개보위, 안전조치 의무 위반 3개 사업자 제재…접근통제·암호화 미흡
개인정보보호위원회가 2026년 7월 9일 안전조치 의무를 위반한 3개 사업자를 제재했다. 접근통제 미흡, 암호화 누락 등이 주요 위반 사항으로 확인됐다.
https://privacynews.kr/s/a44590핵심 요약
- 개인정보보호위원회가 2026년 7월 9일 안전조치 의무 위반 3개 사업자에 대한 제재 결정 - 주요 위반 유형은 접근통제 체계 미비, 개인정보 암호화 미적용, 접속기록 관리 소홀 - 개인정보보호법 제29조(안전조치의무) 위반에 따른 과징금 및 과태료 부과 예정주요 내용
개인정보보호위원회(이하 개보위)는 2026년 7월 9일 개인정보 안전조치 의무를 위반한 3개 사업자에 대해 제재 조치를 단행했다고 밝혔다. 이번 조치는 개보위 조사2과가 진행한 정기 점검 및 신고 접수를 통해 적발된 사안들로, 개인정보 처리 과정에서 기본적인 기술적·관리적 보호조치를 이행하지 않은 것으로 확인됐다.
주요 위반 사항은 크게 세 가지 유형으로 분류된다. 첫째, 개인정보 처리시스템에 대한 접근통제 체계가 제대로 구축되지 않아 권한 없는 내부 직원이 고객 개인정보에 무단 접근할 수 있는 환경이 방치됐다. 둘째, 주민등록번호, 비밀번호 등 민감정보를 암호화하지 않고 평문으로 저장·관리한 사실이 드러났다. 셋째, 개인정보 처리시스템 접속기록을 6개월 이상 보관하지 않거나 위·변조 방지 조치를 취하지 않아 사후 감사 추적이 불가능한 상태였다.
개보위는 이번 사안에 대해 "개인정보 유출 사고가 발생하지 않았더라도 안전조치 의무 자체의 위반만으로 제재 대상이 된다"며 "특히 중소 사업자들의 경우 비용 부담을 이유로 기본적인 보안 조치조차 소홀히 하는 경향이 있어 지속적인 관리·감독을 강화할 것"이라고 밝혔다. 3개 사업자에 대해서는 각각의 위반 정도와 개인정보 처리 규모에 따라 차등화된 과징금 및 과태료가 부과될 예정이며, 시정명령과 함께 개선 이행 여부에 대한 사후 점검도 진행된다.
이번 제재는 2024년 개정된 개인정보보호법 시행령에 따라 안전조치 기준이 더욱 구체화된 이후 이뤄진 것으로, 개보위가 형식적 준수가 아닌 실질적 보호조치 이행 여부를 중점적으로 점검하고 있음을 보여준다. 특히 정보통신서비스 제공자뿐만 아니라 일반 개인정보처리자에 대해서도 동일한 수준의 안전조치 의무가 적용되고 있어, 모든 사업자의 주의가 요구된다.
전문가 시각
ISMS-P 선임심사원으로서 현장 심사를 수행하면서 가장 빈번하게 발견되는 부적합 사항이 바로 이번 사례와 같은 안전조치 미흡 문제다. 많은 기업들이 ISMS-P 인증을 취득하면서도 인증 유지를 위한 형식적 문서화에만 집중하고, 실제 기술적 구현과 운영은 소환히 하는 경향이 있다. 특히 접근통제의 경우 정책과 절차는 수립되어 있으나 실제 시스템에 Role-Based Access Control(RBAC)이 구현되지 않거나, 암호화 적용 대상을 축소 해석하여 법적 요구사항을 충족하지 못하는 사례가 반복적으로 지적된다.
실무 관점에서 기업들은 개인정보 안전조치를 단순히 규제 준수 차원이 아니라 정보자산 보호의 기본 인프라로 인식해야 한다. 개보위의 제재 사례를 보면 기술적 조치의 미흡함이 대부분이지만, 근본 원인은 경영진의 관심 부족과 예산 미배정에서 비롯된다. 따라서 최고경영자의 개인정보 보호 의지를 문서화하고, 연간 정보보호 예산을 명확히 책정하며, 정기적인 내부 점검 체계를 구축하는 것이 선행되어야 한다. 또한 개인정보 영향평가(PIA)를 통해 처리 단계별 위험을 사전에 식별하고, 위험 수준에 따른 차등화된 보호조치를 적용하는 것이 효과적이다.
