주요 법령과 보안 의무

1. 개인정보 보호법 (대한민국)

대한민국 개인정보 보호법은 정보보안을 다루는 가장 핵심적인 법률입니다. 이 법은 성명, 주민등록번호, 연락처, 이메일, 위치정보, 영상정보 등 살아 있는 개인을 알아볼 수 있는 모든 정보를 '개인정보'로 정의하고, 이를 처리하는 모든 기업과 기관에 광범위한 의무를 부여합니다. 대표적인 의무는 다음과 같습니다. 수집·이용 단계에서는 정보주체의 명시적 동의를 받아야 하며, 수집 목적·항목·보유기간을 사전에 고지해야 합니다. 보관 단계에서는 안전성 확보를 위한 기술적·관리적·물리적 보호조치를 의무적으로 시행해야 합니다. 개인정보 보호법 시행령 제30조는 비밀번호의 일방향 암호화, 주민등록번호 등 고유식별정보의 암호화 저장, 접속기록 보관 및 위·변조 방지, 접근통제 및 접근권한 관리 등을 구체적으로 규정하고 있습니다.

특히 폐기 단계가 중요합니다. 보유기간이 지났거나 처리 목적이 달성되었다면, 해당 개인정보는 '복구·재생이 불가능한 방법'으로 지체 없이 파기해야 합니다. 단순히 파일을 삭제하는 수준이 아니라, 저장매체 자체의 데이터 복원이 원천적으로 불가능한 방식이어야 한다는 점에서, 디가우징·물리적 파쇄 등 전문 파기 서비스의 필요성이 발생합니다. 위반 시 제재 수위도 매우 무겁습니다. 개인정보 보호법 제71조는 정보주체의 동의 없이 개인정보를 제3자에게 제공하거나, 정당한 권한 없이 개인정보 파일을 유출한 경우 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처할 수 있다고 규정하고 있습니다. 여기에 더해 2023년 9월 개정·시행된 법에 따라, 위반 행위에 대해 전체 매출액의 100분의 3을 초과하지 않는 범위에서 과징금이 부과될 수 있습니다. 매출 1조 원 규모의 기업이라면 이론상 최대 300억 원의 과징금이 가능한 셈입니다.

2. GDPR (EU 일반개인정보보호법)

유럽연합의 일반개인정보보호법, 즉 General Data Protection Regulation(GDPR)은 전 세계에서 가장 강력한 개인정보 보호 법령으로 꼽힙니다. 무엇보다 EU 시민의 개인정보를 다루는 모든 기업에 역외 적용되기 때문에, EU에 직접 진출하지 않은 한국 기업이라도 EU 거주자의 데이터를 다룬다면 법 적용 대상이 됩니다. GDPR의 핵심 권리 중 하나가 바로 '잊힐 권리(Right to be forgotten)'입니다. GDPR 제17조는 정보주체가 자신의 개인정보 삭제를 요청하면, 데이터 컨트롤러(controller)는 '지체 없이' 이를 삭제할 의무가 있다고 규정합니다. 수집 목적이 달성되었거나, 동의가 철회되었거나, 처리가 위법한 경우 등 일정 조건이 충족되면 정보주체의 삭제 요구를 거부할 수 없습니다.

이외에도 GDPR은 정보접근권, 정정권, 처리제한권, 데이터 이동권, 자동화된 의사결정에 대한 거부권 등 광범위한 권리를 보장합니다. 기업 입장에서는 데이터의 수집·저장·이용 전 과정에 걸쳐 정보주체의 권리 요청에 신속하게 대응할 수 있는 시스템을 구축해야 한다는 의미입니다. 위반 시 제재 수위는 글로벌 기준에서도 가장 강력합니다. 가장 심각한 유형의 위반에 대해서는 최대 2천만 유로(약 290억 원) 또는 직전 회계연도 전 세계 연간 매출액의 4% 중 '더 높은 금액'이 과징금으로 부과될 수 있습니다. 상대적으로 경미한 위반의 경우에도 최대 1천만 유로 또는 매출의 2% 중 더 높은 금액이 적용됩니다. 글로벌 매출 규모가 큰 기업일수록 처벌 규모는 천문학적으로 늘어납니다.

