개인정보 내부 관리계획서¶

항목	내용
문서번호	TBD (RA 협의 후 확정)
버전	v2.0 (Draft)
작성일	2026-05-29
시행일	YYYY-MM-DD (대표이사 결재 후 기입)
작성	조준상 (CTO, CPO)
검토	정보보호위원회
승인	대표이사
분류	사내공개
검토 주기	연 1회 + 중요 변경 시 즉시 (고시 §4 ③)

개정 이력¶

버전	일자	작성	검토	승인	주요 변경
v1.0	2025-05-02	조준상	—	—	초안 작성
v2.0 (Draft)	2026-05-29	조준상	(TBD)	(TBD)	「개인정보의 안전성 확보조치 기준」(개인정보보호위원회 고시 제2023-6호, 시행 2023.9.22) §4 ① 1~16호 필수 사항 전 항목 반영. CPO·CISO 지정 현황 확정 반영(이모코그 소기업 분류, CFO 확인 2026-05-29). 위탁사·접속기록 2년 보관·유출 신고 72시간·교육 차등화·실태점검 의무 등 누락 항목 보완. 외부 SSoT(`emocog/compliance` repo) 연결.

0. 서두¶

0.1 목적¶

본 계획서는 (주)이모코그(이하 "회사")가 처리하는 개인정보의 분실·도난·유출·위조·변조 또는 훼손을 방지하고, 「개인정보 보호법」 §29 및 「개인정보의 안전성 확보조치 기준」(개인정보보호위원회 고시 제2023-6호) §4에 따라 회사가 적용해야 할 내부 관리계획을 수립·시행함을 목적으로 한다.

0.2 적용 범위¶

인적 범위: 회사의 모든 임직원, 협력업체·위탁사(수탁자), 단기 계약자
시스템 범위: 회사가 운영하는 모든 정보 서비스 및 인프라 (코그테라, 이지브리드 등 제품 + 사내 운영 시스템)
데이터 범위: 회사가 처리하는 모든 개인정보 (일반정보, 민감정보 = 건강정보 포함, 고유식별정보 포함)

0.3 적용 법령·고시¶

구분	명칭	주요 적용 조항
법률	개인정보 보호법	§15(수집·이용), §17(제공), §18(목적 외 이용), §23(민감정보), §26(위탁), §29(안전조치 의무), §30(처리방침), §31(CPO 지정), §34(유출통지·신고), §35~37(정보주체 권리)
시행령	개인정보 보호법 시행령	§16(안전조치 세부), §30·30의2(공공시스템), §31(처리방침 항목), §32(CPO 자격), §40(유출 신고)
고시	개인정보의 안전성 확보조치 기준 (개인정보보호위원회 고시 제2023-6호, 시행 2023.9.22)	본 계획서의 직접 근거 — §4 ~ §13 (17개 조문)
법률	정보통신망법	§45의3 (CISO) — 이모코그 소기업 면제 적용
가이드	「개인정보의 안전성 확보조치 기준 안내서」(개인정보보호위, 2024.10)	조문별 해설
(해당 시)	식약처 「의료기기 사이버보안 허가·심사 가이드라인」	의료기기 SW 허가 시 추가 적용

0.4 회사 분류 상태 (참고)¶

「중소기업기본법」상 소기업 (CFO 확인, 2026-05-29)
정통망법 §45의3 ② 소기업 → CISO 신고 의무 면제, 대표자 자동 지정 간주
일반 CPO 적용 (개보법 §31, 시행령 §32)
전문 CPO 강화 요건 미해당 (매출 1,500억 미달, 민감정보 5만명 미달)
1만명 이상 정보주체 처리: 해당 → 고시 §4 ① 단서의 1만명 미만 생략 규정 적용 불가 → 본 계획서 수립 의무 발동

회사 분류 변동 모니터링은 docs/governance/role-assignments.md 참조.

