Legal Baseline — 법으로 강제되는 항목¶
Status: Draft v0.2
Owner: TBD (CPO)
Last reviewed: 2026-05-29
emocog가 ISMS-P 등 인증을 받지 않더라도 반드시 준수해야 하는 법정 항목을 정리한다. 인증은 선택이지만 본 문서의 항목은 의무이며, 미준수 시 과태료·시정명령·형사처벌 가능.
적용 법령 매트릭스¶
| 법령/고시 | 적용 사유 | 핵심 의무 |
|---|---|---|
| 개인정보보호법 | 개인정보 처리자 | CPO 지정, 처리방침 공개, 안전조치, 유출신고 |
| 개인정보보호법 시행령 | 동상 | 처리방침 항목·CPO 자격·안전조치 세부 |
| 안전성 확보조치 기준 고시 (보호위 2023-6호) | 동상 | 17개 조문 기술·관리·물리적 통제 |
| 정보통신망법 | 정보통신서비스 제공자 (앱·웹 운영) | CISO 지정·신고 |
| 정보통신망법 시행령 | 동상 | CISO 자격·신고 절차 |
| 의료기기 사이버보안 가이드라인 (식약처) | 의료기기 SW 허가 시 | 위험관리, SBOM, 패치 관리 |
| 의료법 / 개인정보보호법 (민감정보) | 건강정보 처리 | 동의 요건 강화, 암호화·접속기록 2년 |
1. 개인정보 보호책임자(CPO) 지정 — 개인정보보호법 §31¶
의무¶
- 모든 개인정보처리자는 CPO를 지정해야 한다.
- 단, 5명 미만 소상공인은 대표자가 자동 CPO (별도 지정 불필요).
일반 CPO 요건¶
- 사업주/대표자 또는 임원
- 임원이 없으면 개인정보 처리업무 담당 부서장
전문 CPO 강화 요건 (2024.3.15 시행)¶
대상 (시행령 §32④ 어느 하나): - 연 매출 1,500억 이상 + 개인정보 100만명 이상 처리 - 연 매출 1,500억 이상 + 민감정보/고유식별정보 5만명 이상 처리 - 일정 규모 학교/상급종합병원/공공기관
자격: - 개인정보보호 + 정보보호 + 정보기술 경력 합산 4년 이상 - 그 중 개인정보보호 경력 최소 2년 - 학위 인정: 박사 2년 / 석사 1년 / 학사 6개월 (하나만 인정) - 개인정보위 CPO 교육 이수: 최대 3개월 추가
emocog 현재 적용¶
- 일반 CPO 지정으로 충분 (매출·정보주체 수 모니터링 필요)
- 건강정보(민감) 누적 5만명 도달 전에 전문 CPO 후보 확보 권장
2. 정보보호 최고책임자(CISO) 지정·신고 — 정보통신망법 §45의3¶
의무¶
- 정보통신서비스 제공자(앱·웹 운영)는 CISO 지정 + 180일 내 과기정통부 신고.
- 면제: 자본금 1억 이하 또는 「중소기업기본법」상 소기업 → 대표자가 자동 CISO
일반 자격요건 (6가지 중 1개)¶
- 정보보호 또는 정보기술 분야 석사학위 이상
- 학사 + 정보보호/정보기술 3년 경력
- 전문학사 + 정보보호/정보기술 5년 경력
- 정보보호/정보기술 10년 경력
- ISMS 인증심사원 자격 보유
- 해당 회사 정보보호 부서장 1년 이상 근무
겸직금지 (특별 요건)¶
- 대상: 자산총액 5조 이상 또는 ISMS 의무대상 중 자산 5천억 이상
- 추가 요건: 정보보호 4년 또는 정보보호+IT 합산 5년(정보보호 2년 이상)
- 상근 의무
emocog 현재 적용 (2026-05-29 기준)¶
현 시점 신고 의무 면제 — CFO 확인(2026-05-29): 이모코그는 「중소기업기본법」상 소기업으로 분류됨. 시행령 §36의7 ②에 따라 CISO 지정·신고 의무 제외 대상이며, 동조 ③에 따라 대표자가 자동으로 CISO로 지정된 것으로 간주된다.
