/hosts 파일 소유자 및 권한 설정	상
13	U-20	/etc/(x)inetd.conf 파일 소유자 및 권한 설정	상
14	U-21	/etc/(r)syslog.conf 파일 소유자 및 권한 설정	상
15	U-22	/etc/services 파일 소유자 및 권한 설정	상
16	U-23	SUID, SGID, Sticky bit 설정 파일 점검	상
17	U-24	사용자, 시스템 환경변수 파일 소유자 및 권한 설정	상
18	U-25	world writable 파일 점검	상
19	U-26	/dev에 존재하지 않는 device 파일 점검	상
20	U-27	$HOME/.rhosts, hosts.equiv 사용 금지	상
21	U-28	접속 IP 및 포트 제한	상
22	U-34	Finger 서비스 비활성화	상
23	U-35	공유 서비스에 대한 익명 접근 제한 설정	상
24	U-36	r 계열 서비스 비활성화	상
25	U-37	crontab 설정파일 권한 설정 미흡	상
26	U-38	DoS 공격에 취약한 서비스 비활성화	상
27	U-39	불필요한 NFS 서비스 비활성화	상
28	U-40	NFS 접근 통제	상
29	U-41	불필요한 automountd 제거	상
30	U-42	불필요한 RPC 서비스 비활성화	상
31	U-43	NIS, NIS+ 점검	상
32	U-44	tftp, talk 서비스 비활성화	상
33	U-45	메일 서비스 버전 점검	상
34	U-46	일반 사용자의 메일 서비스 실행 방지	상
35	U-47	스팸 메일 릴레이 제한	상
36	U-49	DNS 보안 버전 패치	상
37	U-50	DNS Zone Transfer 설정	상
38	U-59	안전한 SNMP 버전 사용	상
39	U-61	SNMP Access Control 설정	상
40	U-64	주기적 보안 패치 및 벤더 권고사항 적용	상

Windows 서버 보안 점검 항목

번호	코드	항목	위험도
1	W-01	Administrator 계정 이름 변경 등 보안성 강화	상
2	W-02	Guest 계정 비활성화	상
3	W-03	불필요한 계정 제거	상
4	W-04	계정 잠금 임계값 설정	상
5	W-05	해독 가능한 암호화를 사용하여 암호 저장 해제	상
6	W-06	관리자 그룹에 최소한의 사용자 포함	상
7	W-09	비밀번호 관리정책 설정	상
8	W-15	사용자 개인키 사용 시 암호 입력	상
9	W-16	공유 권한 및 사용자 그룹 설정	상
10	W-17	하드디스크 기본 공유 제거	상
11	W-18	불필요한 서비스 제거	상
12	W-19	불필요한 IIS 서비스 구동 점검	상
13	W-20	NetBIOS 바인딩 서비스 구동 점검	상
14	W-21	암호화되지 않는 FTP 서비스 비활성화	상
15	W-22	FTP 디렉토리 접근권한 설정	상
16	W-23	공유 서비스에 대한 익명 접근 제한 설정	상
17	W-24	FTP 접근 제어 설정	상
18	W-25	DNS Zone Transfer 설정	상
19	W-26	RDS(Remote Data Services) 제거	상
20	W-27	최신 Windows OS Build 버전 적용	상
21	W-38	주기적 보안 패치 및 벤더 권고사항 적용	상
22	W-39	백신 프로그램 업데이트	상
23	W-44	원격으로 액세스할 수 있는 레지스트리 경로	상
24	W-45	백신 프로그램 설치	상
25	W-46	SAM 파일 접근 통제 설정	상
26	W-47	화면보호기 설정	하
27	W-48	로그온하지 않고 시스템 종료 허용	상
28	W-49	원격 시스템에서 강제로 시스템 종료	상
29	W-50	보안 감사를 로그할 수 없는 경우 즉시 시스템 종료	상
30	W-51	SAM 계정과 공유의 익명 열거 허용 안 함	상
31	W-52	Autologon 기능 제어	상
32	W-53	이동식 미디어 포맷 및 꺼내기 허용	상

2. 위험 관리 및 평가 방법론 (Risk Management)

2.1. 위험 평가 모델 개요

본 인프라 점검은 주관적인 판단을 배제하고 객관적인 의사결정을 지원하기 위해 정량적 위험 평가 모델을 적용함
최종 위험도는 자산의 중요도와 식별된 취약점의 심각도를 조합하여 산출함

Risk Score(위험도) = 자산 중요도(Asset Value) X 취약점 심각도(Vulnerability Severity)

2.2. 자산 중요도 평가 기준 (Asset Value, A)

등급	점수	정의	적용 근거
상 (High)	3	서비스 전면 중단 또는 핵심 기밀 유출	web-ec2, was-ec2 (핵심 인프라)
중 (Medium)	2	일부 기능 저하 또는 내부 업무 데이터 손상	-
하 (Low)	1	대외 영향도 낮음, 단순 정보성 자산	-

2.3. 기술적 취약점 심각도 기준 (Vulnerability Severity, V)

등급	점수	정의	대표 항목
상 (High)	3	[Root/Admin 탈취] 시스템 제어권 획득, 원격 실행 가능	U-01(Root접속), W-18(불필요서비스)
중 (Medium)	2	[정보 유출/우회] 설정 정보 노출, 2차 공격 교두보	U-21(로그권한), W-04(계정잠금미설정)
하 (Low)	1	[정보 수집] 시스템 정보 수집(Reconnaissance) 가능	W-20(NetBIOS), W-53(미디어제어)

2.4. 위험도 산출 및 조치 기준 (Risk Scoring & DoA)

수용 불가 위험(DoA)을 6점으로 설정하여 관리합니다.

위험 점수 (RxV)	등급	의사결정	이행 시기
9점 (3x3)	Critical	[즉시 조치] 서비스 중단 감수 후 즉각 패치	즉시 (Phase 1)
6점 (3x2)	High	[단기 조치] DoA 초과, 1개월 내 조치	1개월 내
3~4점	Medium	[중기 조치] 차기 유지보수 시 조치	차기 유지보수
1~2점	Low	[위험 수용] 지속 모니터링	-

3. 기술적 취약점 진단 결과 (Diagnostic Results)

3.1. 진단 결과 요약

총 19개의 취약점이 식별되었으며, 즉시 조치가 필요한 Critical 등급이 다수 발견되었습니다.

번호	대상	Critical (9점)	High (6점)	Medium (3~4점)	합계
1	web-ec2 (Linux)	4	5	0	9개
2	was-ec2 (Windows)	5	4	1	10개

3.2. [Linux] Web-EC2 주요 취약점 목록

Linux 기반의 웹 서버에서는 계정 관리 및 접근 통제 영역에서 심각한 보안 홀을 식별함

항목	취약점 명	CVSS	위험도	분석 결과
U-01	Root 계정 원격 접속 제한	9.8	Critical	SSH Key 로그인 허용으로 탈취 시 치명적
U-03	계정 잠금 임계값 설정	9.8	Critical	Brute Force 방어책 부재 (`pam_faillock` 미설정)
U-28	접속 IP 및 포트 제한	9.8	Critical	관리 포트(SSH)에 대한 전 세계 접속 허용
U-64	주기적 보안 패치 적용	9.8	Critical	`snapd` 등 Root 권한 모듈 패치 누락 (1-Day 위험)
U-02	비밀번호 관리 정책	7.5	High	복잡성 미준수 및 재사용 제한 없음
U-06	사용자 계정 su 제한	7.8	High	일반 계정 탈취 시 Root 권한 상승 용이
U-18	shadow 파일 권한	7.8	High	패스워드 해시 파일 읽기 권한 노출
U-21	syslog.conf 권한	7.3	High	로그 설정 변조 및 인프라 정보 노출
U-37	crontab 파일 권한	7.8	High	악성 스크립트 스케줄링 등록 가능

참조
Unix 서버 취약점 분석 (CVSS 기반)

항목 취약점 명 CVSS Score 분석 결과 및 근거 (Vector Analysis)

U-01 Root 계정 원격 접속 제한 9.8 (Critical) [CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H]
네트워크를 통해 권한 없이(PR:N) 즉시 접근 가능하며, Root 탈취 시 기밀성·무결성·가용성(CIA) 전체에 치명적 영향을 미침.

U-03 계정 잠금 임계값 설정 9.8 (Critical) [CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H]
무차별 대입 공격(Brute Force)에 대한 방어책이 없어, 공격 성공 시 시스템 장악 가능성이 매우 높음.

U-28 접속 IP 및 포트 제한 9.8 (Critical) [CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H]
관리 포트(SSH 등)에 대한 IP 제한(ACL)이 없어, 전 세계 모든 IP에서의 접속 시도를 허용하고 있음.