1. 개인정보 보호 조직의 구성 및 운영 (고시 §4 ① 1호)¶

1.1 조직 구성¶

대표이사
  └─ CPO (조준상, CTO) ─── 정보보호위원회
       ├─ 개인정보 처리부서
       │    ├─ S/W개발팀 (열람청구 대응, 시스템 보안)
       │    └─ 고객지원팀 (민원·문의 응대)
       └─ 개인정보취급자 (각 부서)

1.2 정보보호위원회¶

항목	내용
위원장	CPO (조준상)
위원	대표이사, 부서장 (S/W개발팀, 고객지원팀, 인프라/DevOps, 인사)
정기 회의	분기 1회
임시 회의	침해사고·중요 변경 발생 시
주요 안건	정책 제·개정, 사고 사례, 위험 평가, 교육 계획, 위탁사 점검, 모니터링 트리거(중기업 전환·ISMS 의무 등) 검토
회의록 보관	3년

2. 개인정보 보호책임자의 자격요건 및 지정 (고시 §4 ① 2호)¶

2.1 자격 요건¶

「개인정보 보호법」 §31 및 시행령 §32에 따라 사업주, 대표자, 임원, 또는 개인정보 처리업무 담당 부서장 중에서 지정한다. (이모코그는 전문 CPO 강화 요건 미해당 → 일반 CPO 요건 적용)

2.2 현재 지정 현황 (2026-05-29 기준)¶

항목	내용
성명	조준상 (Kero)
직위	CTO
지정일	2026-05-29
이메일	privacy@emocog.com
전화	02-6745-0001

CPO 지정 현황 단일 출처: docs/governance/role-assignments.md

2.3 변경 절차¶

CPO 교체 시: 1. 대표이사 결재 2. 본 계획서 + 모든 제품 처리방침 + role-assignments.md 24시간 내 동시 갱신 3. 사내 공지 및 개인정보위 등 외부 채널에 등재된 표기 확인·교체

3. CPO와 개인정보취급자의 역할 및 책임 (고시 §4 ① 3호)¶

3.1 CPO (개인정보 보호책임자)¶

개인정보 처리 업무 총괄·최종 책임
처리방침의 수립·시행·갱신
본 계획서의 수립·이행 점검·개정
안전성 확보조치 점검·개선
정보주체의 권리행사·민원 대응 총괄
유출사고 대응 지휘 및 외부 신고
임직원 교육 총괄
위탁사·수탁자 관리·감독

3.2 개인정보취급자 (개인정보 처리 업무 담당자)¶

본 계획 및 CPO 정책·지침 준수
부여된 권한 범위 내에서만 개인정보 처리
분실·유출·이상징후 발견 시 즉시 CPO 보고
정기 교육 의무 이수

3.3 부서별 책임 매트릭스¶

부서	책임
S/W개발팀	시스템 보안 설계, 접근권한 부여·회수 처리, 로그 점검 자동화, 개인정보 열람청구 대응
인프라 / DevOps	접근 통제(VPN, 방화벽), 암호화 키 관리, 백업·DR
고객지원팀	민원·문의 1차 응대, 권리행사 접수
인사팀	임직원 개인정보 관리, 입·퇴사자 계정 신청·회수 트리거
위탁사(수탁자)	위탁계약 조항 준수, 안전성 점검 응대, 사고 즉시 보고

4. 개인정보취급자에 대한 관리·감독 및 교육 (고시 §4 ① 4호 + §4 ②)¶

4.1 교육 — 차등화 (고시 §4 ② 의무)¶

대상	주기	내용	형식
전 임직원	연 1회 이상	개보법 기초, 사내 정책, 사고 사례	온라인 또는 집합
신규 입사자	입사 시 1회	위와 동일 + 사내 시스템 사용법	온보딩 절차
개발자·인프라팀 (개인정보취급자 핵심)	반기 1회 이상	시큐어 코딩, 암호화, 로그 마스킹, 접근 통제	워크숍·핸즈온
AI/연구 개발팀	반기 1회	가명·익명 처리, 학습 데이터 관리	워크숍
CPO·정보보호위원	연 1회	외부 전문교육 (개보위·KISA 등)	외부 교육

