신공항하이웨이(주), ISO 27001·27701 심화 과정·전 임직원 개인정보보호 집체교육 성료… 사례 중심 실무 강의로 보안 역량 내재화
신공항하이웨이(주)가 6월 29일 CISO 대상 ISO 27001/27701 심화 과정과 전 임직원 정보보안·개인정보보호 집체교육을 성료했다. 유출 사례 중심 실무 강의와 시큐파이 보안 게임 실습으로 참여도를 높였다.
https://privacynews.kr/s/b01f67
핵심 요약
신공항하이웨이(주)가 6월 29일 임직원 정보보호 역량 강화를 위한 사내 교육을 성공적으로 마쳤다. 이번 교육은 CISO·정보보호부서장을 대상으로 한 ISO 27001/27701 심화 과정과 전 임직원을 대상으로 한 정보보안·개인정보보호 집체교육 두 트랙으로 나뉘어 진행됐으며, 각 1시간씩 개인정보 유출·정보 유출 사례 중심의 실무 강의로 구성됐다. 교육에는 시큐파이(secufi.kr)의 패스워드 체크 및 보안 게임 실습 프로그램이 활용돼 임직원들의 적극적인 참여를 이끌어냈다.
주요 내용
커리큘럼 1 — CISO·정보보호부서장 대상 ISO 27001/27701 심화 과정
관리자 및 정보보호 담당자를 대상으로 한 심화 과정은 국제 표준 기반의 정보보호관리체계(ISMS) 이해와 실전 적용에 초점을 맞췄다.
① ISO 27001 개요 - ISO 27001 표준 구조 및 개정 이력(2013→2022) 비교 - 정보보호관리체계(ISMS)의 목적 및 법적 의무 연계 - 경영시스템 통합(Annex SL) 이해
② 요구사항 심층 분석 (4~10절) - 조직 상황 분석(4절), 리더십 및 계획 수립(5~6절), 지원 및 운영(7~8절), 성과 평가(9절), 개선(10절) - 리스크 평가 및 처리 프로세스 실습, 리스크 시나리오 워크샵 포함
③ 통제항목(Annex A) 실전 적용 - 93개 통제항목 구조(조직·인적·물리·기술 통제) 이해 - 신규 11개 통제항목 상세 — 위협 인텔리전스, 클라우드 보안 등 중점 설명 - 적용선언서(SoA) 작성 방법론 및 실전 사례 중심 강의
④ ISO 27701 연계 - ISO 27001 확장으로서 ISO 27701의 위치 및 역할 이해 - 개인정보처리자·수탁자 역할별 요구사항 - GDPR 및 국내 개인정보보호법 연계 포인트 - 개인정보 유출 사례 분석 (실제 침해 사고 기반 사례 중심 구성)
커리큘럼 2 — 전 임직원 정보보안·개인정보보호 집체교육 (1시간, 사례 중심 실무 강의)
전 임직원을 대상으로 한 집체교육은 개인정보 유출·정보 유출 실제 사례를 중심으로 구성돼 현장 실무와의 연결성을 높였다. 특히 시큐파이 시큐리티 랩(secufi.kr/security-lab)을 활용한 패스워드 강도 체크 및 보안 게임 실습이 진행돼, 임직원들이 보안 개념을 체험형으로 습득하는 시간을 가졌다. 참석자들의 반응이 특히 호의적이었던 것으로 전해졌다.
Part 1. 정보보안 기초 및 실무 - 정보보안 3대 요소(기밀성·무결성·가용성) 이해 - 사회공학적 해킹 및 피싱 공격 실제 사례 분석 - 패스워드 정책 및 접근통제 실무 가이드 (시큐파이 패스워드 체크 실습 연계) - 악성코드·랜섬웨어 예방 및 대응 절차 - 개인 PC·모바일 보안 수칙(임직원 행동강령) - 보안사고 발생 시 내부 보고 절차 안내
Part 2. 개인정보보호 법규 및 실무 - 개인정보보호법 주요 의무 및 최근 개정 사항 - 개인정보 수집·이용·제공·파기 실무 흐름 - ISO 27701 핵심 요구사항(직원 준수 사항) - 내부 업무 중 개인정보 오남용 및 유출 사례 분석 (실제 개보위 제재 사례 포함) - 정보주체 권리 대응 절차(열람·정정·삭제 요구) - 개인정보 유출 사고 대응 및 신고 절차
전문가 분석
이번 교육은 단순한 법정 의무교육 이수를 넘어, 국제 표준(ISO 27001/27701)과 국내 개인정보보호법을 연계한 실무 중심 커리큘럼으로 설계됐다는 점에서 주목된다.
관리자 대상 교육에서 SoA(적용선언서) 작성 방법론과 리스크 시나리오 워크샵을 포함시킨 점은 인증 취득에 그치지 않고 실질적인 운영 역량을 내재화하려는 의도로 해석된다. ISO 27701 요구사항을 GDPR 및 개인정보보호법과 연계해 설명한 구성 역시 국내외 규제 환경 변화에 선제 대응하는 실무적 접근으로 평가된다.
전 임직원 집체교육에서 정보주체 권리 대응 절차(열람·정정·삭제 요구) 및 개인정보 유출 사고 신고 절차를 명시적으로 다룬 점은, 개인정보보호위원회(개보위)가 강조하는 정보주체 권리 보호 관점에서도 긍정적인 사례로 볼 수 있다. 개보위는 최근 처분 사례에서 내부 직원의 개인정보 오남용과 유출 사고 발생 시 미흡한 대응 체계를 주요 제재 요인으로 지적해 왔다.
아울러 시큐파이(secufi.kr)의 보안 게임 및 패스워드 체크 실습을 교육에 접목한 방식은, 일방적 강의식 교육의 한계를 극복하고 임직원의 자발적 참여와 보안 행동 변화를 이끌어내는 체험형 교육 모델로서 시사점을 제공한다. 정보보호 교육의 실효성을 높이기 위한 기업 차원의 교육 방법론 고도화 사례로 평가할 수 있다.
실무 연계 포인트
- CISO·정보보호 담당자: ISO 27001 2022년판 전환 시 신규 11개 통제항목 적용 여부를 SoA에 반영하고, 리스크 처리 계획과 연동해야 한다.
- 개인정보 처리 실무 담당자: 수집·이용·제공·파기의 각 단계별 법적 근거를 문서화하고, 정보주체 권리 요청에 대한 내부 처리 절차를 사전에 수립해 두는 것이 필수적이다.
- 전 임직원: 피싱·사회공학 공격은 내부자의 초기 대응이 피해 규모를 결정하는 핵심 변수다. 보안사고 발생 시 즉각적인 내부 보고 절차 준수가 법적 책임 경감의 출발점이며, 시큐파이 시큐리티 랩을 통한 자가 점검을 생활화하는 것이 권고된다.
백남정 기자
공학박사 ·ISMS-P 선임심사원(30회) · CBPR 심사원· 숭실대 기업재난관리학과 석사 · 재해경감 인증심사원 · 개인정보보호 및 재해복구 전문 컨설턴트. LH공사 재해경감우수기업 인증심사 수행. 마이데이터 심사원(개인정보 지정기관 심사원)

![[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리](https://jrwrbsncqyzmjnehprhl.supabase.co/storage/v1/object/public/pn-images/articles/1780466504673-hq35er.jpg)
