PrivacyNews
전체개인정보보호법령·정책ISMS-P🔴 침해사고AIPET·신기술DR·재해복구💼 취업·진로칼럼관리자
속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
ISMS-PAI 초안

삼성전자 Knox 기반 개인정보보호 강화…SK하이닉스 채용 학력 제한 폐지

삼성전자가 Knox를 활용해 의료·펫케어까지 개인정보보호 영역을 확장하고, SK하이닉스는 채용에서 학력 제한을 철폐하며 개인정보 수집 최소화 원칙을 실천하고 있다.

백남정 기자
입력 2026년 6월 17일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/f3a466

핵심 요약

- 삼성전자, 보안 플랫폼 Knox 기반으로 의료·식이·펫케어 영역까지 개인정보보호 체계 확장 - SK하이닉스, 6월 17일부터 신입 수시채용에서 '4년제 학사 학위 이상' 학력 요건 전면 폐지 - 개인정보 수집 최소화 원칙과 기술적 보호조치 강화로 ISMS-P 인증 요구사항 선제 이행

주요 내용

삼성전자는 자체 개발한 보안 솔루션 Knox를 개인정보보호의 핵심 기반으로 활용하고 있다. Knox는 하드웨어 기반의 보안 플랫폼으로, 기존 모바일 기기 보안을 넘어 헬스케어, 식이관리, 반려동물 케어 등 민감정보를 다루는 신규 서비스 영역으로 확장되고 있다. 이는 개인정보의 암호화, 접근통제, 무결성 검증 등 기술적 보호조치를 통합적으로 제공하는 구조다.

SK하이닉스는 6월 17일부터 시행하는 신입 수시채용에서 기존 채용 공고에 명시해 온 '4년제 학사 학위 이상' 등의 학력 제한을 전면 폐지했다. 이는 채용 과정에서 직무 수행에 불필요한 개인정보 수집을 최소화하려는 조치로 해석된다. 학력 정보는 개인정보보호법상 '일반 개인정보'에 해당하지만, 수집 목적의 정당성과 최소성 원칙을 준수해야 한다.

개인정보보호 관점에서 두 기업의 사례는 서로 다른 영역에서 ISMS-P 인증기준을 실천하고 있다. 삼성전자는 기술적 보호조치(2.8)와 개인정보 처리 단계별 보호(2.9~2.11)를, SK하이닉스는 개인정보 수집 시 보호조치(2.9.1)를 각각 강화하는 모습이다.

특히 헬스케어·펫케어 등 신규 서비스는 건강정보, 위치정보 등 민감정보와 결합될 가능성이 높아 데이터 생애주기 전반에 걸친 보호대책이 필수적이다. 삼성전자의 Knox 기반 보안 아키텍처는 이러한 요구사항에 대응하는 선제적 조치로 평가된다.

전문가 시각

ISMS-P 심사 관점에서 삼성전자의 사례는 '기술적 보호조치의 체계적 구현'이라는 모범 사례에 해당한다. Knox와 같은 통합 보안 플랫폼은 서비스 확장 시에도 일관된 보호수준을 유지할 수 있어, 인증심사 시 긍정적으로 평가받는다. 다만 의료·펫케어 등 신규 영역 확장 시 서비스별 개인정보 영향평가(PIA) 수행 여부, 제3자 제공 동의 체계, 가명·익명처리 기준 등이 추가 점검 대상이 된다.

SK하이닉스의 학력 제한 폐지는 개인정보 수집 최소화 원칙의 실질적 이행 사례다. 많은 기업이 관행적으로 학력정보를 수집하지만, 직무 연관성이 낮다면 ISMS-P 심사에서 과도한 수집으로 지적받을 수 있다. 특히 2023년 개정된 개인정보보호법 제16조(수집·이용 제한)는 필요 최소한의 정보만 수집하도록 강제하며, 동의 거부권 고지 의무도 강화했다. 기업 채용 담당자는 직무기술서(Job Description) 기반으로 필수 수집 항목을 재정비할 필요가 있다.