이수증·이수 명단 보관 기간: 3년
미이수자 관리: CPO 보고 후 재교육 의무

4.2 관리·감독¶

개인정보취급자 명부 관리 (분기 1회 갱신)
권한 부여·회수 결재 트레일 (1년 보관)
분기 1회 접근권한 적정성 검토

5. 접근 권한의 관리 (고시 §4 ① 5호 + 고시 §5)¶

항목	내용
부여 원칙	업무상 필요한 최소 권한 (Principle of Least Privilege)
부여 절차	신청 → 부서장 승인 → CPO 또는 위임자 결재 → 부여
회수 SLA	24시간 내 (입·퇴사·인사이동·역할 변경 시)
결재 트레일	권한 부여·변경·회수 기록 최소 3년 보관 (고시 §5 ⑤)
관리자 계정	일반 계정과 분리. 공용 계정 금지. MFA 필수
비밀번호 정책	영문·숫자·특수문자 조합 최소 10자, 90일 변경 권장, 5회 실패 시 일정 시간 잠금
세션	자동 로그아웃(10분 무활동), 동시 접속 제한
SSO	사내 시스템 단일 인증(SSO) + MFA 강제 적용

6. 접근 통제 (고시 §4 ① 6호 + 고시 §6)¶

외부 인터넷에서 개인정보처리시스템에 직접 접근 차단 → VPN 또는 Bastion 호스트 경유
운영 RDB·민감정보 저장소: VPC + Private Subnet에 배치
방화벽·보안그룹·k8s NetworkPolicy 등 다층 통제
관리 콘솔: IP 화이트리스트 적용
모든 외부 API 통신: TLS 1.2 이상 (1.3 권장)
내부 서비스 간 호출: mTLS 또는 사설망 격리
비인가 접근 시도 탐지·차단 (WAF·IDS/IPS·CloudTrail Alert)

7. 개인정보의 암호화 (고시 §4 ① 7호 + 고시 §7)¶

7.1 저장 시¶

데이터 분류	알고리즘	비고
비밀번호	bcrypt 또는 Argon2 (단방향)	평문 저장 금지
고유식별정보 (주민·여권·운전면허·외국인등록번호)	AES-256	저장 의무 (고시 §7)
민감정보 (건강정보 등)	AES-256	저장 의무. 코그테라·이지브리드 적용
신용카드·계좌번호	AES-256 + 토큰화	(해당 시)
그 외 일반 개인정보	TDE 또는 컬럼 암호화	위험도에 따라 선택
백업본	저장과 동일 수준 암호화	KMS 키 분리 권장

7.2 전송 시¶

모든 외부 통신: TLS 1.2 이상 (1.3 권장)
내부 서비스 간: mTLS 또는 사설망 격리
모바일 앱 ↔ 서버: TLS pinning 적용 권장

7.3 키 관리¶

AWS KMS / GCP KMS 등 관리형 KMS 사용
키 회전: 연 1회 이상
키 사용 로그 자동 기록·점검

7.4 음성·생체 데이터 (코그테라 적용)¶

가명처리: 환자 식별자 → 임의 식별자로 치환, 매핑 테이블 별도 보관
저장: AES-256, 전송: TLS 1.3
접근 권한: STT 엔진 학습 담당자로 제한
접근 기록 별도 관리·점검

8. 접속기록의 보관 및 점검 (고시 §4 ① 8호 + 고시 §8)¶

8.1 기록 항목¶

계정(사용자/시스템), 접속 일시, 접속자 IP, 처리한 정보주체 식별자(가능 시), 수행한 업무(조회/수정/삭제 등)

8.2 보관 기간 — 이모코그는 최소 2년¶

조건	보관 기간
일반	최소 1년
5만 명 이상 정보주체 처리	최소 2년
민감정보 또는 고유식별정보 처리	최소 2년 ← 코그테라·이지브리드 적용

→ 이모코그는 모든 접속기록을 최소 2년간 보관한다. (고시 §8 ②)

