Day 40: 종합 정리
[ 1. 전체 학습 내용 요약 - Day 1-40 전체 목차 ]
[ 01_기본법률 (26일) ]
개인정보 관련 법률
- Day 1-8 : 개인정보보호법 (8일)
- Day 9-10 : 정보통신망법 (2일)
- Day 12 : 전자금융거래법 (1일)
- Day 13 : 신용정보법 (1일)
- Day 36 : 데이터 3법 비교 (1일)
기타 기본 법률
- Day 14 : 산업기술보호법
- Day 15 : 부정경쟁방지법
- Day 31 : 정보통신기반보호법
- Day 32 : 전기통신사업법
- Day 37 : 형법 (정보통신 범죄)
- Day 39 : 저작권법
법령 체계
- Day 30 : 법령 체계의 이해
고시 및 지침
- Day 26 : 개인정보 안전성 확보조치 기준
- Day 27 : 전자금융감독규정
- Day 28 : 클라우드 보안 인증제도 (CSAP)
- Day 29 : 국가정보보안 기본지침
실무 프로세스
- Day 33 : 수탁사 관리
- Day 34 : 개인정보 영향평가 (PIA)
- Day 35 : ISMS-P 인증 실무
- Day 38 : 침해사고 대응 실무
[ 02_산업별규제 (4일) ]
- Day 16 : 전자서명법
- Day 17 : 위치정보법
- Day 18 : 의료법 및 생명윤리법
- Day 19 : 전자정부법
[ 03_인증및국제표준 (7일) ]
- Day 20 : ISO 27001
- Day 21 : ISO 27002
- Day 22 : ISO 27701
- Day 23 : PCI-DSS
- Day 24 : GDPR
- Day 25 : SOC 2
총 40일
[ 2. 핵심 법률 10개 요약 ]
[ 2.1 개인정보보호법 ]
한 줄 요약 : 모든 개인정보처리자에게 적용되는 일반법
핵심 키워드
- 동의, 목적 명시, 최소 수집
- 안전성 확보 조치 (암호화 : AES-256, SHA-256)
- 개인정보 유출 시 신고 및 통지
- 민감정보 : 별도 동의
- 고유식별정보 : 별도 동의
- 가명정보 : 통계-연구 목적, 동의 불필요
처벌
- 5년 이하 징역 또는 5천만원 이하 벌금
- 과징금 : 매출액 3%
[ 2.2 정보통신망법 ]
한 줄 요약 : 온라인 서비스 제공자에게 적용되는 특별법
핵심 키워드
- 주민등록번호 수집 사실상 금지
- CISO 지정 의무 (매출 100억 또는 이용자 100만명)
- ISMS-P 인증 의무 (동일 기준)
- 개인정보보호법보다 엄격
처벌
- 5년 이하 징역 또는 5천만원 이하 벌금
[ 2.3 신용정보법 ]
한 줄 요약 : 금융-신용 정보 처리자에게 적용
핵심 키워드
- 신용정보회사, 은행, 카드사 등
- 주민등록번호 수집 가능 (금융 필수)
- 암호화 기준 상대적 완화 (128비트 이상)
- CISO 지정 의무
처벌
- 5년 이하 징역 또는 5천만원 이하 벌금
- 과징금 : 매출액 3%
[ 2.4 정보통신기반보호법 ]
한 줄 요약 : 국가 주요 기반시설 보호
핵심 키워드
- 주요정보통신기반시설 (약 300개, 비공개)
- 7개 분야 : 통신, 금융, 에너지, 교통, 수자원, 의료, 국방
- 연 1회 취약점 평가 의무
- CISO 지정
처벌
- 침해 시 10년 이하 징역 (가장 무거움)
[ 2.5 전자금융거래법 ]
한 줄 요약 : 금융거래의 전자적 처리 규율
핵심 키워드
- 전자금융감독규정 (고시)
- CISO 지정 의무
- 암호화, 망분리, 보안관제 24/365
- 재해복구 : RTO 4시간
처벌
- 5년 이하 징역 또는 5천만원 이하 벌금
[ 2.6 개인정보 안전성 확보조치 기준 ]
한 줄 요약 : 개인정보보호법 제29조의 구체적 기준 (고시)
핵심 키워드
- 암호화 : 비밀번호 (SHA-256), 고유식별정보 (AES-256), 전송 (TLS 1.2)
