Day 30: 법령 체계의 이해

1. 법령 체계의 개요

1.1 왜 법령 체계를 알아야 하는가?

실무에서의 혼란

“개인정보 암호화는 어디에 나와 있나요?”

- A : 개인정보보호법이요!
- B : 아니요, 안전성 확보조치 기준이요!

둘 다 맞습니다!

- 개인정보보호법 제29조 : "안전성 확보 조치를 해야 한다" (원칙)
- 안전성 확보조치 기준 제6조 : "AES-256으로 암호화" (구체적 방법)

법령의 위계

법령에는 위계(순서) 가 있고, 각각 역할 이 다릅니다.

1.2 법체계 피라미드

[법체계 피라미드]

- 헌법
    - (하위) 법률 (法律)
        - (하위) 시행령 (대통령령)
        - (하위) 시행규칙 (부령)
            - (하위) 행정규칙 (고시, 훈령, 예규 등)

2. 법령의 종류

2.1 헌법 (憲法)

정의 : 국가의 최고 기본법

제정 : 국회 재적의원 2/3 이상 찬성 + 국민투표

효력 : 모든 법률의 최상위

보안 관련 조항

- 제17조 : 사생활의 비밀과 자유
- 제18조 : 통신의 비밀

2.2 법률 (法律)

정의 : 국회가 제정하는 법

제정 절차

- 1. 법률안 발의 (의원 10인 이상 또는 정부)
- 2. 상임위원회 심사
- 3. 본회의 의결 (재적의원 과반수 출석, 출석의원 과반수 찬성)
- 4. 정부 이송
- 5. 대통령 공포 (15일 이내)

명칭 : “○○법” 형태로 표기 (예: 개인정보보호법, 정보통신망법)

특징

- 국민의 권리·의무 에 관한 사항
- 벌칙 (형사처벌) 규정 가능
- 법률로만 정할 수 있음 (법률유보 원칙)

보안 관련 주요 법률

- 개인정보보호법
- 정보통신망 이용촉진 및 정보보호 등에 관한 법률
- 전자금융거래법
- 신용정보의 이용 및 보호에 관한 법률
- 정보통신기반 보호법
- 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률

표기 : 법률 제00000호

2.3 시행령 (施行令) - 대통령령

정의 : 법률의 시행에 필요한 사항 을 정한 대통령령

제정 권한 : 대통령

제정 절차

- 1. 부처 입안
- 2. 법제처 심사
- 3. 차관회의
- 4. 국무회의 심의
- 5. 대통령 재가
- 6. 공포

명칭 : “○○법 시행령” 형태 (예: 개인정보보호법 시행령)

특징

- 법률에서 위임한 사항만 규정 가능
- 법률의 구체화
- 벌칙 규정 불가 (단, 과태료는 가능)

역할

- 법률의 시행 시기
- 법률에서 대통령령으로 정하도록 위임한 사항
- 법률 조항의 구체적 기준

위임 예시

[법률] 개인정보보호법 제34조의2

- "개인정보 영향평가를 받아야 하는 대상은 대통령령으로 정한다"

[시행령] 개인정보보호법 시행령 제35조

- "5만명 이상의 정보주체에 관한 민감정보를 처리하는 경우"

표기 : 대통령령 제00000호

2.4 시행규칙 (施行規則) - 부령

정의 : 법률과 시행령의 시행에 필요한 사항 을 정한 부령

제정 권한 : 국무총리 또는 각 부처 장관

명칭 : “○○법 시행규칙” 형태 (예: 개인정보보호법 시행규칙)

특징

- 법률 또는 시행령에서 위임한 사항만 규정
- 더 세부적인 절차

위임 예시

[시행령] 개인정보보호법 시행령 제30조

- "영향평가 수행 기관은 총리령으로 정한다"

[시행규칙] 개인정보보호법 시행규칙 제18조

- "한국인터넷진흥원"

표기

- 총리령 제000호
- ○○부령 제000호

2.5 행정규칙 (行政規則)

개념

행정기관이 내부적으로 정하는 규칙

특징

- 국민에게 직접적인 구속력 없음 (원칙)
- 행정기관 내부 구속력만
- 단, 실무에서는 사실상 강제력 있음

종류

① 고시 (告示)

정의 : 행정기관이 일정한 사항을 일반에게 알리는 형식

발령 권한 : 각 행정기관장

명칭 : “○○ 고시” 형태 (예: 개인정보의 안전성 확보조치 기준 - 개인정보보호위원회 고시)