- 행정기관 신고 의무: 없음 (소기업 면제)
- 책임 귀속: 대표자에게 자동 귀속
- 권장 액션:
- 사내 책임 명확화를 위해 임명장 형태로 CISO 역할을 명문화 (선택, 실무 권장)
- 소기업 지위 변동 모니터링 (아래 트리거 참조)
신고 의무 발동 트리거 (향후 충족 시 즉시 대응)¶
다음 중 어느 하나에 해당하면 소기업 면제가 종료되어 신고 의무가 발생한다:
| # | 트리거 | 근거 |
|---|---|---|
| 1 | 「중소기업기본법」상 중기업으로 분류 변경 (3년 평균 매출이 주된 업종의 소기업 상한 초과) | 시행령 §36의7 ② — 중기업으로 전환 + 개인정보처리자에 해당 |
| 2 | ISMS 인증 의무 대상으로 진입 (매출 100억 이상 등) | 시행령 §36의7 ② — 규모 무관 신고 의무 |
| 3 | 자본금 1억 초과 + 소기업 기준 초과 | 동상 |
→ 트리거 충족 시 180일 이내에 임직원 중 자격요건 충족자를 CISO로 지정하고 과기정통부(중앙전파관리소)에 신고해야 한다.
사전 준비 (트리거 도달 전 권장)¶
- 자격요건 6가지 중 1개를 충족할 후보자 1~2명 식별 (예: ISMS 인증심사원 자격 취득은 가장 빠른 경로)
- 매 회계연도 결산 후 중소기업 확인서 갱신 발급으로 분류 모니터링 (https://sminfo.mss.go.kr)
3. 개인정보 처리방침 — 개인정보보호법 §30¶
의무¶
- 외부 노출 채널(웹·앱)에 게시
- 정보주체가 쉽게 확인 가능한 위치에 상시 공개
필수 기재 사항¶
- 처리 목적, 항목, 보유·이용 기간
- 제3자 제공 (있는 경우)
- 처리 위탁 (있는 경우, 수탁자·업무 내용)
- 정보주체 권리행사 방법
- CPO 성명·연락처
- 자동수집장치(쿠키 등) 운영
- 변경 시 통지 절차
4. 안전성 확보조치 — 개인정보보호법 §29 + 고시 2023-6호¶
의무¶
- 기술적·관리적·물리적 안전조치 17개 조문 준수 (조직 규모와 무관하게 모두 적용)
핵심 8개 영역¶
- 내부관리계획 수립 (§4)
- 접근 권한 관리 (§5) — 입·퇴사자 계정 절차, 권한 부여·회수 기록
- 접근 통제 (§6) — 외부 접근 차단, 비인가 접속 방지
- 개인정보 암호화 (§7) — 저장·전송 시 암호화
- 접속기록 보관·점검 (§8) — 최소 1년, 민감정보·5만명 이상은 2년
- 악성코드 방지 (§9)
- 물리적 안전조치 (§10)
- 재해·재난 대비 (§11)
emocog 매핑¶
→ docs/checklists/safeguards-2023-6-mapping.md (Phase 2에서 작성)
5. 유출 통지·신고 — 개인정보보호법 §34¶
의무¶
- 정보주체에게 지체 없이 통지 (5일 내 권고)
- 1천 명 이상 유출 또는 민감정보 유출은 개인정보위·KISA에 72시간 내 신고
- 신고 채널: https://www.privacy.go.kr
emocog 적용¶
- 건강정보 = 민감정보 → 1건이라도 유출 시 신고 대상
- 절차는
docs/runbooks/breach-response-72h.md참조
6. 정보주체 권리 보장 — 개인정보보호법 §35~37¶
- 열람, 정정·삭제, 처리정지 요구 응대 절차 필요
- 10일 내 응답 원칙 (불응 시 사유 통지)
7. (의료기기 SW 해당 시) MFDS 사이버보안 가이드라인¶
코그테라가 의료기기 SW로 식약처 허가 진행/유지 시 추가 적용:
- 사이버보안 위험관리 문서화 (FDA pre-market과 유사)
- SBOM (Software Bill of Materials) 관리
- 보안 패치 정책·고지 절차
- 시판 후 모니터링 (PMS)
QMS(ISO 13485) 문서 체계와 통합 운영 권장 (별도 분리 시 중복).
점검 주기¶
| 항목 | 주기 |
|---|---|
| 처리방침 갱신 | 변경 시 즉시 |
| 내부관리계획 | 연 1회 |
| 위탁사 점검 | 연 1회 (이상 신고 시 즉시) |
| 접속기록 점검 | 월 1회 |
| 전직원 교육 | 연 1회 |
| 백업 복구 테스트 | 분기 1회 |
| 사고 모의훈련 | 연 1회 |
참고¶
- 법령 원문 링크:
docs/reference/legal-links.md - 자격요건 상세:
docs/overview/02-ciso-cpo-roles.md