- 접속기록 : 1년 보관 (5만명 이상 2년)
- 월 1회 점검
- 비밀번호 10자 이상
[ 2.7 형법 (정보통신 범죄) ]
한 줄 요약 : 정보통신 관련 범죄 처벌
핵심 키워드
- 컴퓨터등사용사기죄 : 10년 이하
- 컴퓨터등장애업무방해죄 : 5년 이하 (랜섬웨어, DDoS)
- 비밀침해죄 : 3년 이하
- 정보통신망 침해 (해킹) : 5년 이하
[ 2.8 ISMS-P ]
한 줄 요약 : 정보보호 및 개인정보보호 관리체계 인증
핵심 키워드
- 104개 인증기준 (관리체계 16 + 보호대책 64 + 개인정보 22)
- 의무 대상 : 매출 100억 또는 이용자 100만명 또는 매출 10억 쇼핑몰/PG
- 유효 기간 : 3년 (연 1회 사후 심사)
- 준비 > 신청 > 문서 심사 > 현장 심사 > 시정 > 인증
[ 2.9 개인정보 영향평가 (PIA) ]
한 줄 요약 : 개인정보 침해 위험 사전 평가
핵심 키워드
- 대상 : 5만명 이상 민감정보, 50만명 이상 주민번호, 1만명 이상 국외 이전 등
- 공공기관 의무 (민간 자율)
- 평가 기관 : KISA 또는 전문기관
- 절차 : 현황 조사 > 흐름도 > 위험 분석 > 개선 방안 > 위원회 제출
[ 2.10 수탁사 관리 ]
한 줄 요약 : 개인정보 처리 위탁 시 관리-감독
핵심 키워드
- 연 1회 이상 점검 의무
- 위탁 계약 필수 (목적, 안전성 확보, 재위탁 제한, 손해배상)
- 점검 방법 : 서면 또는 현장
- 수탁자 사고 시 위탁자 책임
[ 3. 법률 비교 정리 ]
[ 3.1 적용 대상 비교 ]
- 개인정보보호법 > 모든 개인정보처리자
- 정보통신망법 > 온라인 서비스 제공자
- 신용정보법 > 금융-신용정보 처리자
- 전자금융거래법 > 금융거래 전자적 처리
- 정보통신기반보호법 > 주요기반시설 (국가 지정)
- 전기통신사업법 > 통신사업자
[ 3.2 처벌 수위 비교 ]
- 주요기반시설 침해 (정통기반법) > 10년 이하 징역 또는 1억 이하 벌금
- 컴퓨터등사용사기 (형법) > 10년 이하 징역 또는 3천만원 이하 벌금
- 정보통신망 침해-해킹 (정통망법) > 5년 이하 징역 또는 5천만원 이하 벌금
- 개인정보 부정 이용 (개보법) > 5년 이하 징역 또는 5천만원 이하 벌금
- 컴퓨터등장애업무방해 (형법) > 5년 이하 징역 또는 1천500만원 이하 벌금
- 명의도용 (정통망법) > 3년 이하 징역 또는 3천만원 이하 벌금
- 비밀침해 (형법) > 3년 이하 징역-금고 또는 500만원 이하 벌금
- 재물손괴 (형법) > 3년 이하 징역 또는 700만원 이하 벌금
- 안전조치 의무 위반 (개보법) > 2년 이하 징역 또는 2천만원 이하 벌금
- 통신비밀 침해 (전기통신법) > 1년 이하 징역 또는 1천만원 이하 벌금
[ 3.3 암호화 기준 비교 ]
비밀번호
- 개인정보보호법 : SHA-256 이상 해시
- 정보통신망법 : SHA-256 이상 해시
- 신용정보법 : 일방향 암호화
고유식별정보 등
- 개인정보보호법 : AES-256 등
- 정보통신망법 : AES-256 등
- 신용정보법 : 128비트 이상
전송
- 개인정보보호법 : TLS 1.2 이상
- 정보통신망법 : TLS 1.2 이상
- 신용정보법 : 암호화 통신
[ 3.4 CISO 지정 의무 비교 ]
- 정보통신망법 > 매출 100억 이상 또는 이용자 100만명 이상
- 신용정보법 > 신용정보회사 등
- 전자금융거래법 > 금융기관
- 정보통신기반보호법 > 주요기반시설 관리기관
- 개인정보보호법 > 별도 규정 없음
[ 4. 실무 프로세스 정리 ]
[ 4.1 침해사고 대응 6단계 ]
1. 준비 (사전)
- CSIRT 구성
- 대응 절차서 작성
- 도구 준비
- 훈련
2. 탐지 및 분석
- 자동 탐지, 모니터링, 신고
- 로그 분석
- 침입 경로 파악
