제1장 · 개인정보보호의 이해
CPPG 핵심요약노트 · 백남정
CPPG 핵심요약노트 — 제1장 개인정보보호의 이해 (배점 10%)
저자: 백남정 (공학박사, ISMS-P 선임심사원 30회, 개인정보보호위원회 가명정보 전문가)
플랫폼: passfi.techfi.kr | 2026년 최신 개정 법률 완전 반영
들어가며 — 1장을 읽기 전에
CPPG 시험에서 1장은 배점이 10%로 가장 낮습니다. 그래서 많은 수험생이 "나중에 봐야지"라고 미뤄두다가, 막상 시험장에서 의외의 함정 문제에 걸려 당황하는 일이 자주 생깁니다.
1장의 진짜 역할은 2장~5장 전체를 이해하는 언어를 제공하는 것입니다. "개인정보가 무엇인가"를 정확히 모르면, 3장에서 "왜 이 정보는 별도 동의가 필요한가"를 이해할 수 없습니다. "프라이버시와 개인정보 자기결정권"을 모르면, 4장의 안전조치가 "왜 이 정도까지 해야 하는가"의 이유를 모른 채 그냥 외우게 됩니다.
따라서 1장은 빠르게 읽되, 정의와 판단 기준만큼은 정확하게 잡아야 합니다.
제1절 개인정보의 개요
1.1 개인정보의 정의 — "살아있는 개인에 관한 정보"
법이 정의하는 개인정보는 생각보다 넓습니다. 「개인정보 보호법」 제2조 제1호는 이를 "살아 있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보"로 규정합니다. 여기서 핵심은 "알아볼 수 있다"는 식별 가능성입니다.
| 유형 | 정의 | 식별 방법 | 주요 예시 |
|---|---|---|---|
| 직접 식별 정보 | 해당 정보 자체만으로 특정 개인 판별 가능 | 단독 식별 | 성명, 주민등록번호, 여권번호, 얼굴 영상 |
| 간접 식별 정보 | 단독 불가, 다른 정보와 결합 시 식별 가능 | 결합 식별 | 주소+생년월일, 전화번호+통화이력 |
| 가명정보 | 가명처리 후 추가정보 없이는 특정인 식별 불가 | 추가정보 결합 시 가능 | 홍길동→사용자A |
📝 출제 포인트: 가명정보는 개인정보에 **"해당"**한다 → 개보법 적용 O / 익명정보는 개인정보가 "아니다" → 개보법 적용 제외 (제58조의2)
가명정보는 왜 개보법이 적용되고, 익명정보는 왜 적용되지 않는가
이 질문은 수험생들이 가장 많이 헷갈리는 부분입니다. 표만 보면 "가명=보호, 익명=자유" 정도로 외우게 되는데, 그 이유를 모르면 응용 문제에서 반드시 틀립니다.
핵심은 **"재식별 가능성이 남아있는가"**입니다.
가명정보는 "추가 정보 없이는 식별 불가"이지만, 추가 정보를 결합하면 원래의 개인으로 되돌릴 수 있습니다. 예를 들어 병원이 환자 이름을 코드로 바꾸어 연구기관에 제공했더라도, 그 코드와 원본 매핑 테이블이 어딘가에 존재한다면 이론상 재식별이 가능합니다. 그래서 법은 가명정보에 개보법을 적용하되, 통계·연구·공익 목적에 한해 동의 없이 처리할 수 있는 특례를 부여합니다.
반면 익명정보는 시간·기술·비용을 합리적으로 고려해도 재식별이 불가능한 상태입니다. 그래서 제58조의2에서 법 적용 대상에서 명시적으로 제외합니다.
1.2 결합 가능성 판단 — "쉽게 결합할 수 있는가"
간접 식별정보를 개인정보로 볼 것인지 판단할 때, 법은 "쉽게 결합할 수 있는지 여부"를 기준으로 삼습니다.
