새 소식우리 회사에 어떤 규제가 적용되는지 알고 계신가요? 3분 안에 확인할 수 있습니다. Panke가 드리는 진심 어린 선물:EU 스코퍼한국 스코퍼
무엇을 도와드릴까요?

채널로 문의하기

KakaoTalkLINE

48시간 이내 답변

이메일 보내기 →
블로그
안전성 확보조치 기준, 인터넷망 차단 제대로 하셨나요?
컴플라이언스

안전성 확보조치 기준, 인터넷망 차단 제대로 하셨나요?

2026년 7월 9일·Alex Holmquist, Panke IT Solutions LLC

지금 이 순간에도 우리 회사 어느 개발자는 운영 시스템에서 고객의 주민등록번호를 내려받을 수 있습니다. 전년도 말 기준 하루 평균 이용자가 100만 명을 넘는 개인정보처리자라면, 7월 1일부터 시행 중인 개인정보의 안전성 확보조치 기준이 그 개발자의 PC에 인터넷망 차단 조치를 할지 말지를 정합니다. 그것도 제6조의2 제2항의 첫 여섯 글자로 정합니다. 대부분의 요약은 그 여섯 글자를 건너뛰고, 예외를 열어주는 바로 그 문장이 예외의 대가까지 같은 자리에 못 박아 두었습니다.

인터넷망 차단 의무 자체는 그대로입니다

개인정보 보호법이 요구하는 기술적 안전조치를 정한 고시, 개인정보의 안전성 확보조치 기준 (고시 제2026-9호) 은 발령된 날인 2026년 7월 1일에 곧바로 시행됐습니다. 제6조의2 제1항은 전년도 말 직전 3개월간 일평균 이용자 수가 100만 명 이상인 개인정보처리자에게 적용됩니다. 이 기준을 넘으면 두 부류의 개인정보취급자는 인터넷망을 차단해야 합니다.

  1. 개인정보처리시스템에서 접근권한을 설정할 수 있는 사람.
  2. 개인정보를 다운로드하거나 파기할 수 있는 사람.

클라우드컴퓨팅서비스 위에서 시스템을 운영한다면 단서가 제1항을 그 환경에 맞춰 적용합니다. 해당 서비스 접속을 제외한 나머지를 차단하면 됩니다. 제1항에서 협상할 수 있는 건 여기까지입니다. 위험 분석도, 예외 조항도 제1항에는 없습니다.

한국 금융권이 논쟁하는 그 망분리와는 다른 의무입니다. 망분리는 전자금융감독규정에 살고, 이 고시는 그 규정을 한 번도 언급하지 않습니다.

예외는 두 부류 중 하나에만 닿습니다

바뀐 지점은 제2항이고, 요약본이 전하는 것보다 훨씬 좁습니다.

개인정보의 안전성 확보조치 기준 제6조의2 제2항: ② 제1항제2호에도 불구하고 개인정보처리자는 내부 관리계획에서 정한 위험 분석 결과가 다음 각 호의 어느 하나에 해당하는 경우에는 제1항에 따른 인터넷망 차단 조치를 하지 아니할 수 있다. 다만, […]
제1호 위험 분석 결과 확인된 위험이 현저히 낮은 경우
제2호 위험 분석 결과 확인된 위험을 감소시킬 수 있는 보호조치를 적용한 경우

그 여섯 글자는 제1항제2호이고, 뒤에 에도 불구하고가 붙습니다. 예외는 다운로드·파기 권한을 가진 부류에만 닿습니다. 접근권한을 설정할 수 있는 직원의 인터넷망은 위험 분석 결과가 무엇이든 차단된 채로 남습니다.

빠져나가는 길은 문서 한 장을 통과합니다. 그 위험 분석은 내부 관리계획에서 정한 것이어야 합니다. 감독기관이 묻기 전에 이미 존재하고, 무엇을 어떤 근거로 판단했는지가 그 안에 적혀 있어야 한다는 뜻입니다.

민감정보가 문을 다시 닫습니다

위에서 제가 생략한 그 다만이 단서이고, 이 단서는 방금 내준 것의 대부분을 도로 가져갑니다.

고시 제6조의2 제2항 단서: 법 제23조에 따른 민감정보, 또는 이 고시 제7조 제1항·제2항에 열거된 개인정보를 다운로드하거나 파기할 수 있는 개인정보취급자의 컴퓨터에는 예외를 적용하지 않는다.