U-64 주기적 보안 패치 적용 9.8 (Critical) [CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H]
snapd, libapparmor1 등 Root 권한으로 동작하는 핵심 모듈에 대한 최신 패치가 누락되어 원데이(1-Day) 공격 위험에 노출됨.

U-02 비밀번호 관리 정책 7.5 (High) [CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N]
패스워드 복잡성 미준수로 추측 공격에 취약함. (계정 탈취 시나리오 기준)

U-06 사용자 계정 su 제한 7.8 (High) [CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H]
su 명령어 사용 그룹 제한이 없어, 일반 계정 탈취가 Root 권한 상승으로 이어질 수 있음.

U-18 shadow 파일 권한 7.8 (High) [CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H]
root 소유가 아니거나 권한이 열려있어 패스워드 해시 크랙킹 가능.

U-21 syslog.conf 권한 7.3 (High) [CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:H]
로그 설정 파일 변조를 통해 공격 흔적 은폐 가능 (무결성 영향 High).

U-37 crontab 파일 권한 7.8 (High) [CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H]
스케줄러 설정 변조를 통해 악성 스크립트 주기적 실행 가능.

항목	취약점 명	CVSS Score	분석 결과 및 근거 (Vector Analysis)
U-01	Root 계정 원격 접속 제한	9.8 (Critical)	[CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H] 네트워크를 통해 권한 없이(PR:N) 즉시 접근 가능하며, Root 탈취 시 기밀성·무결성·가용성(CIA) 전체에 치명적 영향을 미침.
U-03	계정 잠금 임계값 설정	9.8 (Critical)	[CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H] 무차별 대입 공격(Brute Force)에 대한 방어책이 없어, 공격 성공 시 시스템 장악 가능성이 매우 높음.
U-28	접속 IP 및 포트 제한	9.8 (Critical)	[CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H] 관리 포트(SSH 등)에 대한 IP 제한(ACL)이 없어, 전 세계 모든 IP에서의 접속 시도를 허용하고 있음.
U-64	주기적 보안 패치 적용	9.8 (Critical)	[CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H] snapd, libapparmor1 등 Root 권한으로 동작하는 핵심 모듈에 대한 최신 패치가 누락되어 원데이(1-Day) 공격 위험에 노출됨.
U-02	비밀번호 관리 정책	7.5 (High)	[CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N] 패스워드 복잡성 미준수로 추측 공격에 취약함. (계정 탈취 시나리오 기준)
U-06	사용자 계정 su 제한	7.8 (High)	[CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H] su 명령어 사용 그룹 제한이 없어, 일반 계정 탈취가 Root 권한 상승으로 이어질 수 있음.
U-18	shadow 파일 권한	7.8 (High)	[CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H] root 소유가 아니거나 권한이 열려있어 패스워드 해시 크랙킹 가능.
U-21	syslog.conf 권한	7.3 (High)	[CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:H] 로그 설정 파일 변조를 통해 공격 흔적 은폐 가능 (무결성 영향 High).
U-37	crontab 파일 권한	7.8 (High)	[CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H] 스케줄러 설정 변조를 통해 악성 스크립트 주기적 실행 가능.

참조

[U-01] Root 계정 원격 접속 제한
Web-ec2 인스턴스는 SSH 원격 접속 시 root 계정의 패스워드 접속은 root 계정의 패스워드 접속은 차단됐지만 SSH key 를 통한 로그인이 허용되어 있는 상태. Key 유출 시 보안 위험이 존재함.

[U-03] 계정 잠금 임계값 설정
Pam_fialock.so 모듈이 미설정 상태이기 때문에 로그인 실패횟수에 대한 제한이 없음. 따라서 해당 정책은 PAM 인증 단계와 계정 승인 단계에 정상적으로 연동되어 적용되고 있지 않고있음.

[U-28] 접속 IP 및 포트 제한
TCP Wrapper 기반 IP 제한이 없고 iptables 및 UFW 방화벽이 비활성화 상태임. 또한 모든 접속을 허용하는 서비스 설정으로 인해 비인가 호스트 접근을 제한할 수 있는 보안 통제가 미흡하며 연동된 정책이 적용되지 않고 있음.

[U-64] 주기적 보안 패치 적용
apparmor / libapparmor1, snapd, ubuntu-advantage-tools / ubuntu-pro-client, distro-info-data 등 시스템 관리 및 자원 접근 통제 등 보안에 중요한 모듈들이 미 업데이트된 상태임. 업그레이드 가능한 보안 패치가 남아있음.

[U-02] 비밀번호 관리 정책
필수 보안 모듈(libpam-pwquality) 미설치로 인해 설정 파일이 존재하지 않음. 따라서 무차별 대입 공격에 매우 취약한 상태이며 계정 정보가 유출되었을 경우 공격자가 장기간 시스템에 머무를 수 있음.
비밀번호 재사용 제한 또한 존재하지 않아 보안 사고 발생 후에도 취약한 이전 비밀번호 사용가능함.

[U-06] 사용자 계정 su 제한
Su 명령어 사용을 특정 그룹으로 제한하는 설정 미적용 상태임. 따라서 일반 사용자의 권한 상승 위험이 존재하기에 취약함.

[U-18] shadow 파일 권한
권한의 상태가 640이므로 shadow그룹에 속한 일반 사용자 및 특정 서비스 계정이 비밀번호 해시 파일 read가능함. 따라서 공격자가 권한을 가진 계정을 탈취할 경우, 패스워드 크래킹 공격시도가 가능해짐.

[U-21] syslog.conf 권한
/etc/rsyslog.conf 파일의 권한이 644로 설정되어 소유자 및 그룹 외 기타 사용자에게 읽기 권한이 부여된 상태임. 해당 파일은 로그 저장 경로 및 네트워크 구조 등 민감한 인프라 정보를 포함하고 있어 비인가자에 의한 공격 대상 식별에 악용될 수 있으므로 보안 통제가 미흡함.

[U-37] crontab 파일 권한
cron 관련 폴더 및 crontab 파일의 권한이 755 및 640을 초과하도록 설정되어 일반 사용자의 접근이 허용된 상태임. 이로 인해 비인가자에 의한 임의의 악성 스크립트 등록 및 실행이 가능하므로 보안 취약점 해소를 위해 640 이하의 권한 조정이 필요함.

3.3. [Windows] Was-EC2 주요 취약점 목록

항목	취약점 명	CVSS	위험도	분석 결과
W-01	Administrator 계정 이름 변경	9.8	Critical	기본 ID 사용으로 PW 공격 집중 가능
W-18	불필요한 서비스 제거	9.8	Critical	FTP, IIS 등 미사용 서비스 구동 (RCE 위험)
W-20	NetBIOS 바인딩 점검	9.8	Critical	내부망 정보 수집 및 SMB 공격 통로
W-04	계정 잠금 임계값 설정	9.8	Critical	무차별 대입 공격 방어 기제 부재
W-09	비밀번호 정책	9.8	Critical	취약한 암호 사용으로 계정 탈취 위험
W-15	개인키 암호 입력	7.8	High	인증서/개인키 보호 조치 미흡
W-17	하드디스크 기본 공유 제거	7.2	High	랜섬웨어 전파 경로(C$, Admin$) 노출
W-51	SAM/공유 익명 열거	7.5	High	익명 사용자의 계정 정보 획득 가능
W-53	이동식 미디어 제어	7.1	High	물리적/논리적 매체 통제 미흡
W-48	로그온 전 시스템 종료	4.6	Medium	콘솔 접근 시 시스템 가용성 침해 가능

참조
Windows 서버 취약점 분석 (CVSS 기반)

항목	취약점 명	CVSS Score	분석 결과 및 근거 (Vector Analysis)
W-01	Admin 계정 이름 변경	9.8 (Critical)	[CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H] 기본 관리자 ID(Administrator)를 사용하여 공격자가 ID를 유추할 필요 없이 PW 공격에 집중할 수 있음.
W-18	불필요한 서비스 제거	9.8 (Critical)	[CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H] 사용하지 않는 서비스 취약점을 이용한 RCE(원격 코드 실행) 가능성을 배제할 수 없음.
W-20	NetBIOS 바인딩 점검	9.8 (Critical)	[CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H] 내부망 정보 수집 및 SMB 취약점 공격의 주요 통로로 악용될 수 있음.
W-04	계정 잠금 임계값	9.8 (Critical)	[CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H] 패스워드 무차별 대입 공격에 대한 방어 기제 부재.
W-09	비밀번호 정책	9.8 (Critical)	[CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H] 취약한 패스워드 사용으로 인한 계정 탈취 위험 극대화.
W-15	개인키 암호 입력	7.8 (High)	[CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H] 개인키 탈취 시 2차 인증(Passphrase) 없이 즉시 사용 가능.
W-17	기본 공유 제거	7.2 (High)	[CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H] C$, Admin$ 등 기본 공유를 통한 랜섬웨어 및 악성코드 측면 이동(Lateral Movement) 위험.
W-51	익명 열거 허용	7.5 (High)	[CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N] 인증 없는 사용자(Anonymous)가 계정 목록을 조회하여 공격 표적 식별 가능.
W-53	미디어 제어	7.1 (High)	[CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H] 물리적 접근 시 매체 포맷 등으로 인한 데이터 무결성 침해 위험.
W-48	비로그인 종료 허용	4.6 (Medium)	[CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H] 물리적 접근(AV:P)이 전제되어야 하므로 상대적 위험도는 낮으나 가용성(A:H) 영향 있음.