특징

- 기술적·전문적 사항 규정
- 구체적인 기준 제시
- 법령보다 자주 개정 (환경 변화 대응)

보안 관련 주요 고시

- 개인정보의 안전성 확보조치 기준 (개인정보보호위원회 고시)
- 개인정보의 기술적·관리적 보호조치 기준 (방송통신위원회 고시)
- 전자금융감독규정 (금융위원회 고시)
- 클라우드 보안 인증 기준 (과학기술정보통신부 고시)

표기 : ○○부 고시 제0000-00호

② 훈령 (訓令)

정의 : 상급기관 이 하급기관 에 대해 발하는 명령

발령 권한 : 상급 행정기관장

명칭 : “○○ 훈령” 형태 (예: 국가정보보안 기본지침 - 국가정보원장 훈령)

특징

- 상하 관계에서만 효력
- 내부 지침

보안 관련 주요 훈령

- 국가정보보안 기본지침 (국가정보원장 훈령)

표기 : ○○부 훈령 제000호

③ 예규 (例規)

정의 : 행정기관이 반복적 행정사무 처리 기준 을 정한 것

특징

- 일선 공무원을 위한 업무 매뉴얼
- 민원 처리 기준

예시

- "개인정보 보호법령 및 지침·고시 해설"
- "○○ 업무처리 지침"

표기 : ○○부 예규 제000호

④ 지침 (指針)

정의 : 특정 업무 수행을 위한 세부 지침

예시

- 행정기관 개인정보보호 지침

3. 법령 간의 관계

3.1 위계 관계

[법령 위계]

- 헌법  >  법률  >  시행령  >  시행규칙  >  행정규칙

상위 법령이 하위 법령에 우선합니다.

원칙

- 하위 법령은 상위 법령에 위반할 수 없음
- 하위 법령은 상위 법령의 위임 범위 내에서만 규정

3.2 법률 vs 시행령 vs 시행규칙 vs 고시

예시: 개인정보 암호화

[법률] 개인정보보호법 제29조 (안전조치의무)

- "개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 조치를 하여야 한다"
- 역할 : 원칙 규정

[시행령] 개인정보보호법 시행령 제30조

- "법 제29조에 따른 안전성 확보에 필요한 조치에 관한 세부 사항은 개인정보보호위원회가 정하여 고시한다"
- 역할 : 고시에 위임

[고시] 개인정보의 안전성 확보조치 기준 제6조

- "비밀번호는 SHA-256 이상의 일방향 암호화 알고리즘으로 암호화하여 저장하여야 한다"
- 역할 : 구체적 기술 기준

역할 분담 요약

- 법률 : "암호화해야 한다" (의무 부여)
- 시행령 : "고시로 정한다" (위임)
- 고시 : "SHA-256으로 한다" (구체적 방법)

3.3 위임의 한계

포괄적 위임 금지 : 법률에서 시행령으로 위임할 때는 구체적으로 범위를 정해야 합니다.

- 나쁜 예 : "필요한 사항은 대통령령으로 정한다" (X)
- 좋은 예 : "제1항에 따른 영향평가 대상 및 평가기관은 대통령령으로 정한다" (O)

벌칙의 위임 금지

- 형벌은 반드시 법률로 정해야 함 (죄형법정주의)
- 시행령에 형벌 규정 불가
- 과태료는 법률에서 정한 범위 내에서 시행령 가능

4. 특별법과 일반법

4.1 개념

일반법 : 일반적·포괄적으로 적용되는 법

특별법 : 특정 사항·특정 지역·특정 사람에 대해 적용되는 법

4.2 적용 원칙

“특별법이 일반법에 우선한다”

4.3 보안 분야 예시

개인정보보호법 (일반법) vs 정보통신망법 (특별법)

[적용 관계]

- 정보통신서비스 제공자에게는 정보통신망법 우선 적용 (특별법)
- 정보통신망법에 없는 사항은 개인정보보호법 적용

[개인정보보호법]

- 개인정보 처리방침 공개 (일반 원칙)

[정보통신망법]

- 개인정보 처리방침 + CISO 지정 의무 (추가 의무)
- 정보통신서비스 제공자는 정보통신망법 따름 (더 엄격)