제7조는 암호화 조항입니다. 그 제2항이 열거하는 건 한국 소비자 대상 사업이라면 어디에나 놓여 있는 기본 집기입니다. 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호, 신용카드번호, 계좌번호, 생체인식정보. 제1항은 여기에 비밀번호와 생체인식 인증정보를 더합니다.

지킬 가치가 가장 큰 데이터를 만지는 직원이 바로 예외가 덮어주지 않는 직원입니다. 제2항을 읽고 인터넷을 다시 켜기 시작한 회사는 그 조문이 자기 직원 중 누구를 말하는지 잘못 읽은 것입니다.

어두운 슬레이트 위에 빛나는 선으로 그려진 판단 흐름도. 하루 이용자 100만 명이 넘는 개인정보처리자의 직원을 놓고 세 개의 질문이 세로축을 따라 이어진다 — 접근권한을 설정할 수 있는가, 민감정보나 고유식별정보를 다루는가, 위험 분석이 통과됐는가. 막는 답은 모두 하나의 주황색 결론, 제6조의2 제1항 인터넷망 차단으로 모인다. 마지막 '예'만이 초록색 예외인 제6조의2 제2항에 닿는다.

예외는 주장하기 전에 갖춰 두는 것입니다

방어 가능한 예외는 네 가지 증적이고, 제6조의2 제2항을 꺼내기 전에 네 가지가 모두 존재해야 합니다.

  1. 전체 개인정보취급자를 제1항의 두 부류로 분류하십시오. 접근권한을 설정할 수 있는 사람의 목록, 그리고 개인정보를 다운로드하거나 파기할 수 있는 사람의 목록입니다. 두 목록에 모두 이름이 오른 사람의 인터넷망은 차단된 채로 남습니다. 제2항은 제1항제1호에 닿지 않습니다.
  2. 그중 민감정보나 제7조 개인정보에 접근할 수 있는 사람을 따로 목록화하십시오. 그 이름들은 방금 만든 목록에서 그대로 되돌아옵니다. 단서는 이들을 위험 분석 결과와 무관하게 예외 밖에 둡니다.
  3. 위험 분석을 내부 관리계획에 문서로 남기십시오. 고시가 정한 두 결론 중 하나 — 위험이 현저히 낮거나, 위험을 감소시키는 보호조치를 적용했거나 — 에 도달해야 하고, 무엇을 어떤 근거로 판단했는지가 그 안에 적혀 있어야 합니다.
  4. 두 번째 결론이라면 적용한 보호조치를 별표에 비추어 측정하십시오. 고시는 함께 공표된 [별표] 의 예시를 고려하도록 요구합니다.

햇빛이 드는 책상 위에 펼쳐진 내부 관리계획. 만년필이 지면 위에 놓여 있고,

이건 증적을 쌓는 일이고, 컴플라이언스 체크리스트가 대신해 줄 수 없는 부분이 바로 여기입니다. 어떤 위험을 현저히 낮음이라고 판단하는 건, 언젠가 누군가가 검증하게 될 주장입니다.

오늘 우리 회사에서 개인정보를 다운로드할 수 있는 엔지니어가 누구인지, 티켓을 열지 않고 그 이름을 말할 수 있으신가요? 그중 주민등록번호를 만지는 사람은 몇 명인가요?

참고 자료

  1. 개인정보보호위원회 — 개인정보의 안전성 확보조치 기준 (고시 제2026-9호) (https://www.law.go.kr/행정규칙/개인정보의안전성확보조치기준)
  2. 국가법령정보센터 — 개인정보 보호법 (제23조 민감정보, 제29조 안전조치의무) (https://www.law.go.kr/법령/개인정보보호법)
귀사의 공격 표면이 걱정되시나요?

귀사의 인프라가 공격자의 스코어링 모델에서 어떻게 평가되는지 알고 싶다면 contact@pankeit.com으로 문의해 주세요. 동일한 지문채취 및 스코어링 프로세스를 실행하고 우선순위가 매겨진 개선 목록을 제공합니다.

블로그 구독하기

최신 보안 동향을 가장 먼저 받아보세요

스팸 없음. 언제든 구독 취소.

©2026 Panke IT Solutions LLC

Austin, TX