참조

[W-01] Admin 계정 이름 변경
기본 관리자 계정(Administrator)의 이름을 변경하지 않고 그대로 사용 중인 상태임. 이는 공격자가 계정 ID를 유추할 필요 없이 패스워드 무차별 대입 공격에 집중할 수 있는 환경을 제공하므로, 보안 강화를 위해 계정명을 유추하기 어려운 이름으로 변경하는 조치가 필요함.

[W-18] 불필요한 서비스 제거
시스템 내 운영에 불필요한 서비스들이 활성화된 상태로 방치되어 있음. 이는 사용하지 않는 서비스의 취약점을 이용한 RCE(원격 코드 실행) 공격 가능성을 노출시키므로, 보안상 취약점을 해소하기 위해 실제 운영에 불필요한 서비스들을 '사용 안 함'으로 설정하는 조치가 필요함.

[W-20] NetBIOS 바인딩 점검
TCP/IP와 NetBIOS 간 바인딩이 제거되지 않고 활성화된 상태로 확인됨. 이는 내부망 정보 수집 및 SMB 취약점 공격의 주요 통로로 악용될 수 있는 환경을 제공하므로 보안상 취약하며 관련 설정의 비활성화 조치가 필요함.

[W-04] 계정 잠금 임계값
계정 잠금 임계값이 설정되어 있지 않아 패스워드 무차별 대입 공격에 대한 방어 기제가 부재한 상태임. 이는 보안상 취약한 상태로 판단되므로 공격 차단을 위해 계정 잠금 임계값을 1 이상 5 이하의 값으로 설정하는 조치가 필요함.

[W-09] 비밀번호 정책
암호 복잡성 및 최대 암호 사용 기간 설정 외 대부분의 패스워드 정책이 미충족 상태임. 이는 취약한 패스워드 사용으로 인한 계정 탈취 위험을 극대화하므로, 보안 강화를 위해 미흡한 항목들에 대한 추가적인 정책 설정이 필요함.

[W-15] 개인키 암호 입력
사용자 개인키 사용 시 암호 입력에 대한 정책이 정의되지 않은 상태임. 이는 개인키 탈취 시 2차 인증(Passphrase) 없이 즉시 사용 가능한 환경을 제공하여 계정 보안에 심각한 위협이 되므로 보안상 취약함.

[W-17] 기본 공유 제거
하드디스크 기본 공유(C$)가 활성화되어 있는 상태로 확인됨. 이는 C$, Admin$ 등 기본 공유를 통한 랜섬웨어 및 악성코드의 측면 이동(Lateral Movement) 경로로 악용될 수 있어 보안상 취약하며, 해당 공유 설정의 비활성화 조치가 필요함.

[W-51] 익명 열거 허용
익명 사용자의 SAM 계정 및 공유 열거 허용 안 함 정책이 '사용 안 함'으로 설정되어 있음. 이는 인증 없는 사용자가 계정 목록을 조회하여 공격 표적을 식별할 수 있는 환경을 제공하므로 보안상 취약하며, 해당 정책을 '사용'으로 변경하는 조치가 필요함.

[W-53] 미디어 제어
이동식 미디어 포맷 및 꺼내기 허용 권한이 Administrators로 제한되지 않고 정의되지 않은 상태임. 이는 물리적 접근 시 매체 포맷 등을 통한 데이터 무결성 침해 위험을 초래하므로, 보안상 취약점을 해소하기 위해 해당 권한을 관리자 그룹으로 제한하는 설정 변경이 필요함.

[W-48] 비로그인 종료 허용
로그온하지 않고 시스템 종료 허용 정책이 '사용'으로 설정되어 있음. 이는 물리적 접근 시 인가되지 않은 사용자가 시스템을 종료하여 가용성에 영향을 줄 수 있는 상태이므로, 보안상 취약점을 해소하기 위해 해당 정책을 '사용 안 함'으로 변경하는 조치가 필요함.

4. 세부 수행내역 (Detailed Analysis)

4.1. UNIX 서버 (Web-EC2) 상세 분석

[U-01] Root 계정 원격 접속 제한 (Critical)

현황: PermitRootLogin prohibit-password 설정으로 인해 SSH Key를 이용한 Root 직접 로그인이 허용됨.
위험: 관리자 개인 식별이 불가능하며, Key 파일 유출 시 시스템 전권 장악됨.
상세 분석:
1. /etc/ssh/sshd_config 파일 확인 결과 PermitRootLogin 옵션이 no가 아님.
2. Ubuntu 24.04 LTS 기본 설정이 유지되고 있음.

조치 가이드:

# /etc/ssh/sshd_config 수정
PermitRootLogin no
# 서비스 재시작
sudo systemctl restart sshd

[U-03] 계정 잠금 임계값 설정 (Critical)

현황: pam_faillock.so 모듈 설정이 주석 처리되어 있거나 누락됨.
위험: 무차별 대입 공격(Brute Force) 시도를 차단할 수 없음.
상세 분석:
- Step 1: /etc/pam.d/common-auth 확인 시 임계값 설정 없음.
- Step 2: auth required pam_faillock.so 라인 부재.

조치 가이드: /etc/pam.d/common-auth 파일 상단에 아래 내용 추가

auth required pam_faillock.so preauth silent audit deny=5 unlock_time=120
auth [default=die] pam_faillock.so authfail
auth sufficient pam_faillock.so authsucc

[U-28] 접속 IP 및 포트 제한 (Critical)

현황: TCP Wrapper(hosts.deny, hosts.allow) 설정 파일이 비어있음(ALL:ALL 설정 없음). iptables 정책이 모두 ACCEPT임.
위험: 관리자 외 제3자가 SSH 포트 등에 접근 시도 가능.
상세 분석:
- Step 1: /etc/hosts.deny 내용 없음 (기본값 Allow).
- Step 2: iptables -L 결과 모든 체인 정책이 ACCEPT.

조치 가이드:

# /etc/hosts.deny
ALL:ALL

# /etc/hosts.allow
sshd: 192.168.0.100  # 관리자 IP

[U-64] 주기적 보안 패치 (Critical)

현황: apt list --upgradable 수행 시 다수의 보안 패치 대기 중.
위험: snapd, libapparmor1 등 Root 권한으로 실행되는 모듈의 One-Day 취약점 노출.
조치 가이드:
```
sudo apt update && sudo apt upgrade -y
```

[U-37] Crontab 설정 파일 권한 (High)

현황: crontab 파일 권한이 755/640 등으로 설정되어 일반 사용자 접근 가능.
위험: 악성 스크립트 스케줄링 등록을 통한 지속적 공격(Persistence) 허용.
조치 가이드: 권한을 640 이하로 설정하고 소유자를 root로 변경.

4.2. Windows 서버 (Was-EC2) 상세 분석

[W-01] Administrator 계정 이름 변경 (Critical)

현황: 기본 관리자 계정명 Administrator 사용 중.
위험: 공격자가 ID를 유추할 필요 없이 PW 공격에만 집중할 수 있어 공격 성공 확률 증가.
조치 가이드:
- secpol.msc > 로컬 정책 > 보안 옵션 > '계정: Administrator 계정 이름 바꾸기'에서 변경.

[W-18] 불필요한 서비스 제거 (Critical)

현황: FTP Publishing Service, World Wide Web Publishing Service (IIS) 등 미사용 서비스가 '시작됨' 상태.
위험: 해당 서비스의 취약점을 이용한 원격 코드 실행(RCE) 공격 가능.
조치 가이드:
- services.msc > 해당 서비스 > 속성 > '사용 안 함' 및 '중지'.

[W-20] NetBIOS 바인딩 서비스 구동 점검 (Critical)

현황: TCP/IP 속성에서 NetBIOS 설정이 '기본값' 또는 '사용' 상태.
위험: NetBIOS 프로토콜을 통한 내부 네트워크 정보(호스트명, 그룹명 등) 수집 및 SMB 취약점 공격 노출.
조치 가이드:
- 네트워크 어댑터 속성 > TCP/IPv4 > 고급 > WINS > 'NetBIOS over TCP/IP 사용 안 함' 체크.