3. 정보통신망법 (정보통신망 이용촉진 및 정보보호 등에 관한 법률)

정보통신망법은 정보통신서비스를 제공하는 기업이 반드시 준수해야 할 보안 의무를 규정하고 있습니다. 이 법은 인터넷, 모바일, 클라우드 등 정보통신망을 통한 서비스 전반을 규율하며, 정보통신서비스 제공자에게 침해사고 예방, 접근권한 통제, 악성프로그램 대응 등 종합적인 보안관리 의무를 부여합니다. 특히 제48조는 정보통신망 침해행위를 명시적으로 금지하고 있습니다. 정당한 접근권한 없이 또는 허용된 권한을 넘어 정보통신망에 침입하는 행위, 악성프로그램을 전달·유포하는 행위, 대량의 신호나 데이터로 정보통신망의 정상 운영을 방해하는 행위 등이 모두 형사처벌의 대상입니다.

이러한 규정은 외부 해킹뿐 아니라 내부자에 의한 무단 접근, 권한 외 자료 열람·복사·반출에도 적용됩니다. 따라서 기업은 직원별 접근권한을 명확히 설정하고, 접속 이력을 기록·관리하며, 퇴직자에 대한 권한 회수 절차까지 체계화해야 합니다. 실제로 퇴직자가 재직 시 부여받았던 계정으로 회사 시스템에 접근해 자료를 반출하는 사건이 끊이지 않고 있어, 권한 회수 프로세스의 자동화가 점차 필수 과제가 되고 있습니다.

4. 전자금융거래법

금융권에 적용되는 전자금융거래법은 정보보호 의무의 강도가 가장 높은 법령 중 하나입니다. 이 법은 금융회사와 전자금융업자에게 전자금융거래의 안전성과 신뢰성을 확보할 의무를 부여하며, 위반 시 형사처벌은 물론 영업정지·인가취소 등 행정처분까지 가능합니다. 전자금융거래법 제21조는 금융회사와 전자금융업자가 '선량한 관리자의 주의'를 다해 전자금융거래의 안전성을 확보해야 한다고 규정합니다. 제21조의2는 정보보호최고책임자(CISO)를 의무적으로 지정하도록 하며, 일정 규모 이상의 금융회사는 CISO를 임원급으로 지정해야 합니다. 제21조의3은 정기적인 취약점 분석·평가와 그 결과의 금융위원회 보고를 의무화하고 있습니다.

전자금융감독규정은 이를 더욱 세분화하여, 전산실의 물리적 보안, 단말기 및 전산자료 보호 대책, 외부망 분리, 암호화 적용 범위, 사고 대응 체계 등 매우 구체적인 기술 기준을 제시합니다. 금융사로서는 사실상 '하나의 보안 매뉴얼'을 그대로 따라야 하는 셈입니다.

5. 그 밖의 관련 법령

이외에도 신용정보의 이용 및 보호에 관한 법률(신용정보법), 위치정보의 보호 및 이용 등에 관한 법률(위치정보법), 의료법 및 약사법상 보건의료정보 보호 규정, 그리고 영업비밀과 관련된 부정경쟁방지 및 영업비밀보호에 관한 법률까지, 산업 특성에 따라 적용되는 법률은 더욱 다양합니다. 기업은 자신의 비즈니스 영역에 어떤 법령이 적용되는지 정확히 파악하고, 각 법령의 요구 사항을 충실히 이행할 수 있는 통합 보안 거버넌스를 갖춰야 합니다.

법을 지키려면 '보안 전 과정'을 관리해야 합니다

많은 기업이 정보보안 하면 가장 먼저 방화벽, 백신, 침입탐지시스템(IDS), 침입차단시스템(IPS) 같은 기술적 보안 장비를 떠올립니다. 물론 이들 장비는 외부 공격을 차단하는 1차 방어선으로서 반드시 필요합니다. 그러나 법령이 요구하는 것은 그 이상입니다. 법령이 진정으로 요구하는 보안은 **'데이터의 전 생애주기 관리'**입니다. 데이터가 처음 수집되는 순간부터, 어디에 저장되고, 누가 접근하며, 어떤 목적으로 이용되고, 마지막에 어떻게 파기되는지에 이르기까지 전체 흐름이 체계적으로 관리되어야 합니다. 이를 흔히 데이터 라이프사이클 관리(DLM, Data Lifecycle Management)라고 부릅니다.

특히 간과되기 쉬운 단계가 바로 '폐기'입니다. 사용을 마친 노트북, 서버, 외장하드, 백업 테이프, SSD, USB 등 저장매체는 회사 내부에 그대로 방치되거나, 단순 포맷 후 폐기되는 경우가 많습니다. 그러나 일반적인 포맷이나 삭제 명령으로는 데이터를 완전히 지울 수 없습니다. 데이터 복구 소프트웨어만으로도 손쉽게 복원할 수 있어, 이런 폐기 방식은 사실상 정보 유출의 시한폭탄을 방치하는 것과 다름없습니다. 실제 글로벌 보안 사고 분석 보고서들은, 중고시장에서 거래되는 폐기 저장매체에서 기업의 민감한 자료가 그대로 발견된 사례를 반복적으로 보고하고 있습니다.