- 피해 범위 확인
3. 억제
- 격리
- 계정 차단
- 추가 피해 차단
4. 제거
- 악성코드 제거
- 취약점 패치
- 백도어 제거
5. 복구
- 백업 복구 또는 재설치
- 서비스 재개
6. 사후 조치
- 법적 신고 (개보위, 경찰)
- 정보주체 통지
- 사고 보고서
- 재발 방지
핵심 시간
- 초동 대응 : 즉시
- 법적 신고 : 24시간 내 권장
- 정보주체 통지 : 24-48시간 내
[ 4.2 ISMS-P 인증 절차 ]
1. 준비 (3-6개월)
- Gap 분석
- 개선 조치
- 문서화
- 내부 심사
2. 신청
3. 문서 심사 (1-2주)
4. 현장 심사 (2-3일)
- 문서 검토
- 인터뷰
- 시스템 확인
- 현장 확인
5. 시정 조치 (1-2개월)
6. 인증 발급
7. 사후 관리 (연 1회, 3년)
총 기간 : 6-9개월
[ 4.3 수탁사 점검 절차 ]
1. 사전 준비
- 점검 계획 수립
- 체크리스트 준비
- 일정 협의
2. 서면 점검
- 자가진단표 송부
- 회수 및 검토
3. 현장 점검 (선별)
- 방문
- 인터뷰
- 시스템 확인
4. 결과 작성
- 점검 보고서
- 개선 권고
5. 개선 조치
- 수탁사 개선
- 확인
주기 : 연 1회 이상
[ 4.4 개인정보 영향평가 절차 ]
1. 계획 수립
2. 팀 구성
3. 평가 수행
- 현황 조사
- 개인정보 흐름도 작성
- 위험 분석
- 개선 방안 도출
- 법적 검토
4. 보고서 작성
5. 위원회 제출
6. 의견 청취
7. 개선 조치
기간 : 2-4개월
비용 : 2천만원-1억원
[ 5. 보안 기술 요구사항 정리 ]
[ 5.1 암호화 ]
비밀번호
- SHA-256 이상 (일방향 해시)
- Salt 적용
고유식별정보, 바이오정보
- AES-256, ARIA-256, SEED-256 등
전송
- TLS 1.2 이상
금융권 (전자금융감독규정)
- 128비트 이상 (실무에서는 AES-256)
[ 5.2 접근통제 ]
계정 관리
- 최소 권한 원칙
- 직무 분리
- 주기적 권한 재검토
비밀번호 정책
- 10자 이상
- 영문-숫자-특수문자 조합
- 90일마다 변경 권고
- 3회 실패 시 계정 잠금
로그 관리
- 접속기록 1년 보관 (5만명 이상 2년)
- 월 1회 이상 점검
[ 5.3 네트워크 보안 ]
방화벽
- 인바운드/아웃바운드 통제
- 최소 허용 원칙
침입탐지/차단
- IDS/IPS 운영
- 실시간 모니터링
망분리
- 업무망/인터넷망 분리
- 물리적 또는 가상적
[ 5.4 물리적 보안 ]
출입통제
- 전산실 출입 기록
- 권한자만 출입
CCTV
- 30일 이상 보관
- 주요 구역 설치
매체 관리
- USB 차단 또는 통제
- 반출입 기록
[ 6. 법적 신고 및 대응 ]
[ 6.1 개인정보 유출 시 ]
신고 대상
- 개인정보보호위원회 (또는 KISA)
- 경찰 (선택)
신고 시기
- 유출 확인 즉시 (24시간 내 권장)
통지 대상
- 정보주체 (개별 통지)
통지 내용
- 유출된 개인정보 항목
- 유출 시점 및 경위
- 피해 최소화 방법
- 대응 조치
- 피해 구제 절차
[ 6.2 침해사고 시 ]
신고
- KISA (118)
- 경찰 (112)
고소
- 가해자 처벌 원할 시
- 증거 제출 : 로그, 포렌식 결과
민사
- 손해배상 청구
[ 6.3 주요 연락처 ]
한국인터넷진흥원 (KISA)
- 전화 : 국번없이 118
개인정보보호위원회
- 전화 : 1833-6972
경찰청 사이버안전국
- 전화 : 국번없이 112
[ 7. 체크리스트 ]
[ 7.1 개인정보 보호 체크리스트 ]
동의
- 수집-이용 동의 획득
- 제3자 제공 동의 (해당 시)
- 민감정보 별도 동의 (해당 시)
- 고유식별정보 별도 동의 (해당 시)
암호화
- 비밀번호 SHA-256 이상 해시
- 고유식별정보 AES-256 등
- 전송 TLS 1.2 이상