[W-04] 계정 잠금 임계값 설정 (Critical)

현황: 계정 잠금 정책이 '0'(사용 안 함)으로 설정됨.
위험: 패스워드 크래킹 공격 무제한 허용.
조치 가이드:
- secpol.msc > 계정 정책 > 계정 잠금 정책 > 계정 잠금 임계값: 5회 설정.

[W-17] 하드디스크 기본 공유 제거 (High)

현황: net share 명령 확인 결과 C$, Admin$, IPC$ 등 기본 공유 활성화.
위험: 랜섬웨어 감염 시 네트워크를 통한 측면 이동(Lateral Movement) 경로로 악용.
조치 가이드: 레지스트리 설정을 통해 AutoShareServer 비활성화.

5. 기술적 취약점 종합 평가 점수 (Quantitative Scoring)

5.1. 점수 산출 결과

주요정보통신기반시설 취약점 분석·평가 기준([시행 2025. 12. 24.] [과학기술정보통신부고시 제2025-62호, 2025. 12. 24., 일부개정])에 의거하여, 각 점검 항목의 중요도(상/중/하)에 따라 가중치를 부여하고, 자산별 기술적 보안 이행 수준을 백분율로 환산함
다만, 실제 점수 산출의 경우 시스템 보안에 심각한 영향을 미칠 수 있는 “상” 등급만을 대상으로 산출함

• 배점 기준: (근거: [붙임 4] 취약점 분석·평가 점수 산출식 예시 취약점 분석·평가 점수 산출식 예시(주요정보통신기반시설 취약점 분석·평가 기준)])
o 상 (필수 항목): 10점 (핵심 보안 기능, 미조치 시 직접적 침해 가능)
o 중 (추가 항목): 금번 평가 제외
o 하 (추가 항목): 금번 평가 제외

• 평가 방식:
o 양호 (O): 배점 100% 인정 (취약점 제거 상태)
o 취약 (X): 0점 처리 (취약점 발견)

구분	대상	총 항목수	배점 합계	취득 점수	이행률(%)
Web	web-ec2 (Linux)	40	400	310	77.5%
Was	was-ec2 (Windows)	32	320	220	68.75%
전체 평균	-	72	720	530	73.61%

5.2. 평가 등급

Web (77.5점): Fair (미흡) - 즉각적인 개선이 필요한 상태.
Was (68.75점): Poor (위험) - 보안 수준이 매우 낮아 전면적인 보완 필요.

'상' 등급 항목만을 대상으로 평가한 결과, 단순 평균 점수는 73.13점, 가중 평균 점수는 73.61점으로 산출함
이는 필수 보안 항목의 약 26.39%가 취약한 상태임을 의미하며, 특히 Web-EC2와 WAS-EC2 모두 '주의(Attention)' 단계에 머물러 있어 즉각적인 조치가 요구됨

목표: Phase 1 조치를 통해 이행률 90% 이상(Good) 달성 목표.

6. 위험 평가 및 우선 순위 도출 (Risk Evaluation)

6.1. 정량적 위험 평가 매트릭스 (Risk Scoring Matrix)

모든 식별된 취약점에 대해 자산 중요도(3점)를 반영하여 위험도를 산출했습니다. DoA(6점) 이상 항목은 필수 조치 대상입니다.

순위	대상	진단코드	취약점 명	자산(A)	취약점(V)	위험도(R)	등급
1	Web	U-01	Root 원격 접속 제한	3	3	9	Critical
2	Web	U-28	접속 IP 및 포트 제한	3	3	9	Critical
3	Web	U-64	주기적 보안 패치	3	3	9	Critical
4	Web	U-03	계정 잠금 임계값	3	3	9	Critical
5	WAS	W-01	Admin 계정 이름 변경	3	3	9	Critical
6	WAS	W-18	불필요한 서비스 제거	3	3	9	Critical
7	Web	U-18	shadow 파일 권한	3	3	9	Critical
8	WAS	W-04	계정 잠금 임계값	3	3	9	Critical
9	WAS	W-09	비밀번호 관리 정책	3	3	9	Critical
10	Web	U-06	사용자 계정 su 제한	3	2	6	High
11	WAS	W-17	하드디스크 기본 공유	3	2	6	High
...	...	...	(이하 High 항목 생략)	...	...	...	...

6.2 근본 원인 및 ISO 27001 Gap 분석(Root Cause & ISO/IEC 27001:2022 Gap Analysis)

6.2.1 근본 원인 분석 (Root Cause Analysis)

식별된 기술적 취약점들은 단순한 설정 오류(Misconfiguration)가 아니라, ISO/IEC 27001:2022에서 요구하는 보안 통제(Security Controls)가 시스템에 구현되지 않은 상태로 판단됨. 이는 다음과 같은 규정 준수(Compliance) 결함을 의미함.
주요 취약점과 ISO/IEC 27001:2022 통제 항목 간의 연계 분석(Mapping) 결과는 아래와 같음.

6.2.2 [Linux] Web-EC2 컴플라이언스 갭 분석

Linux 서버의 주요 취약점은 특수 권한 관리(A.8.2) 및 접근 제어(A.5.15) 통제 항목의 미준수로 인해 발생함.

취약점 ID	취약점 명	ISO 27001:2022 연계 통제 항목 및 준거성 분석
U-01	Root 계정 원격 접속 제한	A.8.2 (특수 권한): 최고 권한 계정(root)의 직접 접속을 제한하고 sudo 등을 통한 권한 상승 통제 미흡. A.9.2.1 (사용자 등록): 공용 계정 사용 제한 및 책임 추적성(Accountability) 원칙 위배.
U-02	비밀번호 관리 정책	A.5.17 (인증 정보): 패스워드 복잡성·주기적 변경 등 인증 정보 품질을 강제하는 기술적 통제 수단 부재.
U-03	계정 잠금 임계값	A.8.5 (보안 인증): 무차별 대입 공격(Brute Force)에 대한 계정 잠금 메커니즘 미구현.
U-06	su 기능 제한	A.8.18 (특수 권한 유틸리티): 권한 상승 도구(su)에 대한 접근 그룹(Wheel 등) 제한 미흡.
U-18	/etc/shadow 권한	A.5.15 (접근 제어): 핵심 인증 정보(Hash) 파일에 대한 최소 권한(400) 원칙 미준수로 기밀성 위협 노출.
U-21	syslog.conf 권한	A.8.15 (로그 기록): 로그 설정 파일 변조 방지를 위한 무결성 보호 조치 미흡 → Anti-Forensic 취약점.
U-28	접속 IP/포트 제한	A.8.20 (네트워크 보안): ACL 기반 접근 제어 미적용으로 비인가 네트워크 접근 경로 방치.
U-37	crontab 권한	A.8.2 (특수 권한): 예약 작업(Scheduler) 설정 파일 변조를 통한 권한 상승 및 악성코드 실행 위협 방치.
U-64	보안 패치 미적용	A.8.8 (기술적 취약점 관리): 최신 보안 패치 미적용으로 알려진 CVE 노출 및 예방적 통제 실패.
### 6.2.3 [Windows] WAS-EC2 컴플라이언스 갭 분석

Windows 서버는 A.8.9(구성 관리) 및 A.5.17(인증 정보) 관련 통제가 기본 설정(Default) 상태로 방치된 것이 주요 원인임

취약점 ID	취약점 명	ISO 27001:2022 연계 통제 항목 및 준거성 분석
W-01	Admin 계정 이름 변경	A.8.2 (특수 권한): 공격자에게 알려진 기본 관리자 계정 사용으로 식별·추측 공격 위험 노출.
W-04	계정 잠금 임계값	A.5.16 (식별자 관리): 반복 인증 실패(이상 징후)를 탐지·대응하는 계정 보호 정책 미적용.
W-09	비밀번호 관리 정책	A.5.17 (인증 정보): 취약한 비밀번호 사용을 기술적으로 차단하지 않아 계정 탈취 위험 방치.
W-15	개인키 암호 입력	A.8.24 (암호화 키 관리): 중요 키 사용 시 Passphrase 미적용으로 키 기밀성 위협.
W-17	기본 공유 제거	A.8.9 (구성 관리): 불필요한 기본 공유(C$, Admin$) 활성화로 최소 구성 원칙 위배.
W-18	불필요한 서비스	A.8.19 (SW 설치): 업무와 무관한 서비스 활성화로 공격 표면(Attack Surface) 확장.
W-20	NetBIOS 바인딩	A.8.20 (네트워크 보안): 취약한 레거시 프로토콜을 통한 내부망 정보 수집 허용.
W-48	비로그인 종료 허용	A.7.2 (물리적 출입): 인증 없이 시스템 종료 가능하여 가용성 저해 위험 존재.
W-51	익명 열거 허용	A.5.15 (접근 제어): Anonymous 사용자에게 계정·공유 정보 노출 → 정찰 공격 지원.
W-53	이동식 미디어 제어	A.7.10 (저장 매체): 저장 매체의 무단 포맷·분리에 대한 기술적 통제 미구현.