ISMS-P 심사원 체크포인트

1. 기술적 보호조치 (인증기준 2.8.1~2.8.5) - Knox 등 보안 플랫폼의 암호화 알고리즘이 국가정보원 검증필 암호모듈(KCMVP) 또는 국제 표준(FIPS 140-2 이상) 준수 여부 - 접근통제 정책의 최소권한 원칙 적용 현황, 권한 부여·변경·말소 절차의 문서화 및 이행 실태 - 관련 법령: 개인정보보호법 제29조(안전조치의무), 개인정보의 안전성 확보조치 기준 제6조(접근통제)

2. 개인정보 수집 시 보호조치 (인증기준 2.9.1) - 채용 공고 및 지원서 양식에서 수집하는 개인정보 항목의 직무 연관성 입증 자료(직무분석서, 수집 항목별 사유 명시 문서) - 필수·선택 항목 구분 적정성, 동의 거부 시 불이익 고지 여부 - 관련 법령: 개인정보보호법 제16조(수집·이용 제한), 제15조(개인정보의 수집·이용) 제2항

3. 개인정보 영향평가 (인증기준 2.1.4) - 의료·헬스케어 등 민감정보 처리 신규 서비스 도입 시 사전 영향평가 수행 여부 - 평가 결과에 따른 위험 개선조치 이행 현황 및 보호책임자 검토·승인 기록 - 관련 법령: 개인정보보호법 제33조(개인정보 영향평가), 동법 시행령 제35조(평가 대상)

CPPG·ISMS-P 연계 포인트

개인정보 수집 최소화 원칙 (개인정보보호법 제16조 제1항) 정보주체의 동의를 받아 개인정보를 수집하는 경우에도 수집 목적에 필요한 최소한의 정보만 수집해야 한다. 학력정보는 직무 수행과 직접적 연관성이 입증되지 않으면 수집 근거가 불충분하며, 동의 거부 시 채용 기회 박탈은 부당한 불이익 제공으로 해석될 수 있다. CPPG 시험에서는 '필요 최소한'의 판단 기준(수집 목적과의 관련성, 대체 수단 존재 여부)이 자주 출제된다.

기술적 보호조치 - 암호화 (안전성 확보조치 기준 제7조) 개인정보를 정보통신망을 통해 송신하거나 보조저장매체 등을 통해 전달하는 경우 암호화해야 한다. Knox와 같은 하드웨어 기반 보안(HSM, TEE)은 소프트웨어 암호화 대비 키 관리와 변조 방지에서 우수하며, ISMS-P 심사 시 고도화된 보호조치로 인정된다. 시험에서는 암호화 대상(고유식별정보, 비밀번호, 바이오정보), 알고리즘 안전성, 키 관리 방법이 핵심 출제 포인트다.

#삼성전자Knox#SK하이닉스#ISMS-P#개인정보최소수집#기술적보호조치
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

ISMS-P 기사 더 보기 →

관련 기사

📌 함께 읽으면 좋은 기사

과기정통부, 2026년도 데이터거래사 교육 신청 공고…데이터 전문 인력 양성 본격화
PET·신기술

과기정통부, 2026년도 데이터거래사 교육 신청 공고…데이터 전문 인력 양성 본격화

2026년 6월 19일
[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리
인공지능

[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리

2026년 6월 3일
공모전·대외활동·해커톤 정보 모음 앱 ‘kkeul’ 출시… “정보 탐색 피로감 줄인다”
취업·진로

공모전·대외활동·해커톤 정보 모음 앱 ‘kkeul’ 출시… “정보 탐색 피로감 줄인다”

2026년 6월 7일
[보도자료] 디지털기술융합협회 백남정 회장, 인천시교육청서 ‘교육현장을 노리는 AI 보안 위협과 개인정보보호’ 특별 강연 개최
개인정보보호

[보도자료] 디지털기술융합협회 백남정 회장, 인천시교육청서 ‘교육현장을 노리는 AI 보안 위협과 개인정보보호’ 특별 강연 개최

2026년 5월 22일