4.4 다른 예시

- 개인정보보호법 vs 신용정보법 : 신용정보회사 →  신용정보법 우선
- 개인정보보호법 vs 의료법 : 의료기관 →  의료법 우선

5. 법령 찾기 실무

5.1 국가법령정보센터

사이트 : https://www.law.go.kr

제공 정보

- 현행 법령
- 제·개정 이유
- 연혁
- 판례
- 행정규칙

5.2 법령 검색 방법

법령명으로 검색

- "개인정보보호법" 검색 →  법률, 시행령, 시행규칙 모두 표시

조문 검색

- 특정 조문 찾기 (예: "개인정보보호법 제29조")

키워드 검색

- "암호화", "망분리" 등

5.3 법령 읽는 법

조문 구조

[조문 구조]

- 제○조 (제목) ← 조
    - ① 본문 ← 항
        - 1. 내용 ← 호
            - 가. 세부 ← 목

예시

[제29조] (안전조치의무)

- ① 개인정보처리자는 다음 각 호의 안전성 확보 조치를 하여야 한다.
    - 1. 내부 관리계획의 수립·시행
    - 2. 접근 권한의 관리

인용 방법 : “제29조제1항제1호” 또는 “제29조 ①1.”

부칙 (附則)

의미 : 법령의 시행 시기, 경과 조치 등

위치 : 법령의 맨 뒤

예시

[부칙] 제00000호, 2023.9.15.

- 제1조(시행일) : 이 법은 공포 후 6개월이 경과한 날부터 시행한다.
- 제2조(경과조치) : 이 법 시행 전에 ...

5.4 개정 이력 확인

중요성 : 법령은 계속 개정 됨

확인 방법

- 1. 국가법령정보센터에서 법령 검색
- 2. "연혁" 탭 클릭
- 3. 개정 이력 확인

예시 (개인정보의 안전성 확보조치 기준)

- 2023.9.15. 개정 (전송 시 암호화 추가)
- 2020.8.11. 개정
- 2016.9.29. 개정

5.5 시행일 확인

제정일 ≠ 시행일

확인 : 부칙 제1조 (시행일) 확인

예시

- 제정 2023년 9월 1일 →  법 제정
- 시행 2024년 3월 1일 →  실제 시행 (6개월 후)

6. 실무 활용

6.1 법적 근거 찾기

시나리오 : “개인정보 암호화 알고리즘은 무엇을 써야 하나요?”

[절차]

- 1단계 : 법률 확인 →  개인정보보호법 제29조 →  "안전조치 해야 함"
- 2단계 : 시행령 확인 →  시행령 제30조 →  "고시로 정한다"
- 3단계 : 고시 확인 →  안전성 확보조치 기준 제6조 →  "SHA-256 이상"

답변 : “개인정보보호법 제29조 및 안전성 확보조치 기준 제6조에 따라 SHA-256 이상 사용해야 합니다”

6.2 어느 법을 적용할지 판단

시나리오 : 우리 회사는 온라인 쇼핑몰입니다. 어떤 법을 따라야 하나요?

[판단 절차]

- 1단계 : 개인정보 처리 →  개인정보보호법 (기본)
- 2단계 : 정보통신서비스 제공 →  정보통신망법 (특별법)
- 3단계 : 전자금융거래 →  전자금융거래법 (특별법)

[결론] 3개 법 모두 적용

- 정보통신망법 (온라인 서비스)
- 전자금융거래법 (결제)
- 개인정보보호법 (위 법에 없는 사항)

6.3 개정 사항 확인

정기 확인

- 월 1회 : 관련 법령 개정 확인
- 분기 1회 : 시행령, 고시 개정 확인

방법

- 국가법령정보센터 "최근 제·개정 법령"
- 각 부처 홈페이지
- KISA, 금융보안원 등 공지

6.4 컴플라이언스 체크리스트

[적용 법률 파악]

- 개인정보보호법
- 정보통신망법
- 전자금융거래법
- 기타

[확인 사항]

- 시행령 확인
- 시행규칙 확인

[고시 확인]

- 안전성 확보조치 기준
- 전자금융감독규정
- 기타

[추가 확인]

- 최근 개정 사항 확인 (최근 1년)

[벌칙 확인]

- 형사처벌
- 과태료
- 과징금

7. 법령 체계 정리표

7.1 종합 비교

구분	법률	시행령	시행규칙	고시	훈령
제정 권한	국회	대통령	장관	기관장	상급기관장
구속력	국민	국민	국민	사실상	하급기관
벌칙	가능	과태료만	과태료만	불가	불가
개정	어려움	중간	중간	쉬움	쉬움
내용	원칙	구체화	세부 절차	기술 기준	내부 지침

