지금 이 순간에도 우리 회사 어느 개발자는 운영 시스템에서 고객의 주민등록번호를 내려받을 수 있습니다. 전년도 말 기준 하루 평균 이용자가 100만 명을 넘는 개인정보처리자라면, 7월 1일부터 시행 중인 개인정보의 안전성 확보조치 기준이 그 개발자의 PC에 인터넷망 차단 조치를 할지 말지를 정합니다. 그것도 제6조의2 제2항의 첫 여섯 글자로 정합니다. 대부분의 요약은 그 여섯 글자를 건너뛰고, 예외를 열어주는 바로 그 문장이 예외의 대가까지 같은 자리에 못 박아 두었습니다.
인터넷망 차단 의무 자체는 그대로입니다
개인정보 보호법이 요구하는 기술적 안전조치를 정한 고시, 개인정보의 안전성 확보조치 기준 (고시 제2026-9호) 은 발령된 날인 2026년 7월 1일에 곧바로 시행됐습니다. 제6조의2 제1항은 전년도 말 직전 3개월간 일평균 이용자 수가 100만 명 이상인 개인정보처리자에게 적용됩니다. 이 기준을 넘으면 두 부류의 개인정보취급자는 인터넷망을 차단해야 합니다.
- 개인정보처리시스템에서 접근권한을 설정할 수 있는 사람.
- 개인정보를 다운로드하거나 파기할 수 있는 사람.
클라우드컴퓨팅서비스 위에서 시스템을 운영한다면 단서가 제1항을 그 환경에 맞춰 적용합니다. 해당 서비스 접속을 제외한 나머지를 차단하면 됩니다. 제1항에서 협상할 수 있는 건 여기까지입니다. 위험 분석도, 예외 조항도 제1항에는 없습니다.
한국 금융권이 논쟁하는 그 망분리와는 다른 의무입니다. 망분리는 전자금융감독규정에 살고, 이 고시는 그 규정을 한 번도 언급하지 않습니다.
예외는 두 부류 중 하나에만 닿습니다
바뀐 지점은 제2항이고, 요약본이 전하는 것보다 훨씬 좁습니다.
개인정보의 안전성 확보조치 기준 제6조의2 제2항: ② 제1항제2호에도 불구하고 개인정보처리자는 내부 관리계획에서 정한 위험 분석 결과가 다음 각 호의 어느 하나에 해당하는 경우에는 제1항에 따른 인터넷망 차단 조치를 하지 아니할 수 있다. 다만, […]
제1호 위험 분석 결과 확인된 위험이 현저히 낮은 경우
제2호 위험 분석 결과 확인된 위험을 감소시킬 수 있는 보호조치를 적용한 경우
그 여섯 글자는 제1항제2호이고, 뒤에 에도 불구하고가 붙습니다. 예외는 다운로드·파기 권한을 가진 부류에만 닿습니다. 접근권한을 설정할 수 있는 직원의 인터넷망은 위험 분석 결과가 무엇이든 차단된 채로 남습니다.
빠져나가는 길은 문서 한 장을 통과합니다. 그 위험 분석은 내부 관리계획에서 정한 것이어야 합니다. 감독기관이 묻기 전에 이미 존재하고, 무엇을 어떤 근거로 판단했는지가 그 안에 적혀 있어야 한다는 뜻입니다.
민감정보가 문을 다시 닫습니다
위에서 제가 생략한 그 다만이 단서이고, 이 단서는 방금 내준 것의 대부분을 도로 가져갑니다.
고시 제6조의2 제2항 단서: 법 제23조에 따른 민감정보, 또는 이 고시 제7조 제1항·제2항에 열거된 개인정보를 다운로드하거나 파기할 수 있는 개인정보취급자의 컴퓨터에는 예외를 적용하지 않는다.
제7조는 암호화 조항입니다. 그 제2항이 열거하는 건 한국 소비자 대상 사업이라면 어디에나 놓여 있는 기본 집기입니다. 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호, 신용카드번호, 계좌번호, 생체인식정보. 제1항은 여기에 비밀번호와 생체인식 인증정보를 더합니다.
지킬 가치가 가장 큰 데이터를 만지는 직원이 바로 예외가 덮어주지 않는 직원입니다. 제2항을 읽고 인터넷을 다시 켜기 시작한 회사는 그 조문이 자기 직원 중 누구를 말하는지 잘못 읽은 것입니다.

예외는 주장하기 전에 갖춰 두는 것입니다
방어 가능한 예외는 네 가지 증적이고, 제6조의2 제2항을 꺼내기 전에 네 가지가 모두 존재해야 합니다.
- 전체 개인정보취급자를 제1항의 두 부류로 분류하십시오. 접근권한을 설정할 수 있는 사람의 목록, 그리고 개인정보를 다운로드하거나 파기할 수 있는 사람의 목록입니다. 두 목록에 모두 이름이 오른 사람의 인터넷망은 차단된 채로 남습니다. 제2항은 제1항제1호에 닿지 않습니다.
- 그중 민감정보나 제7조 개인정보에 접근할 수 있는 사람을 따로 목록화하십시오. 그 이름들은 방금 만든 목록에서 그대로 되돌아옵니다. 단서는 이들을 위험 분석 결과와 무관하게 예외 밖에 둡니다.
- 위험 분석을 내부 관리계획에 문서로 남기십시오. 고시가 정한 두 결론 중 하나 — 위험이 현저히 낮거나, 위험을 감소시키는 보호조치를 적용했거나 — 에 도달해야 하고, 무엇을 어떤 근거로 판단했는지가 그 안에 적혀 있어야 합니다.
- 두 번째 결론이라면 적용한 보호조치를 별표에 비추어 측정하십시오. 고시는 함께 공표된 [별표] 의 예시를 고려하도록 요구합니다.

이건 증적을 쌓는 일이고, 컴플라이언스 체크리스트가 대신해 줄 수 없는 부분이 바로 여기입니다. 어떤 위험을 현저히 낮음이라고 판단하는 건, 언젠가 누군가가 검증하게 될 주장입니다.
오늘 우리 회사에서 개인정보를 다운로드할 수 있는 엔지니어가 누구인지, 티켓을 열지 않고 그 이름을 말할 수 있으신가요? 그중 주민등록번호를 만지는 사람은 몇 명인가요?
참고 자료
- 개인정보보호위원회 — 개인정보의 안전성 확보조치 기준 (고시 제2026-9호) (https://www.law.go.kr/행정규칙/개인정보의안전성확보조치기준)
- 국가법령정보센터 — 개인정보 보호법 (제23조 민감정보, 제29조 안전조치의무) (https://www.law.go.kr/법령/개인정보보호법)