8.3 점검¶

월 1회 이상 접속기록 점검 (CPO 보고)
이상 접근 탐지 알람(자동화): 비정상 시간대 접속, 대량 다운로드, 비인가 IP 등
점검 결과는 정보보호위원회 정기 회의에 보고

8.4 안전한 보관¶

접속기록 자체의 위·변조 방지를 위해 별도 저장소(S3 Object Lock, WORM 등)에 분리 보관

9. 악성프로그램 등 방지 (고시 §4 ① 9호 + 고시 §9)¶

운영 서버·컨테이너 정기 보안 패치 (월 1회 이상)
컨테이너 이미지 취약점 스캐닝: CI 파이프라인에 통합 (Trivy 등)
운영자/개발자 단말기 백신·EDR 설치 의무
시그니처·패턴 자동 업데이트
의심 파일 발견 시 격리·CPO 보고

10. 취약점 점검 (고시 §4 ① 10호 + 고시 §6 ④)¶

점검 유형	주기	주체
자체 취약점 점검 (인프라·웹·앱)	분기 1회	S/W개발팀 + 인프라팀
외부 보안 점검 또는 모의침투	연 1회 이상	외부 전문업체
의존성(라이브러리) 취약점	상시	Dependabot/Renovate 자동
Secret 스캐닝	상시	GitHub Secret Scanning

발견 사항은 위험 등급(Critical/High/Medium/Low)별 조치 SLA 부여
조치 완료까지 위험 등록부에 등재

11. 물리적 안전조치 (고시 §4 ① 11호 + 고시 §10)¶

11.1 클라우드 인프라 (운영 데이터)¶

회사는 자체 데이터센터를 운영하지 않으며, AWS Seoul (ap-northeast-2) 리전 등 CSP 인프라를 이용
CSP는 ISO 27001, SOC 2 등 국제 보안 인증 보유 (물리적 접근 통제, 출입관리, CCTV, 항온항습, UPS 등 운영)
CSP 보안 인증 갱신 상태 연 1회 점검 (registry/processor-register.yaml)

11.2 사무실 (오프라인)¶

출입 통제 (출입카드, 방문자 동반)
업무 PC 화면 잠금 (5분 무활동)
종이 출력물: 잠금 캐비닛 보관, 파기 시 분쇄
보조저장매체(USB 등) 외부 반출입 통제

12. 유출사고 대응 계획 (고시 §4 ① 12호 + 개보법 §34, 시행령 §40)¶

12.1 대응 절차 (요약)¶

상세 절차는 docs/runbooks/breach-response-72h.md (Phase 1 작성 예정)

사고 발견·인지
CPO 즉시 보고 (발견 후 5분 내 1차 구두/메시지 보고)
영향 범위 1차 추정 (1시간 내)
대응 TF 구성, 봉쇄·복구 시작
정보주체 통지 — 「지체 없이」 (개보법 §34 ①, 권고 5일 내)
개인정보위·KISA 신고 — 72시간 내 (아래 기준 해당 시)
사후 분석 보고서 (사고 종료 30일 내)
재발방지 대책 수립·실행 및 정보보호위원회 보고

12.2 외부 신고 의무 기준 (개보법 §34 ③, 시행령 §40 ①)¶

조건	신고 의무	비고
1천 명 이상 유출	72시간 내	개인정보위 + KISA
민감정보 또는 고유식별정보 유출	72시간 내 (1건이라도)	← 코그테라·이지브리드 적용
외부 침해(해킹 등) 의심	72시간 내	1천 명 미만이어도 신고
정보주체 통지	「지체 없이」 (권고 5일 내)	모든 유출

12.3 신고 채널¶

개인정보 유출 신고: https://www.privacy.go.kr (개인정보위·KISA 동시 접수)
침해사고 신고: KISA 118 / https://www.boho.or.kr

