속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
개인정보보호AI 초안

본인전송요구권 보안 강화, 개보위 기술 가이드라인 발표 (2026)

개인정보보호위원회가 마이데이터 본인전송요구권의 안전한 이용을 위한 기술 가이드라인을 발표했다. 정보주체의 권리 행사 시 보안성을 강화하는 구체적 방안이 제시됐다.

백남정 기자
입력 2026년 7월 13일·조회 2·원문 보기 ↗
단축URLhttps://privacynews.kr/s/d9afd7

핵심 요약

- 개인정보보호위원회가 2026년 7월 13일 본인전송요구권의 안전한 이용을 위한 기술 가이드라인 발표 - 마이데이터 서비스에서 정보주체의 권리 행사 시 보안성 강화 방안 제시 - 범정부마이데이터추진단 주도로 데이터 전송 과정의 보안 요구사항 구체화

주요 내용

개인정보보호위원회는 2026년 7월 13일 범정부마이데이터추진단을 통해 "정보주체의 본인전송요구권을 더 안전하게 이용할 수 있는" 기술 가이드라인을 공개했다. 이번 가이드라인은 개인정보보호법 제35조의2에 따른 본인전송요구권 행사 시 발생할 수 있는 보안 취약점을 사전에 차단하기 위한 구체적 방안을 담고 있다.

본인전송요구권은 정보주체가 본인의 개인정보를 전송받거나 제3자에게 전송하도록 요구할 수 있는 권리로, 마이데이터 생태계의 핵심 권리다. 그러나 데이터 전송 과정에서 중간자 공격, 무단 접근, 데이터 유출 등의 보안 위협이 지속적으로 제기되어 왔다. 개보위는 이번 가이드라인을 통해 암호화 프로토콜, 인증 절차, 접근 통제 등의 기술적 보호조치를 명확히 했다.

특히 API 기반 데이터 전송 시 OAuth 2.0 및 OpenID Connect 등 표준 인증 프로토콜의 적용, TLS 1.3 이상의 전송 구간 암호화, 그리고 전송 데이터에 대한 무결성 검증 메커니즘 적용이 핵심 요구사항으로 제시됐다. 또한 정보주체의 명시적 동의 절차와 전송 이력 관리에 대한 세부 지침도 포함되어 있다.

범정부마이데이터추진단 전략기획팀은 이번 가이드라인이 금융, 의료, 통신 등 다양한 분야의 마이데이터 사업자들에게 실무 지침으로 활용될 것으로 기대하고 있다. 2026년 하반기부터는 본인전송요구권 관련 시스템 구축 및 운영 시 이 가이드라인 준수 여부가 ISMS-P 인증 심사에서도 중요한 평가 기준이 될 전망이다.

전문가 시각

ISMS-P 선임심사원 관점에서 이번 가이드라인은 마이데이터 사업자들의 기술적 보호조치 수준을 표준화하는 중요한 이정표다. 그동안 본인전송요구권 구현 시 API 보안, 데이터 암호화, 접근 통제 등의 구체적 기준이 모호해 사업자마다 보안 수준이 천차만별이었다. 특히 스타트업이나 중소 마이데이터 사업자의 경우 충분한 보안 투자 없이 서비스를 개시하는 사례가 빈번했는데, 이번 가이드라인은 최소 보안 기준선(baseline)을 명확히 제시한다는 점에서 실무적 의미가 크다.

기업 입장에서는 2026년 하반기까지 기존 시스템을 이번 가이드라인에 맞춰 전면 재검토해야 한다. 특히 레거시 시스템을 운영 중인 기존 금융기관이나 통신사의 경우 API 게이트웨이, 토큰 관리 시스템, 암호화 모듈 등의 업그레이드가 필수적이다. ISMS-P 재인증을 앞둔 기업이라면 본인전송요구권 관련 통제 항목을 우선순위로 점검하고, 가이드라인 준수 증적을 미리 확보해두는 것이 바람직하다. 특히 개인정보 영향평가(PIA) 수행 시 본인전송요구권 시스템의 위험도 평가를 강화해야 한다.