7. 보호대책 및 이행 로드맵 (Remediation Roadmap)

7.1. 단계별 이행 전략

식별된 취약점을 효율적으로 제거하고 지속 가능한 보안 체계를 수립하기 위해 2단계 이행 전략을 추진함

Phase 1: 시스템 하드닝 및 긴급 조치 (System Hardening)
• 목표: DoA(6점) 이상인 Critical/High 등급 취약점 100% 제거
• 기간: 즉시 ~ 1개월 (긴급 패치)
• 주요 활동:

[Web] Root 원격 접속 차단 및 IP ACL 적용 (U-01, U-28)
[WAS] 불필요 서비스 제거 및 Admin 계정 변경 (W-18, W-01)
[Patch] OS 및 주요 데몬 최신 보안 패치 적용 (U-64)

Phase 2: 관리 체계 수립 및 고도화 (Policy & Process)
• 목표: 기술적 조치를 뒷받침하는 관리 절차(Policy) 수립
• 기간: 2개월 ~ 3개월
• 주요 활동:

[Policy] '서버 보안 설정 가이드(Golden Image)' 제정 및 배포
[Process] 계정 신청/승인 프로세스 및 방화벽 정책 신청 절차 수립
[Tool] 로그 중앙 관리(Syslog Server) 구축 및 모니터링 체계 가동

7.2. 주요 취약점 조치 가이드 (Remediation Guide)

가장 시급한 DoA 초과(Critical) 항목에 대한 구체적인 조치 방안 제시

취약점 ID	항목명	조치 방안 (Action Item)	적용 명령어 / 설정 예시
U-01	Root 접속 제한	SSH 설정 파일에서 Root 계정의 직접 로그인을 차단	`bash\nvi /etc/ssh/sshd_config\nPermitRootLogin no\nsystemctl restart sshd\n`
U-28	접속 IP 제한	TCP Wrapper 또는 방화벽을 사용하여 허용된 관리자 IP만 접속 허용	`bash\nvi /etc/hosts.deny\nALL:ALL\n\nvi /etc/hosts.allow\nsshd: 192.168.0.100\n`
U-64	보안 패치	OS 패키지 매니저를 통해 최신 보안 패치 적용 (서비스 영향도 사전 검토 후 수행)	`bash\napt update && apt upgrade -y\n`
U-03	계정 잠금 (Linux)	로그인 실패 임계값 설정 (예: 5회 실패 시 계정 잠금)	`bash\nvi /etc/pam.d/common-auth\nauth required pam_tally2.so deny=5 unlock_time=120\n`
U-18	Shadow 권한	패스워드 해시 파일의 소유자 및 권한을 최소 권한으로 제한	`bash\nchmod 400 /etc/shadow\nchown root:root /etc/shadow\n`
W-01	Admin 계정 변경	공격자가 유추하기 쉬운 기본 Administrator 계정 이름 변경	`text\n[실행] secpol.msc\n로컬 정책 > 보안 옵션\n→ '계정: Administrator 계정 이름 바꾸기'\n`
W-18	불필요 서비스	웹 서비스 외 불필요한 서비스(FTP, IIS Admin 등) 비활성화	`text\n[실행] services.msc\nFTP Publishing Service 등 선택\n→ 속성 > 시작 유형: 사용 안 함 > 중지\n`
W-04	계정 잠금 (Windows)	무차별 대입 공격 방지를 위한 계정 잠금 임계값 설정	`text\n[실행] secpol.msc\n계정 정책 > 계정 잠금 정책\n→ '계정 잠금 임계값': 5회\n`
W-09	암호 정책	패스워드 복잡성 및 최소 길이 등 강력한 암호 정책 강제	`text\n[실행] secpol.msc\n계정 정책 > 암호 정책\n→ '암호는 복잡성을 만족해야 함': 사용\n→ '최소 암호 길이': 8문자 이상\n`

7.3 AWS 권고사항

취약점 ID	항목명	AWS 권고 사항
U-01	Root 접속 제한	EC2 인스턴스에 대해 root 계정으로 직접 로그인하는 대신, 일반 사용자 계정을 통한 SSH 접속 후 `sudo` 권한을 부여하는 방식 사용을 권고함.
U-28	접속 IP 제한	보안 그룹(Security Group)을 활용하여 SSH 접근을 특정 관리자 IP로 제한하고, 네트워크 ACL(NACL)을 통해 추가적인 네트워크 접근 제어 수행.
U-64	보안 패치	AWS Systems Manager Patch Manager를 활용하여 EC2 인스턴스의 보안 패치를 자동 관리하거나, 최신 패치가 적용된 AMI를 사용하여 인스턴스 재배포 권고.
U-03	계정 잠금 (Linux)	Linux PAM 정책을 활용하여 로그인 실패 임계값을 설정하고, CloudWatch 모니터링 및 알람을 병행하여 무차별 대입 공격 방지.
U-18	Shadow 권한	EC2 인스턴스의 `/etc/shadow` 파일은 root 소유 및 최소 권한으로 유지하며, OS 계정 권한과 IAM 권한을 분리하여 관리.
W-01	Admin 계정 변경	Administrator 계정 이름을 변경하고, RDP 접근은 보안 그룹을 통해 관리자 IP로 제한.
W-18	불필요 서비스	불필요한 서비스는 OS 레벨에서 비활성화하고, 보안 그룹을 통해 사용하지 않는 포트 접근 차단.
W-04	계정 잠금 (Windows)	EC2 Windows 환경에서 계정 잠금 정책을 설정하여 로그인 실패 임계값 제한.
W-09	암호 정책	Windows 로컬 암호 정책을 적용하고, IAM 사용자에 대해서는 강력한

8. 결론 및 제언 (Conclusion)

8.1. 종합 의견 (Overall Assessment)

본 프로젝트를 통해 확인된 web-ec2 및 was-ec2의 보안 상태는 초기 구축 편의성 위주의 설정이 잔존하여 Critical 급 위험(Root 탈취, 무제한 원격 접속)이 다수 존재함이 확인되었습니다.

특히 수용 불가 위험(DoA 6점 이상)의 비율이 전체의 약 84%를 차지하고 있어, 방치 시 외부 공격에 의한 시스템 장악 가능성이 매우 높습니다. 따라서 본 보고서의 [7. 보호대책 및 이행 로드맵]에 기술된 Phase 1 조치를 최우선으로 이행하여 비즈니스 연속성을 확보해야합니다.

[참고 자료]

KISA 주요정보통신기반시설 기술적 취약점 분석·평가 상세가이드 (2026)
ISO/IEC 27001:2022 Information Security Management Systems
AWS Security Best Practices
정보통신망법, 개인정보보호법 이하 기타 시행령, 규칙, 고시 등의 법령
(과학기술정보통신부 고시 제2025-62호) 주요정보통신기반시설 취약점 분석·평가 기준
정보통신망 이용촉진 및 정보보호 등에 관한 법률
클라우드 취약점 점검 가이드(2024)
AWS Official Doumentation
Ubuntu Offiicail Doumentation
ISMS-P 인증기준 안내서(2023.11.23)

복붙하는 것도 힘드네... 아무튼 이런 식으로 진행을 했다 수행세부내역까지 복붙은 개오바라 그냥 건너 뛰었다.

그래도 모듈프로젝트를 진행하면서 조원 분들이 열심히 해준 덕에 꽤나 좋은 보고서를 완성할 수 있다는 생각이 들었다. 이번 보고서를 작성하면서 진짜 많은 것을 배웠다고 느꼈다. 진짜 파면 팔수록 소세지 마냥 줄줄이 따라나와서 처음에는 엄두가 안 났는데 다같이 열심히 하다 보니 그래도 봐줄만한 최종 결과물을 산출한 듯 싶다.

[SK shieldus Rookies 29기] 37일차

atfield1988 — Sat, 17 Jan 2026 13:14:13 +0900

오늘도 열심히 모듈프로젝트를 진행하였다.
뭐 했는지 적고 싶지만 플젝 중이라 내일 발표를 마치고 해당 내용을 적어볼까 한다.

내일 플젝 발표를 마치면... 좀 쉬고싶지만 어림도 없는 소리!
빅분기 공부 좀 해야지~ 빅분기 왤케 어렵냐ㅠㅠ

[SK shieldus Rookies 29기] 36일차

atfield1988 — Sat, 17 Jan 2026 13:13:24 +0900

2025년 12월 31일이다. 어느덧 올 한해가 마무리가 된다. 한 것도 없는데 왜 이렇게 나이만 먹는 기분이 들지..?
사담이 이따가 하고 다시 모듈 프로젝트 이야기로 돌아가보자.