ISMS-P 심사원 체크포인트
1. 접근통제 (ISMS-P 2.8.2 / 개인정보보호법 제29조, 시행령 제30조) - 심사 시 개인정보처리시스템별 접근권한 관리대장을 확인하며, 사용자 계정별 직무 분리 원칙 적용 여부를 점검한다 - 특히 관리자 권한 계정의 발급·변경·말소 이력, 최소권한 원칙 적용, 불필요한 공용 계정 존재 여부를 중점 검토한다 - 기술적으로는 ACL(Access Control List) 설정 현황, 2-Factor 인증 적용 여부(특히 원격 접속 시), 세션 타임아웃 설정을 실제 시스템에서 확인한다
2. 암호화 (ISMS-P 2.8.5 / 개인정보보호법 제24조의2, 제29조) - 고유식별정보(주민등록번호 등), 비밀번호, 바이오정보는 반드시 암호화 대상이며, 일반 개인정보도 위험도 평가에 따라 암호화 적용 범위를 확대해야 한다 - 저장 시 암호화(Encryption at Rest)뿐만 아니라 전송 시 암호화(TLS 1.2 이상) 적용 여부를 네트워크 구간별로 확인한다 - 암호키 관리 체계(생성·보관·배포·폐기)가 별도로 수립되어 있는지, 암호키와 암호화된 데이터의 분리 보관 여부를 점검한다
3. 접속기록 관리 (ISMS-P 2.8.7 / 개인정보보호법 제29조, 시행령 제30조 제2항) - 개인정보 처리시스템 접속기록은 최소 6개월(의료기관 등은 3년) 이상 보관해야 하며, 위·변조 방지를 위한 별도 저장·관리 조치가 필요하다 - 심사 시 로그 수집 대상(웹서버, WAS, DB, 백업시스템 등), 로그 항목(접속일시, 사용자ID, 접속IP, 처리내역 등), 로그 보관 기간 및 백업 주기를 확인한다 - 통합 로그 관리 시스템 운영 여부, 로그 검토 주기 및 이상징후 탐지 체계, 로그 조회 권한 통제 현황을 점검한다
위반 조항
개인정보보호법 제29조(안전조치의무) 개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 내부 관리계획 수립, 접속기록 보관, 개인정보의 암호화, 접근통제 등 안전성 확보에 필요한 기술적·관리적·물리적 조치를 하여야 한다.
개인정보보호법 시행령 제30조(개인정보의 안전성 확보 조치) - 제1항: 개인정보처리자는 법 제29조에 따라 고유식별정보, 비밀번호, 바이오정보의 암호화 조치를 취해야 한다 - 제2항: 개인정보처리시스템에 대한 접속기록을 6개월 이상 보관·관리하여야 한다 - 제3항: 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 가상사설망(VPN) 또는 전용선 등 안전한 접속수단을 적용하여야 한다
개인정보보호법 제75조(과태료) 제29조를 위반하여 안전성 확보에 필요한 조치를 하지 아니한 자에게는 5천만원 이하의 과태료를 부과한다.
CPPG·ISMS-P 연계 포인트
1. 안전조치 의무의 3대 영역 (기술적·관리적·물리적 조치) 개인정보보호법 제29조는 안전조치를 기술적(암호화, 접근통제, 접속기록 등), 관리적(내부 관리계획, 직원 교육, 재해·재난 대비 등), 물리적(출입통제, 개인정보의 파기 등) 조치로 구분한다. CPPG 시험에서는 각 영역별 대표 조치 사항을 구체적으로 암기해야 하며, ISMS-P에서는 2.8장(개인정보 보호) 전체가 이를 다룬다. 특히 시행령 제30조에서 규정한 암호화 대상(고유식별정보·비밀번호·바이오정보), 접속기록 보관기간(6개월 이상), 인터넷 홈페이지 전송 구간 암호화(SSL/TLS) 등 구체적 기준은 시험 빈출 항목이다.
2. 접근통제의 4원칙 (식별·인증·인가·책임추적성) 접근통제는 ①식별(Identification): 사용자 계정 부여, ②인증(Authentication): 비밀번호·OTP 등 본인 확인, ③인가(Authorization): 역할 기반 권한 부여, ④책임추적성(Accountability): 접속기록 관리의 4단계로 구성된다. ISMS-P 심사 시 이 4원칙이 모두 기술적으로 구현되었는지 확인하며, 특히 관리자 계정 관리, 불필요한 계정 삭제, 비밀번호 복잡도 정책, 권한 재검토 주기 등이 점검 대상이다. CPPG 시험에서는 접근통제 모델(MAC, DAC, RBAC)과 함께 출제되므로 개념 간 연계 학습이 필요하다.

![[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리](https://jrwrbsncqyzmjnehprhl.supabase.co/storage/v1/object/public/pn-images/articles/1780466504673-hq35er.jpg)