ISMS-P 심사원 체크포인트

1. 개인정보 전송 시 암호화 통제 (ISMS-P 2.8.2 암호화 적용) 본인전송요구권 행사 시 개인정보는 반드시 전송 구간(TLS 1.3 이상) 및 저장 구간(AES-256 등) 모두에서 암호화되어야 한다. 심사 시 API 엔드포인트의 TLS 버전, 암호화 알고리즘 강도, 키 관리 체계(KMS)를 점검한다. 개인정보보호법 제29조(안전조치의무) 및 동법 시행령 제30조 제1항 제3호(암호화 조치)에 따라 주민등록번호 등 민감정보는 필수적으로 암호화해야 하며, 미이행 시 과태료 부과 대상이다.

2. 접근 통제 및 인증 체계 (ISMS-P 2.5.3 접근권한 관리) 본인전송요구권 API는 OAuth 2.0 기반의 강력한 인증·인가 체계를 구현해야 한다. 심사 시 토큰 발급 절차, 접근 권한 범위(scope) 설정, 토큰 만료 정책, 그리고 정보주체의 명시적 동의 획득 프로세스를 확인한다. 개인정보보호법 제17조(개인정보의 제공) 및 제18조(개인정보의 목적 외 이용·제공 제한)에 따라 정보주체의 별도 동의 없이는 데이터 전송이 불가하며, 동의 철회 기능도 제공되어야 한다.

3. 전송 이력 관리 및 모니터링 (ISMS-P 2.10.1 개인정보 처리 현황 관리) 모든 본인전송요구권 행사 내역은 최소 3년간 로그로 보관하고, 이상 징후 탐지 체계를 갖춰야 한다. 심사 시 전송 시점, 전송 항목, 수신자, 정보주체 동의 여부 등이 상세히 기록되는지 확인한다. 개인정보보호법 제30조(개인정보 처리방침의 수립 및 공개), 제34조(개인정보 유출 통지 등)와 연계하여 이상 접근 탐지 시 즉시 정보주체에게 통지하는 체계도 평가 대상이다.

위반 조항

개인정보보호법 제35조의2 (본인전송요구권) 정보주체는 개인정보처리자가 처리하는 본인의 개인정보를 전송받거나 다른 개인정보처리자에게 전송하도록 요구할 수 있다. 이 조항을 근거로 마이데이터 서비스가 운영되며, 전송 과정에서 보안 조치 미흡 시 권리 침해로 볼 수 있다.

개인정보보호법 제29조 (안전조치의무) 개인정보처리자는 개인정보의 안전성 확보에 필요한 기술적·관리적·물리적 조치를 해야 한다. 본인전송요구권 이행 시 암호화, 접근통제 등 안전조치 미흡 시 동 조항 위반으로 과태료(3천만원 이하) 또는 형사처벌(2년 이하 징역 또는 2천만원 이하 벌금) 대상이다.

개인정보보호법 제17조 (개인정보의 제공) 개인정보처리자는 정보주체의 동의 없이 개인정보를 제3자에게 제공할 수 없다. 본인전송요구권 행사 시에도 명시적 동의 절차가 필요하며, 동의 범위를 초과한 전송 시 5천만원 이하 과태료 또는 5년 이하 징역 대상이다.

CPPG·ISMS-P 연계 포인트

1. 가명정보와 본인전송요구권의 관계 CPPG(개인정보보호 전문인력 시험)에서는 가명처리된 정보에 대한 본인전송요구권 행사 가능 여부가 출제될 수 있다. 개인정보보호법 제28조의2에 따르면 가명정보는 정보주체 권리 행사(열람, 정정·삭제, 처리정지 등)가 제한되나, 본인전송요구권(제35조의2)은 별도 조항으로 원칙적으로 원본 개인정보에 대해서만 행사 가능하다. 따라서 가명처리 후에는 전송요구 대상에서 제외될 수 있다는 점을 이해해야 한다.

2. API 보안과 OAuth 2.0 인증 프레임워크 ISMS-P 심사에서는 본인전송요구권 구현 시 OAuth 2.0의 Authorization Code Grant 방식 적용 여부를 확인한다. 이는 정보주체가 직접 마이데이터 사업자를 인증하고 접근 권한을 부여하는 방식으로, CSRF(Cross-Site Request Forgery) 공격을 방지한다. PKCE(Proof Key for Code Exchange) 확장 적용 시 추가 점수를 받을 수 있으며, Refresh Token 관리 정책(만료, 갱신, 폐기)도 핵심 평가 항목이다.

#본인전송요구권#마이데이터#개인정보보호위원회#ISMS-P#개인정보보호법
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사