접근통제
- 최소 권한 원칙
- 비밀번호 정책 (10자 이상 등)
- 접속기록 1년 보관
점검
- 월 1회 접속기록 점검
- 연 1회 수탁사 점검 (해당 시)
교육
- 연 1회 개인정보 보호 교육
[ 7.2 정보보호 체크리스트 ]
조직
- CISO 지정 (해당 시)
- 보안 조직 구성
정책
- 정보보호 정책 수립
- 개인정보처리방침 공개
기술
- 방화벽, IDS/IPS
- 백신
- 암호화
- 망분리
물리적
- 출입통제
- CCTV
- 매체 관리
인증
- ISMS-P (해당 시)
- ISO 27001 (선택)
[ 7.3 침해사고 대응 체크리스트 ]
사전
- CSIRT 구성
- 대응 절차서 작성
- 도구 준비
- 훈련 (연 1회)
발생 시
- 격리
- 증거 보존
- 로그 분석
- 법적 신고
- 정보주체 통지
사후
- 사고 보고서
- 재발 방지
[ 8. 주요 용어 정리 ]
개인정보
- 살아 있는 개인을 알아볼 수 있는 정보
민감정보
- 사상-신념, 건강, 성생활, 유전정보, 범죄경력 등
고유식별정보
- 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호
가명정보
- 추가 정보 없이는 특정 개인 식별 불가
익명정보
- 어떤 방법으로도 개인 식별 절대 불가
정보주체
- 개인정보의 주체 (본인)
개인정보처리자
- 개인정보를 처리하는 자 (기업, 기관 등)
처리
- 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기 등
CSIRT
- Computer Security Incident Response Team (침해사고 대응팀)
CISO
- Chief Information Security Officer (정보보호 최고책임자)
DPO
- Data Protection Officer (개인정보 보호책임자)
ISMS-P
- Information Security Management System - Personal information (정보보호 및 개인정보보호 관리체계 인증)
PIA
- Privacy Impact Assessment (개인정보 영향평가)
[ 9. 학습 통계 ]
- 총 학습 일수 : 40일
- 총 학습 법률 : 15개 이상
- 총 학습 분량 : 약 500페이지 이상
- 총 학습 시간 : 약 20시간 (1일 30분 × 40일)
[ 10. 빠른 참조 ]
법률별 적용 대상
- 개인정보보호법 : 모든 개인정보처리자
- 정보통신망법 : 온라인 서비스 제공자
- 신용정보법 : 금융-신용정보 처리자
- 전자금융거래법 : 금융거래 전자적 처리
- 정보통신기반보호법 : 주요기반시설 (국가 지정)
- 전기통신사업법 : 통신사업자
처벌 수위
- 10년 이하 : 주요기반시설 침해, 컴퓨터등사용사기
- 5년 이하 : 해킹, 개인정보 유출, 저작권 침해
- 3년 이하 : 명의도용, 비밀침해, 재물손괴
- 2년 이하 : 안전조치 의무 위반
- 1년 이하 : 통신비밀 침해
암호화 기준
- 비밀번호 : SHA-256 이상 (해시)
- 고유식별정보 : AES-256, ARIA-256 등
- 전송 : TLS 1.2 이상
- 신용정보법 : 128비트 이상
보관 기간
- 접속기록 : 1년 (5만명 이상 2년)
- 접속기록 점검 : 월 1회
- 백업 : 최신 유지
- CCTV : 30일 이상
[ 학습 정리 ]
40일간 학습 내용
- 개인정보보호법, 정보통신망법, 신용정보법 등 핵심 법률 15개
- 안전성 확보조치 기준, 전자금융감독규정 등 고시 및 지침
- ISMS-P, PIA, 수탁사 관리 등 실무 프로세스
- 침해사고 대응, 법적 신고 절차
- ISO 27001, GDPR, PCI-DSS 등 국제 표준
- 형법, 저작권법 등 관련 법률
보안 컨설팅 및 기업 보안 업무에 필요한 법률 지식 습득 완료.