| 판단 요소 | 세부 내용 |
|---|---|
| 합법적 접근 가능성 | 다른 정보에 합법적으로 접근할 수 있는지 여부 |
| 기술적 가능성 | 현재 기술 수준에서 결합이 가능한지 여부 |
| 소요 시간·비용 | 결합에 소요되는 시간과 비용이 합리적 범위인지 여부 |
| 정보 보유 주체 | 해당 정보를 보유한 주체의 접근·결합 가능성 |
1.3 주요 용어 정리 — 법 조문의 언어를 이해하라
| 용어 | 법적 정의 (개보법 제2조) | 핵심 포인트 |
|---|---|---|
| 개인정보의 처리 | 수집·생성·연계·기록·저장·보유·가공·출력·파기 등 일련의 모든 행위 | 단순 전달·중계(ISP·택배기사)는 처리 비해당 |
| 정보주체 | 처리되는 정보에 의하여 알아볼 수 있는 사람 | 살아있는 자연인, 국적·신분 무관, 외국인·아동도 해당 |
| 개인정보파일 | 쉽게 검색할 수 있도록 체계적으로 배열·구성한 집합물 | 수기 문서도 체계적 정리·검색 가능 시 해당 |
| 개인정보처리자 | 업무 목적으로 개인정보파일을 운용하기 위하여 처리하는 자 | '업무 목적' + '파일 운용' 두 요건 모두 충족 필요 |
| 개인정보취급자 | 처리자의 지휘·감독을 받아 개인정보를 처리하는 임직원·파견직 등 | 처리자의 연장선, 안전조치 교육 대상 |
💡 핵심 암기: 처리 해당 O → DB 입력, 백업, 마케팅 분석, 고객사 제공, 정보 삭제
처리 비해당 X → 택배기사 단순 운반, ISP 단순 중계, 경비원 육안 확인 후 즉시 반환
1.4 프라이버시와 개인정보 자기결정권
프라이버시는 공간·신체·통신·정보의 4가지 유형으로 구분됩니다. 개인정보 보호법은 이 중 정보 프라이버시만을 직접 보호합니다. 나머지는 형법(주거침입), 통신비밀보호법 등 다른 법률이 담당합니다.
개인정보 자기결정권은 헌법재판소(2005.7.21. 2003헌마282)가 헌법 제10조 일반적 인격권에서 파생되는 독자적 기본권임을 확인했습니다.
| 구분 | 내용 | 사례 |
|---|---|---|
| 소극적 권리 | 자신의 정보가 공개·이용되지 않도록 요구하는 권리 | 개인정보 비공개 요청, 삭제 요구 |
| 적극적 권리 | 자신의 정보가 누구에게·어느 범위까지 이용될지 직접 통제·관리 | 동의 철회, 열람 요구, 전송 요구, 자동화 결정 거부 |
1.5 개인정보의 유형 — 민감정보와 고유식별정보
보호 강도는 고유식별정보 > 민감정보 > 일반 개인정보 순입니다.
민감정보 8종 (제23조)
| 민감정보 8종 |
|---|
| ① 사상·신념 |
| ② 노동조합·정당 가입·탈퇴 |
| ③ 정치적 견해 |
| ④ 건강·성생활에 관한 정보 |
| ⑤ 유전정보 |
| ⑥ 범죄경력 정보 |
| ⑦ 생체인식정보 ★ (인증·식별 목적으로 처리된 것, 2023년 신설) |
| ⑧ 인종·민족 |
고유식별정보 4종 (제24조·제24조의2)
주민등록번호·여권번호·운전면허번호·외국인등록번호가 고유식별정보입니다.
⚠️ 중요: 주민등록번호는 정보주체의 동의가 있어도 법령 근거 없으면 수집 자체가 불가능합니다.
1.6 개인정보의 특성
| 특성 | 내용 | 보호 시사점 |
|---|---|---|
| 비소모성 | 사용해도 소멸되지 않고, 복제·전파 용이 | 한번 유출되면 회수 불가 → 사전 예방이 핵심 |
| 연결성 (모자이크 효과) | 단편 정보도 결합 시 새로운 식별력 창출 | 비식별 정보도 결합 위험성 고려한 보호조치 필요 |
| 가변성 | 시간 경과에 따라 변화 | 정기적 갱신·정정 절차 마련 의무 |
| 비대칭성 | 처리자와 정보주체 간 정보 비대칭 | 투명성 확보 필수 |
| 맥락 의존성 | 동일 정보도 목적·환경에 따라 민감도 달라짐 | 처리 목적에 따른 차등적 보호 필요 |
비소모성은 물리적 재화와의 근본적 차이를 설명합니다. 지갑을 도둑맞으면 원래 주인은 돈을 잃습니다. 하지만 개인정보가 유출되면 원래 주인은 여전히 그 정보를 갖고 있으면서, 동시에 다른 누군가도 그 정보를 갖게 됩니다. 이것이 사후 구제보다 사전 예방을 강조하는 법적 구조의 배경입니다.