이틀 전에 구축한 아키텍처 날리고 어제는 새로 처음부터 끝까지 다 구축을 했다. 열심히 구축하고 이제 스샷 다 뜨고 과제를 제출한 뒤, 취약점 점검을 위해서 각종 서비스들을 내려야 되는데... 문제는 내리니까 정상적으로 동작이 안 된다. 사실 어제 혹시 모를 생각이 들긴 했는데...

왜 슬픈 예감은 틀린 적이 없나....

이것저것 건들다 보니까 이건 일부분만 날리는 시간이 더 길 것 같다는 생각이 들기 시작했다. 어쩌겠나... 그냥 다 날리고 새로 구축하는 게 더 빠를 것 같은데... 그래서 다 날렸다!!!ㅋㅋㅋㅋㅋ 이쯤 되니까 웃음 밖에 안 나와서 정줄 놓고 구축맨이 되어버렸다. 근데 구축하면서도 웃긴게 지금 한 3번째 만들다 보니까, 아키텍처를 안 보고도 그냥 생각이 나고, 구축하는데 오래 걸리는 서비스들을 체험해서 그런지 멀티플로 싹 다 돌리니까 처음에 구축할 때 한 6~7시간 걸리던게 2시간 반 정도만에 구축을 싹 해버렸다.

역시 노가다가 답인가..?

아무튼 구축을 싹 끝내고, 이제 진~~짜 인프라 취약점을 점검하려고 한다.
인프라 취약 점검 기준으로 삼은 것은 올해 따끈따근하게 발표 된 KISA의 주통기반 가이드이다.
주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드_2026
위 사이트에서 다운 받을 수 있다.
이와 별개로 클라우드 취약점 점검 가이드(2024)도 같이 보면 좋을 것 같아서 참조하였다. 주통 기반보다 UI가 좀 괜찮은 것 같아서 나같은 아마추어는 보면서 따라하면 좋을 것 같다.
그 밖에도 각종 취약점 점검을 진행할 때의 추진 근거로 국내 법령을 준수하였다. 다들 아는 개보법이나 정통망법 이하 하위 법률 및 규칙 등을 참고하였다.

내가 맡은 파트는 주통기반 가이드 기준으로 Linux Server의 서비스 관리이다.

살짝 시식용으로 하단에 작성 내용을 첨부한다.

3. 서비스 관리 (Service Management)

불필요한 서비스는 공격 표면(Attack Surface)을 넓히는 주된 요인이다. 제공된 아키텍처에 따르면 web-ec2는 웹 서버 역할을 수행하므로, 이와 무관한 서비스는 모두 비활성화되어야 한다.

U-34: Finger 서비스 비활성화

점검 내용: Finger 서비스 비활성화 여부 점검
점검 목적: Finger 서비스를 통해 네트워크 외부에서 해당 시스템에 등록된 사용자 정보를 확인할 수 있어 비인가자에게 사용자 정보가 조회되는 것을 방지하기 위함
보안 위협: Finger 서비스가 활성화되어 있을 경우, 비인가자가 Finger 서비스를 사용하여 사용자 정보를 조회한 후 비밀번호 공격을 통해 계정을 탈취할 위험이 존재함

진단방법:

  dpkg -l | grep finger #finger 패키지 설치 여부 확인

  systemctl list-units --type=service | grep finger #실행 중인 finger 서비스 확인

  ss -lntp | grep :79 #포트 열림 여부 확인(finger는 TCP 79번 포트 사용)

조치방법:

Finger 패키지를 삭제하거나 서비스를 중지한다.
```
  sudo apt purge finger
  sudo apt autoremove
```
근거: 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제28조(정보보호조치)

결론 : finger 서비스 점검 결과, Ubuntu 시스템 특성상 finger 서비스 및 xinetd/inetd가 설치되어 있지 않으며, 관련 서비스 및 포트(TCP 79)가 활성화되어 있지 않음을 확인함. 따라서 finger 서비스는 비활성화 상태로 양호함.

그림 3-1 : Finger 서비스 비활성화

뭐 대충 이런 식으로 진행을 하였다. 근데 점검하다 보니까 아키텍처를 구축할 때 서비스를 올려놓은 게 없어.... 그래서 뭐랄까 싹 다 취약점이 없긴 하다. 근데 또 발표할 때 아래와 같이 말을 할 수는 없지 않은가.

"서비스 올려놓은 게 없어서 취약점 점검할 게 없어가지고 그냥 다 양호로 때렸는데요..."

사실 맞말이라 뭐라하기는 좀 그렇지만 회사 갔는데 이러면 바로 죽탱이 날아갈 것 같은 발언이라고 생각이 들어서 나름대로 진단 방법과 진단 방법에 따라서 진단 했을 시에 발견된 부분들에 대한 조치 방법을 기술하였다. 당연히 법 좋아하는 한국인들처럼 어떤 점검 항목을 진단하고 조치했으면 그에 대한 명확한 추진 근거가 있어야 되지 않은가. 그래서 근거도 삽입하고, 종합 선물세트처럼 우리가 진행하는 프로젝트에 대해서 이래이래해서 저렇게했더니 요래요래 나와서 해당 취약점 항목은 양호하다고 판단하였다는 플로우로 진행을 하였다.
이런 식으로 한 바퀴 돌려주고 구축한 EC2 접속해서 실후기를 남겨야지 또 신뢰가 가니까 기념사진도 한 방 찍어준다.

이렇게 열심히 하던 와중에, 카톡을 하나 받았다.

아주 기분이 좋았다!
지금 글 쓰고 있을 때는 이미 1월 1일 되어버렸으나, 글 읽는 사람 모두 신년에는 좋은 기운을 받았으면 좋겠다.

[SK shieldus Rookies 29기] 35일차

atfield1988 — Wed, 14 Jan 2026 10:44:18 +0900

다음 이 시간에라고 적기는 했지만 오늘 3일 분량을 다 올려야 해서 바로 적는다.
어제 열심히 구축을 하고 뿌듯해하면서 AWS를 닫았다.

오늘 수업 시간에 갑자기 강사님께서 인프라 취약점을 점검하려면 어제 설정한 로드밸러서나, WAF 등은 취약점을 점검하기 위해서는 없어야 된다고 말씀하시길래 누구보다 빠르게 삭제를 진행하고 취약점을 점검하려고 하였는데 갑자기 개인 과제가 추가되면서 기본적으로 취약점 진단 할 수 있을 정도까지 아키텍처만 구축하고 나머지는 하실 분들만 개인 과제로 스샷떠서 제출하라고 하셨다. 당연히 그냥 일부만 해서 제출해도 되지만 그러면 어제 내가 열심히 한 것을 날려버리니까 다시 열라리 처음부터 재구축을 했다. 그래서 어찌저찌 어제 구축한 거 싹 다 날리고 처음부터 다시 했다.
그런데 또 슬픈 일이 벌어진다......
다음 이 시간에..

[SK shieldus Rookies 29기] 34일차

atfield1988 — Wed, 14 Jan 2026 10:43:10 +0900

이 이야기는 2025년 12월 29일 이야기이다.
지날 3일 간 바쁘다 보니 글 올리는 것을 살짝 까먹고 있었다.

오늘 1차 사후 평가를 봤다.
그동안 배운 내용을 종합하여 시험을 본 결과는......
생각보다 잘 나오지는 않았다..솔직히 안 배운 내용도 좀 있는 듯한 느낌이 들었다.
자신감은 100점이었는데, 자신감에 비해 실력을 너무 젬병이었다.
그나마 위안으로 삼을 만한 것은 평균보다는 잘 봤다.
공부를 열심히 한 애플리케이션 보안 기술을 제일 못 봤음 ㅠㅠ
반면에 별 생각 안한 클라우드 보안 기술은 생각보다 점수가 높게 나왔다.(물론 잘 봤다는 것은 아니다. 어디까지나 내 생각보다 높게 나왔다는 거임)

아무튼 1차 사후평가에 대한 사견은 여기까지 하고 이제는 모듈 프로젝트를 진행해야 한다.

이번 모듈 프로젝트는 강사님께서 제시하신 AWS 아키텍처를 기반으로 인프라 취약점을 진단하는 것이다. 한마디로 인프라 점검하는 거다.
아키텍처나 여타 자료들을 공유하고 싶은 마음은 굴뚝같지만 알다시피 컴플라이언스 이슈로 업로드는 못한다.

Anyway, 아키텍처를 따라 열심히 구축을 했지만... 슬픈 일이 벌어진다.
궁금하면 다음 이 시간에...

사실 오늘은 할 말이 없다. 앞으로도 당분간 할 말이 없다.