7.2 보안 법령 체계도

[개인정보보호 분야]

- 개인정보보호법 (법률)
    - 개인정보보호법 시행령 (대통령령)
    - 개인정보보호법 시행규칙 (총리령)
    - 개인정보의 안전성 확보조치 기준 (개인정보보호위원회 고시)
    - 개인정보의 기술적·관리적 보호조치 기준 (방송통신위원회 고시)

[정보통신 분야]

- 정보통신망법 (법률)
    - 정보통신망법 시행령 (대통령령)
    - 정보통신망법 시행규칙 (과기정통부령)
    - ISMS-P 인증기준 (과기정통부 고시)

[금융 분야]

- 전자금융거래법 (법률)
    - 전자금융거래법 시행령 (대통령령)
    - 전자금융거래법 시행규칙 (금융위원회령)
    - 전자금융감독규정 (금융위원회 고시)

[공공 분야]

- 전자정부법 (법률)
    - 전자정부법 시행령 (대통령령)
    - 전자정부법 시행규칙 (행정안전부령)
    - 국가정보보안 기본지침 (국가정보원장 훈령)

8. 자주 묻는 질문 (FAQ)

Q1 : 고시는 법이 아닌데 왜 지켜야 하나요?

A : 고시는 엄밀히 말하면 “법령"은 아니지만, 법률의 위임 을 받아 만들어진 것이므로 법률의 일부로 봅니다. 따라서 위반 시 법률 위반 과 동일하게 처리됩니다.

- 예 : 안전성 확보조치 기준 위반 = 개인정보보호법 제29조 위반

Q2 : 법률, 시행령, 고시가 서로 다르면?

A : 상위 법령 우선

- 법률  >  시행령  >  시행규칙  >  고시
- 고시가 법률에 위배되면 그 고시는 무효

Q3 : 특별법과 일반법이 충돌하면?

A : 특별법 우선

- 단, 특별법에 규정이 없는 사항은 일반법 적용
- 예 : 정보통신망법 (특별법) →  개인정보보호법 (일반법)

Q4 : 개정된 법은 언제부터 적용되나요?

A : 시행일 부터 적용

- 시행일은 부칙에 명시
- 예 : "공포 후 6개월이 경과한 날부터 시행한다"

Q5 : 법령을 어디서 확인하나요?

A : 국가법령정보센터 ( https://www.law.go.kr )

- 모든 법령의 최신 버전 및 개정 이력 확인 가능

9. 실습: 법령 찾기

실습 1: 개인정보 암호화 근거 찾기

문제 : “개인정보 암호화 시 사용해야 하는 알고리즘의 법적 근거는?”

답

- 1. 국가법령정보센터 접속
- 2. "개인정보보호법" 검색
- 3. 제29조 (안전조치의무) 확인
- 4. 시행령 제30조 확인 →  고시 위임
- 5. "개인정보의 안전성 확보조치 기준" 검색
- 6. 제6조 확인
- 7. 결론 : 개인정보보호법 제29조 및 개인정보의 안전성 확보조치 기준 제6조에 따라 AES-256, ARIA-256, SEED-256 등 사용

실습 2: 금융회사 암호화 근거 찾기

문제 : “은행의 계좌번호 암호화 법적 근거는?”

답

- 1. 금융회사 →  전자금융거래법 적용
- 2. "전자금융거래법" 검색
- 3. 제21조의2 (안전성 확보 의무) 확인
- 4. "전자금융감독규정" 검색
- 5. 제11조 (암호) 확인
- 6. 결론 : 전자금융거래법 제21조의2 및 전자금융감독규정 제11조에 따라 AES-256 등으로 암호화

학습 정리

오늘 학습한 핵심 내용

- 법령 체계 : 헌법  >  법률  >  시행령  >  시행규칙  >  행정규칙(고시, 훈령, 예규)
- 법률 : 국회 제정, 원칙 규정, 벌칙 가능
- 시행령 : 대통령령, 법률 구체화, 과태료만 가능
- 시행규칙 : 부령, 세부 절차
- 고시 : 기술적 기준, 자주 개정
- 훈령 : 상급기관 →  하급기관 내부 지침
- 상위 법령이 하위 법령에 우선
- 특별법이 일반법에 우선
- 국가법령정보센터에서 모든 법령 확인 가능
- 법령은 계속 개정되므로 최신 버전 확인 필요

다음 학습 주제

Day 31: 정보통신기반보호법 (주요정보통신기반시설 보호)