1.7 개인정보 가치산정 기법 — CVM과 프레이밍 효과
| 기법 | 방법 | 설명 |
|---|---|---|
| WTP (Willingness To Pay) | 설문 기반 | 개인정보 보호를 위해 지불할 의사가 있는 금액 측정 |
| WTA (Willingness To Accept) | 설문 기반 | 개인정보 침해 피해에 대해 수용할 배상액 측정 |
| 프레이밍 효과 | 인지 편향 | 동일한 선택지라도 제시 방식에 따라 의사결정이 달라지는 현상 |
📝 출제 포인트: WTP는 보호 비용 지불의사, WTA는 피해 배상금 수용의사. 시험에서 이 둘을 뒤바꿔 서술하는 경우가 많습니다.
1.8 해외 개인정보보호 제도
| 지역·국가 | 주요 법령 | 동의 방식 | 특징 |
|---|---|---|---|
| EU | GDPR (2018) | 옵트인 | 역외 적용, DPO 의무, 강력한 과징금 |
| 영국 | UK GDPR + DPA 2018 | 옵트인 | Brexit 이후 독자 운영 |
| 미국 | 분야별 연방법 + 주법 | 옵트아웃 중심 | 포괄적 연방 일반법 없음 |
| 미국(캘리포니아) | CCPA/CPRA | 옵트인·아웃 혼용 | 미국 최초 포괄적 주 단위 프라이버시법 |
| 일본 | APPI (2022년 개정) | 옵트인 | GDPR 유사 체계 |
| 중국 | PIPL (2021) | 옵트인 | 국가 주권 강조, 데이터 현지화 요건 |
| 한국 | 개인정보 보호법 | 옵트인 | 공공·민간 통합, 2022년 EU 적정성 결정 |
💡 핵심 암기: 한국·EU = 옵트인 / 미국 = 옵트아웃 (단, CCPA는 혼용)
1.9 GDPR 심화 — 한국법과의 체계적 비교
| 비교 항목 | 한국 개인정보 보호법 | EU GDPR |
|---|---|---|
| 법 형식 | 법률 (일반법) | 규칙(Regulation) — 직접 구속력 |
| 동의 방식 | 옵트인 | 옵트인 |
| 아동 기준 | 만 14세 미만 | 만 16세 미만 |
| 보호책임자 | CPO (내부 임원, 외부 불가) | DPO (내·외부 가능, 독립성·해고금지 보장) |
| 과징금 | 전체 매출액 3% 이내 | 중대 위반: 전 세계 매출 4% 또는 2천만 유로 |
| 데이터 이동권 | 전송 요구권 (2023년 신설) | 데이터 이동권 (기계판독 형식) |
| 자동화 결정 | 거부·설명 요구권 (2023년 신설) | 자동화 결정 거부권 |
1.10 DPO와 CPO 비교 — 독립성의 차이가 핵심
CPO는 기업 내부의 임원으로, 반드시 내부자여야 합니다. DPO는 조직으로부터 독립적 지위가 법적으로 보장되며, 내부 직원이 될 수도 있고 외부 전문가가 될 수도 있습니다.
| 비교 항목 | 한국 CPO | EU GDPR DPO |
|---|---|---|
| 법적 근거 | 개인정보 보호법 제31조 | GDPR 제37~39조 |
| 자격 요건 | 임원급 이상 내부자 원칙 (외부 불가) | 내부 임직원 또는 외부 전문가 모두 가능 |
| 독립성 | 별도 보호 규정 없음 | 독립적 업무 수행 보장, 해고·불이익 금지 |
| 미지정 제재 | 1천만 원 이하 과태료 | 감독기관의 시정명령 및 과징금 |
🔵 심사원 관점: CPO가 형식적으로만 지정되어 있는 경우가 심사 현장에서 빈번하게 발견됩니다. 대표이사가 CPO를 겸직하거나, 직무와 무관한 임원을 CPO로 지정한 뒤 실제 업무는 하위 직원이 처리하는 구조입니다. 이런 경우 1.1.2(최고책임자 지정) 항목에서 결함이 납니다. CPO는 실제 개인정보 보호 관련 의사결정 권한을 갖고 있어야 합니다.