[SK shieldus Rookies 29기] 33일차

atfield1988 — Wed, 14 Jan 2026 10:42:25 +0900

9. AWS 보안 개요

9.1 클라우드 보안 3대 원칙

CIA 트라이어드 (Confidentiality, Integrity, Availability)

정보 보안의 3가지 핵심 원칙

Confidentiality (기밀성)

권한 있는 사람만 접근
암호화, 접근 제어

Integrity (무결성)

데이터가 변조되지 않음
해시, 디지털 서명

Availability (가용성)

필요할 때 항상 접근 가능
중복화, 백업, 장애 조치

예시

온라인 뱅킹 서비스:

기밀성 (Confidentiality):

계좌 정보를 나만 볼 수 있어야 함
HTTPS 암호화, 로그인 인증

무결성 (Integrity):

송금 금액이 도중에 변경되면 안 됨
거래 기록이 조작 불가능해야 함
디지털 서명으로 검증

가용성 (Availability):

언제든지 계좌 조회 가능해야 함
장애 발생 시에도 빠르게 복구
다중 데이터센터 배치

9.2 AWS 공동 책임 모델(Shared Responsibility Model)

모델 이해하기

서비스별 책임 구분

IaaS (EC2 예시)

AWS 책임:

물리 보안
네트워크 인프라
하이퍼바이저 관리
하드웨어 패치

사용자 책임:

OS 보안 (보안 그룹, 방화벽)
애플리케이션 보안
데이터 암호화
접근 관리 (IAM)
로그 모니터링

PaaS (RDS 예시)

AWS 책임:

물리 보안
네트워크 인프라
데이터베이스 엔진 관리
OS 패치
자동 백업

사용자 책임:

데이터베이스 계정 관리
암호화 키 관리
접근 제어 (보안 그룹)
데이터 마스킹
감시 및 로깅

SaaS (예: AWS 관리 서비스)

AWS 책임:

모든 보안 관리
인프라
소프트웨어
데이터 보호

사용자 책임:

계정 보안 (MFA 설정)
접근 권한 관리
└─ 데이터 분류

공동 책임 체크리스트

AWS가 관리하는 것:
□ 데이터센터 물리 보안
□ 네트워크 인프라 보안
□ 하드웨어 패치 및 관리
□ 기본 인프라 DDoS 방어
□ 서비스 가용성

사용자가 관리해야 할 것:
□ 강력한 암호 설정
□ MFA 활성화
□ IAM 권한 최소화
□ 보안 그룹 올바르게 설정
□ 데이터 암호화
□ 로그 수집 및 모니터링
□ 정기적 보안 감사
□ 인증서 갱신
□ 소프트웨어 업데이트
□ 재해 복구 계획

9.3AWS 보안 서비스 상세

AWS KMS (Key Management Service)

KMS 개념

KMS = 암호화 키 관리 서비스

특징:

마스터 키(Master Key) 생성 및 관리
키 자동 회전
감사 로깅 (누가, 언제, 뭘 사용했는지)
CloudTrail과 통합
AWS 서비스 통합 (RDS, S3, EBS, Lambda 등)

KMS 암호화 방식

CMK (Customer Master Key) 생성
- AWS 또는 사용자가 관리하는 키
Data Key 생성
- CMK로 암호화된 데이터 키
- 실제 데이터 암호화에 사용
Envelope Encryption(봉투 암호화)
)

KMS 사용 사례

import boto3
import base64

# KMS 클라이언트 초기화
kms_client = boto3.client('kms')

# 1. 데이터 암호화
response = kms_client.encrypt(
    KeyId='arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012',
    Plaintext=b'my_sensitive_data'
)

ciphertext = response['CiphertextBlob']
print(f"Encrypted: {base64.b64encode(ciphertext)}")

# 2. 데이터 복호화
decrypt_response = kms_client.decrypt(CiphertextBlob=ciphertext)
plaintext = decrypt_response['Plaintext']
print(f"Decrypted: {plaintext.decode()}")

AWS WAF (Web Application Firewall)

WAF 개념

WAF = 웹 애플리케이션 보안 방화벽

보호 대상:

ALB (Application Load Balancer)
CloudFront (CDN)
API Gateway
AppSync (GraphQL)

방어 기능:

SQL Injection 공격 탐지
XSS (Cross-Site Scripting) 차단
DDoS 공격 방어
Rate Limiting (요청 제한)
Geo Blocking (지역 차단)
Bot 관리

WAF Rule 예시

{
  "Name": "SQLiProtectionRule",
  "Priority": 1,
  "Statement": {
    "SqliMatchStatement": {
      "FieldToMatch": {
        "Body": {}
      },
      "TextTransformations": [
        {
          "Priority": 0,
          "Type": "URL_DECODE"
        }
      ]
    }
  },
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "SQLiProtectionRule"
  }
}

AWS Shield

Shield 개념

Shield = DDoS 공격 방어 서비스

2가지 레벨:

AWS Shield Standard (무료)
- 모든 AWS 고객에게 자동 제공
- L3/L4 DDoS 공격 방어
- 기본적인 네트워크 보호
AWS Shield Advanced (유료)
- L3/L4/L7 DDoS 공격 방어
- 24/7 DDoS Response Team (DRT)
- 비용 보호 (공격으로 인한 요금 보호)
- WAF 통합

Amazon GuardDuty

GuardDuty 개념

GuardDuty = AI 기반 위협 탐지 서비스

데이터 분석:

CloudTrail Logs (API 호출)
VPC Flow Logs (네트워크 트래픽)
DNS Logs (DNS 쿼리)

위협 탐지:

비정상적인 API 호출
데이터 유출 시도
암호화폐 채굴 활동 (CryptoCurrency)
암호화폐 채굴기 설치 (Trojan)
무단 접근 시도
악성 IP 통신

GuardDuty Finding 예시

Finding 1: CryptoCurrencyEC2BitcoinTool
├─ Severity: HIGH
├─ Resource: EC2 Instance i-011e73af27562827b
├─ Description: Bitcoin 채굴기 탐지됨
└─ Action: EC2 즉시 격리, 스냅샷 생성, 이미지 분석

Finding 2: UnauthorizedAccess:EC2/RDPBrute
├─ Severity: HIGH
├─ Resource: EC2 Instance i-0191573dec3b66924
├─ Description: RDP 포트에서 무차별 공격 탐지
└─ Action: 보안 그룹 업데이트 (RDP 차단)

Finding 3: Trojan:EC2/DNSDataExfiltration
├─ Severity: CRITICAL
├─ Resource: EC2 Instance i-011e73af27562827b
├─ Description: DNS를 통한 데이터 유출 탐지
└─ Action: 네트워크 격리, 즉시 조사

Amazon Macie

Macie = 데이터 보안 및 개인정보보호 서비스

기능:

S3의 민감한 데이터 자동 탐지
PII (개인식별정보) 발견
PCI-DSS, HIPAA 규정 준수 확인
데이터 분류 및 태그 지정
비정상적인 S3 활동 탐지

예시:

S3 버킷에서 신용카드 번호 발견 → 자동 태그
갑자기 대량의 S3 다운로드 → 경고
공개 액세스 가능한 파일 발견 → 알림

AWS Secrets Manager

Secrets Manager = 민감한 정보 관리

관리 항목:

데이터베이스 암호
API 키
OAuth 토큰
SSH 키
기타 비밀 정보

기능:

자동 순환 (자동 암호 변경)
버전 관리
CloudTrail 감시
암호화된 저장소
권한 기반 접근 제어

Secrets Manager 사용 예시

import boto3
import json

secrets_client = boto3.client('secretsmanager')

# 1. 비밀 생성
response = secrets_client.create_secret(
    Name='prod/db/password',
    SecretString=json.dumps({
        'username': 'dbadmin',
        'password': 'MySecurePassword123!'
    }),
    Description='Production Database Password'
)

# 2. 비밀 조회
secret_response = secrets_client.get_secret_value(SecretId='prod/db/password')
secret = json.loads(secret_response['SecretString'])

db_password = secret['password']
print(f"Database Password Retrieved (비밀번호 조회됨)")

# 3. 자동 순환 설정
secrets_client.rotate_secret(
    SecretId='prod/db/password',
    RotationLambdaARN='arn:aws:lambda:...',
    RotationRules={'AutomaticallyAfterDays': 30}
)

9.4로그 및 감시 서비스

AWS CloudTrail

CloudTrail 개념

CloudTrail = AWS API 호출 기록 서비스

기록하는 것:

WHO: 누가 (IAM 사용자/역할)
WHAT: 뭘 (어떤 API 호출)
WHEN: 언제 (타임스탬프)
WHERE: 어디서 (소스 IP)
HOW: 성공/실패 여부

기록되는 이벤트:

EC2 인스턴스 시작/중지
S3 버킷 생성/삭제
IAM 사용자 추가/제거
RDS 스냅샷 생성
모든 AWS API 호출

CloudTrail Log 예시

{
  "eventVersion": "1.05",
  "userIdentity": {
    "type": "IAMUser",
    "principalId": "AIDAI23HXC3A5JCJQFVHQ",
    "arn": "arn:aws:iam::123456789012:user/alice",
    "accountId": "123456789012",
    "userName": "alice"
  },
  "eventTime": "2025-12-22T10:15:30Z",
  "eventSource": "ec2.amazonaws.com",
  "eventName": "TerminateInstances",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "203.0.113.45",
  "userAgent": "aws-cli/2.1.0",
  "requestParameters": {
    "instancesSet": {
      "items": [
        {
          "instanceId": "i-1234567890abcdef0"
        }
      ]
    }
  },
  "responseElements": null,
  "requestId": "12345678-1234-1234-1234-123456789012",
  "eventID": "1234567890",
  "resources": [
    {
      "ARN": "arn:aws:ec2:us-east-1:123456789012:instance/i-1234567890abcdef0",
      "accountId": "123456789012",
      "type": "AWS::EC2::Instance"
    }
  ]
}

CloudTrail 활성화

S3 버킷 생성
- CloudTrail 로그 저장소
CloudTrail 트레일 생성
- 이벤트 유형 선택 (Management, Data, Insights)
- S3 버킷 지정
CloudWatch Logs와 통합 (Optional)
- 실시간 로그 분석
SNS 알림 설정 (Optional)
- 중요 이벤트 시 즉시 알림

설정 시간: 약 15분

VPC Flow Logs

VPC Flow Logs 개념

VPC Flow Logs = 네트워크 트래픽 기록

기록하는 것:

소스 IP, 목적지 IP
소스 포트, 목적지 포트
프로토콜 (TCP, UDP, ICMP)
송수신 바이트/패킷 수
ACCEPT/REJECT 여부

Log에 포함되지 않는 정보

Amazon DNS 서버 트래픽(개인 호스트 영역 쿼리 포함)
Amazon에서 제공하는 Windows 라이선스 활성화 트래픽
인스턴스 메타 데이터 요청(169.254.169.254)
DHCP 요청과 응답
ARP 및 NTP(169.254.169.123

VPC Flow Logs 포맷

version account-id interface-id srcaddr dstaddr srcport 
dstport protocol packets bytes start end action log-status

예시:
2 123456789012 eni-1234567890abcdef0 10.0.1.5 10.0.2.3 
49753 443 6 10 1234 1640000000 1640000060 ACCEPT OK

VPC Flow Logs 분석

import boto3

logs_client = boto3.client('logs')

# CloudWatch Logs에서 거부된 연결 조회
query = """
fields @timestamp, srcip, dstip, dstport, action
| filter action = "REJECT"
| stats count() by dstport
"""

response = logs_client.start_query(
    logGroupName='/aws/vpc/flowlogs',
    startTime=int((datetime.now() - timedelta(hours=1)).timestamp()),
    endTime=int(datetime.now().timestamp()),
    queryString=query
)

print("Rejected connections by destination port:")
# 포트별 거부된 연결 수 출력

CloudWatch Logs

CloudWatch Logs 개념

CloudWatch Logs = 로그 수집 및 분석

로그 수집 대상:

EC2 애플리케이션 로그
Lambda 함수 로그
VPC Flow Logs
CloudTrail
Route 53 쿼리 로그
ALB 액세스 로그

기능:

실시간 검색
로그 필터링
메트릭 생성
알람 설정
보관 정책 (자동 삭제)

CloudWatch Logs Insights 쿼리 예시

-- 1. 에러 로그 개수 세기
fields @timestamp, @message
| filter @message like /ERROR/
| stats count() as error_count

-- 2. 상위 10개 에러 메시지
fields @message
| filter @message like /ERROR/
| stats count() as count by @message
| sort count desc
| limit 10

-- 3. API 응답 시간 분석
fields @duration
| filter ispresent(@duration)
| stats avg(@duration), max(@duration), pct(@duration, 99)

-- 4. 시간대별 요청 수
fields @timestamp
| stats count() by bin(5m)

9.5규정 준수 및 감시

AWS Config

Config 개념

AWS Config = 리소스 규정 준수 모니터링

기능:

리소스 인벤토리 기록
설정 변경 추적
규정 준수 규칙 정의
비준수 리소스 탐지
자동 재구성 (자동 수정)

Config Rule 예시

encrypted-volumes
- EBS 볼륨이 암호화되었는가?
- 비준수: 암호화되지 않은 볼륨

cloudtrail-enabled
- CloudTrail이 활성화되었는가?
- 비준수: CloudTrail 비활성화

root-account-mfa-enabled
- Root 계정에 MFA가 설정되었는가?
- 비준수: MFA 미설정

iam-password-policy
- IAM 암호 정책이 강력한가?
- 비준수: 약한 정책 (예: 8자 이하)

s3-bucket-public-read-prohibited
- S3 버킷이 공개 읽기 가능한가?
- 비준수: 공개 액세스 허용

AWS Systems Manager

Systems Manager 기능

Systems Manager = EC2 및 온프레미스 서버 관리

주요 기능:

Session Manager (SSH/RDP 없이 접속)
Patch Manager (OS 패치 자동화)
State Manager (원하는 상태 유지)
Inventory (리소스 인벤토리)
Run Command (원격 명령어 실행)

Session Manager 예시

기존 방식 (보안 취약):
ec2-user@44.55.66.77$ ssh -i mykey.pem ...

SSH 키 필요
공개 IP 필요
키 분실 시 위험

Systems Manager 방식 (보안 강화):
$ aws ssm start-session --target i-1234567890abcdef0

SSH 키 불필요
공개 IP 불필요
IAM 권한으로 제어
모든 세션 로깅 (CloudTrail)

9.6 보안 베스트 프랙티스

IAM 보안 베스트 프랙티스

해야 할 것

Root 계정 사용 최소화
Root 계정에 MFA 설정
강력한 암호 정책
정기적 접근 검토
불필요한 사용자 삭제
IAM 역할 사용 (임시 자격증명)

하지 말아야 할 것

Root 계정 접근 키 생성
하드코딩된 자격증명
와일드카드 권한
(와일드카드는 조직의 IAM ID(사용자, 그룹, 역할)에 의도치 않은 권한을 부여)
과도한 권한 부여
비활성 사용자 방치
암호 공유

네트워크 보안 베스트 프랙티스

VPC 설계:

Public Subnet (웹 서버, ALB)
Private Subnet (애플리케이션, 데이터베이스)
NAT Gateway (아웃바운드 트래픽)
VPC Endpoint (AWS 서비스 접근)

보안 그룹:

Inbound: 필요한 포트만 (80, 443, 22)
Outbound: 기본 모두 허용
정기적 감사

NACL:

Stateless 규칙
명시적 거부
프로토콜별 관리

데이터 보안 베스트 프랙티스

저장 데이터 보호:

S3: 서버 측 암호화 활성화 (SSE-S3 또는 SSE-KMS)
RDS: 스토리지 암호화 활성화
EBS: 볼륨 암호화 활성화
Secrets Manager: 민감 정보 암호화

전송 중 데이터 보호:

HTTPS/TLS 사용 (포트 443)
VPN 또는 Direct Connect 사용
API 호출 시 HTTPS 강제
자체 서명 인증서 사용 금지

데이터 분류:

Public: 공개 정보
Internal: 내부 정보
Confidential: 민감 정보
Restricted: 극도로 민감한 정보

접근 제어:

데이터 소유자 정의
최소 권한 부여
정기적 검토
감사 로깅

AWS Best Practice Official Site 참조

보안 감시 대시보드 구성

CloudWatch Dashboard 구성요소:

보안 메트릭
- Failed API Calls (실패한 API 호출)
- UnauthorizedAPICall (미인가 API 호출)
- ConsoleSigninFailures (콘솔 로그인 실패)
- RootAccountUsage (Root 계정 사용)
GuardDuty 메트릭
- High Severity Findings (심각한 위협)
- Medium Severity Findings (중간 위협)
- Finding Count Trend (위협 추이)
Config 메트릭
- Non-Compliant Resources (비준수 리소스)
- Compliant Resources (준수 리소스)
- Compliance Trend (준수 추이)
VPC Flow Logs
- Rejected Connections (거부된 연결)
- Top Rejected Ports (거부된 포트)
- Suspicious IPs (의심 IP)

알람 설정:

Root 계정 사용 → 즉시 알림
MFA 없이 로그인 → 즉시 알림
고위험 GuardDuty Finding → 15분 알림
비준수 리소스 증가 → 1시간 알림
거부된 연결 급증 → 5분 알림

드디어 클라우드 보안 기술이 끝났다!
막판에 서비스들이 쏟아지니까 정신을 못 차리겠다.