법령이 요구하는 안전한 파기는 '복구가 불가능한 방식'입니다. 이를 충족하기 위해서는 자기장으로 자성을 제거하는 디가우징(Degaussing), 저장매체를 물리적으로 절단·분쇄하는 파쇄(Shredding), 그리고 다회 덮어쓰기로 데이터를 완전 삭제하는 데이터 와이핑(Wiping) 등 전문 기법이 동원되어야 합니다. 또한 이러한 작업 결과를 증빙할 수 있는 파기 확인서와 보안 이력 보고서가 함께 제공되어야 법적 증빙 효력을 갖습니다. 수집-이용-저장-파기에 이르는 전 과정이 법적 기준에 부합하지 않는다면, 일부 단계에서 아무리 강력한 보안 장비를 도입하더라도 '법을 지키고 있다'고 평가받기 어렵습니다. 결국 정보보안 컴플라이언스는 '점' 단위의 통제가 아니라, '선'과 '면' 단위의 통합 관리로 접근해야 한다는 의미입니다.

알테크코리아, 법률 준수를 위한 보안 실무 파트너

알테크코리아(RTECH KOREA)는 단순한 폐기 업체가 아닙니다. 기업의 정보보안 리스크 해소를 넘어, 법규 준수 전반을 지원하는 정보보안 전문 파트너로서, 데이터 생애주기 마지막 단계의 '책임'을 함께 짊어집니다.

알테크코리아가 제공하는 핵심 서비스는 다음과 같습니다.

저장장비 파기 서비스 에서는 산업용 디가우저를 이용한 자기 저장매체의 완전 자성 제거, 그리고 산업용 파쇄기를 이용한 SSD·HDD·테이프 등의 물리적 파괴를 수행합니다. 단순 폐기가 아닌, 복구가 원천적으로 불가능한 수준의 완전 파기를 보장합니다.

보안 이력 관리 에서는 모든 작업 과정을 표준 프로세스에 따라 기록하고, 파기 확인서·작업 리포트·일련번호 관리 대장 등 법적 증빙으로 활용 가능한 문서를 제공합니다. 이는 추후 ISMS·ISMS-P 인증 심사나 규제기관의 점검 시 결정적인 근거 자료가 됩니다.

물리적 보안시설을 통한 전산장비 보관·파기 관리 도 강점입니다. CCTV 감시, 출입통제, 이중 잠금 등 다중 보안 체계 안에서 작업이 진행되며, 작업 입회·참관도 가능합니다. 기업의 보안 담당자가 직접 폐기 현장을 확인할 수 있어, 내부 통제 측면에서도 안심할 수 있습니다.

잊힐 권리 실현을 위한 데이터 완전 삭제 서비스 도 제공합니다. 정보주체의 삭제 요청에 대응해야 하는 글로벌 비즈니스 환경에서, 알테크코리아는 GDPR 및 국내 법령이 요구하는 수준의 데이터 파기 솔루션을 통해 기업의 컴플라이언스 부담을 덜어드립니다.

기업은 이제 '법을 지키는 방식'으로 보안해야 합니다

오늘날 정보보안은 단순한 기술의 문제가 아닙니다. 그것은 법과 책임, 그리고 기업의 지속가능성과 직결된 경영의 영역입니다. 데이터 한 건 한 건마다 "어떻게 책임질 것인가?"라는 질문이 따라붙습니다. 기업이 다루는 모든 데이터에는 출생부터 소멸까지의 책임이 존재합니다. 이 책임을 충실히 수행하지 못할 때, 기업은 단순한 금전적 손실을 넘어 시장의 신뢰, 임직원의 안전, 그리고 사업의 미래까지 잃을 수 있습니다. 반대로 데이터 책임을 충실히 수행하는 기업은, 그 자체로 강력한 경쟁우위를 확보합니다. 고객은 '믿을 수 있는 기업'에 자신의 정보를 맡기고, 파트너는 '컴플라이언스가 탄탄한 기업'과 거래를 이어갑니다.

알테크코리아는 그 책임의 무게를 함께 짊어지는 보안 전문가로서, 기업의 비즈니스를 지키는 '법적 방패'가 되어드립니다. 데이터의 마지막 한 비트까지 책임지는 보안, 그 시작은 알테크코리아와 함께하시기 바랍니다.