제2절 개인정보보호의 중요성
2.1 정보사회와 개인정보 노출 위험
| 위험 유형 | 내용 | 대표 사례 |
|---|---|---|
| 행태정보 수집 | 웹 검색·쇼핑 이력, 위치정보, SNS 활동 등 자동 수집 | 쿠키·픽셀을 통한 광고 타겟팅 |
| 빅데이터 프로파일링 | 대량 데이터를 분석하여 개인 성향·행동 예측 | 신용평가·채용 AI 심사 |
| 딥페이크·AI 침해 | 타인의 얼굴·목소리를 합성한 허위 콘텐츠 생성 | 딥페이크 성범죄·보이스피싱 |
| 재식별 위험 | 비식별화 처리 후에도 기술 발전으로 재식별 가능 | 다른 데이터와의 결합 재식별 |
2.2 개인정보 침해 유형과 제재
| 침해 유형 | 예시 | 주요 제재 |
|---|---|---|
| 무단 수집 | 법적 근거·동의 없이 개인정보 수집 | 5천만 원 이하 과태료·형사처벌 |
| 목적 외 이용·제공 | 동의 범위를 벗어난 마케팅 활용 | 3년 이하 징역 또는 3천만 원 이하 벌금 |
| 안전조치 미비로 유출 | 암호화 미적용·해킹 등으로 유출 | 과징금(매출 3%)·과태료·손해배상 |
| 불법 거래·판매 | 개인정보 불법 판매·양도 | 5년 이하 징역 또는 5천만 원 이하 벌금 |
🔵 심사원 관점: 30회 이상 ISMS-P 심사를 진행하면서 가장 자주 발견하는 침해 유형은 "목적 외 이용"입니다. 많은 기업에서 회원가입 동의서에 마케팅 활용을 필수 동의로 묶거나, 서비스 이용 과정에서 수집한 정보를 사전 고지 없이 다른 서비스에 활용합니다. "우리 회사 내부에서 쓰는 건데 뭐가 문제냐"는 인식이 가장 흔한 원인입니다. 개보법은 회사 내부에서의 사용도 목적 외 이용에 해당할 수 있다는 점을 명심해야 합니다.
제3절 기업의 사회적 책임 (CSR)
기업의 사회적 책임(CSR) 관점에서 개인정보보호는 법적 의무를 넘어 기업의 지속가능성 전략과 연결됩니다.
| CSR 관점의 효과 | 세부 내용 |
|---|---|
| 브랜드 차별화 | 투명한 개인정보보호 노력이 고객 신뢰 강화 및 경쟁 우위 확보 |
| 위험관리 개선 | 사전 예방적 보호조치로 법적·재무적 리스크 최소화 |
| 규제 간섭 완화 | 자율적·선제적 보호 노력이 정부 규제 강도를 낮추는 요인 |
| ESG 경영 연계 | 투자자 평가 지표에 반영, 장기적 기업가치 향상 |
CPO의 법적 의무 (개보법 제31조)
| 항목 | 내용 |
|---|---|
| 지정 의무자 | 모든 개인정보처리자 (공공기관·법인·단체·개인) |
| 자격 요건 | 임원 또는 이에 준하는 자 |
| 외부 지정 | 불가 (내부자만 가능) |
| 주요 의무 | 처리방침 수립, 이행 실태 연 1회 이상 점검, 교육, 침해사고 대응 |
| 미지정 제재 | 1천만 원 이하 과태료 |
핵심 조문 번호 정리
| 조문 | 제목 | 핵심 내용 |
|---|---|---|
| 제2조 | 정의 | 개인정보·정보주체·처리·처리자·파일 등 용어 정의 |
| 제3조 | 보호 원칙 | 목적 제한·최소 수집·정확성·안전성 등 8대 원칙 |
| 제4조 | 정보주체 권리 | 열람·정정·삭제·처리정지·동의 철회·손해배상 |
| 제23조 | 민감정보 처리 제한 | 사상·건강·성생활·유전·범죄경력·생체인식정보 8종 |
| 제24조 | 고유식별정보 제한 | 주민번호·여권·면허·외국인등록번호 4종 |
| 제24조의2 | 주민번호 처리 제한 | 법령 근거 없이 수집 금지 (동의만으로 불가) |
| 제28조의2 | 가명정보 처리 | 통계·연구·공익 기록보존 목적 동의없이 처리 가능 |
| 제31조 | CPO 지정 | 임원급 이상 내부자, 보호업무 총괄 |
| 제58조의2 | 적용 제외 | 익명정보에는 개보법 미적용 |
이 장을 마치며 — 2장으로 가기 전 점검
1장에서 배운 내용은 이후 모든 장의 언어와 논리적 토대가 됩니다. 2장으로 넘어가기 전에 다음 세 가지를 스스로 확인하세요.
① "이 정보는 개인정보인가?"를 판단하는 3단계를 말할 수 있는가?
살아있는 개인 → 개인에 관한 정보 → 식별 가능성
② 가명정보와 익명정보의 차이를 한 문장으로 설명할 수 있는가?
재식별 가능성이 남아있으면 가명정보(개보법 적용), 없으면 익명정보(적용 제외)
③ 민감정보 8종과 고유식별정보 4종을 구분할 수 있는가?
주민번호는 고유식별정보이지 민감정보가 아닙니다.
© 2026 passfi.techfi.kr | 백남정 저 | 무단 전재 및 재배포 금지