12.4 사고 모의훈련¶

연 1회 이상 시나리오 기반 모의훈련 + 보고서

13. 위험 분석 및 관리 (고시 §4 ① 13호)¶

자산·취약점·위협 매핑 → 위험 등급 산정 → 위험 등록부 유지
위험 등록부: registry/risk-register.yaml (Phase 1 작성)
연 1회 위험 평가, 분기 1회 모니터링
신규 SaaS 도입·서비스 출시·중요 변경 시 사전 위험 평가 의무
민감정보·대규모 신규 처리 시 개인정보 영향평가(DPIA) 수행
의료기기 SW 위험관리는 QMS(ISO 13485) 위험관리 절차와 통합 운영

14. 위탁사(수탁자) 관리·감독 (고시 §4 ① 14호 + 개보법 §26)¶

14.1 위탁사 현황¶

상세 등록부: registry/processor-register.yaml

주요 위탁사:

A. 처리방침 공개 §26 위탁 (개인정보 직접 처리)

위탁사	위탁업무	적용 제품	데이터 분류	저장 리전
Amazon Web Services	음성 인식, 데이터 보관	코그테라, 이지브리드	일반·민감	ap-northeast-2 (Seoul)
㈜알리는사람들	문자·카카오톡 발송	이지브리드	일반	국내
네이버클라우드	인증 SMS 발송	코그테라	일반	국내

B. 사내 운영 SaaS (개인정보 처리 미미·간접, 처리방침 공개 대상 아님)

서비스	용도	해외이전	비고
Sentry	에러 추적	미국	PII 스크러빙 강제
ClickUp	업무 관리	미국	환자 데이터 미저장
Slack	사내 커뮤니케이션	미국	환자 식별정보 공유 금지
GitHub	소스코드·CI	미국	Secret Scanning 활성

14.2 위탁 계약 요건 (개보법 §26)¶

다음 항목을 모든 위탁 계약서·DPA에 명시:

위탁업무 수행목적 외 개인정보 처리 금지
기술적·관리적 보호조치 의무
재위탁 제한 및 회사 동의 절차
수탁자 관리·감독·점검 권한
위탁사 임직원에 대한 비밀유지 의무
위탁 종료 시 개인정보 반환·파기 절차
손해배상 책임

14.3 해외이전 (개보법 §28의8)¶

해외 위탁사 이용 시 정보주체 동의 또는 처리방침 고지 등 적법 근거 확보
환자 식별정보·민감정보의 해외이전 원칙 금지 (예외 시 별도 동의)

14.4 점검¶

연 1회 수탁자 안전성 점검 (점검 항목: 위탁 조항 이행, 인증 유지, 사고 이력 등)
신규 위탁 도입 시 사전 평가 + 등록부 갱신
위탁사 보안 사고 발견 시 즉시 보고 및 재계약·해지 검토

15. 내부 관리계획의 수립·변경·승인 (고시 §4 ① 15호 + §4 ③·④)¶

15.1 수립·승인¶

작성·개정: CPO
검토: 정보보호위원회
승인: 대표이사
시행: 승인일 즉시. compliance repo + 사내 위키에 공개

15.2 변경 (고시 §4 ③ 의무)¶

트리거	대응
법령·고시 개정	즉시 반영 후 정기 회의에서 사후 승인
조직 변경 (CPO 교체, 부서 신설 등)	24시간 내 수정 → 다음 정기 회의 승인
신규 위탁사 도입·종료	§14 갱신 + 처리방침 동기화
신규 서비스 출시·종료	§0.2 범위 갱신
처리 항목·보유기간 변경	§5~8 영향 검토
대형 사고 발생	사후 분석 후 §12 갱신

→ 모든 변경 이력은 본 문서 상단 개정 이력 표에 기록.

15.3 이행 실태 점검 (고시 §4 ④ 의무)¶

연 1회 이상 본 계획 이행 실태 점검 → 정보보호위원회·대표이사 보고
점검 항목:
접근권한 적정성
접속기록 보관·점검 이행
암호화 적용 현황
임직원 교육 이수율
위탁사 점검 이행
사고 대응 모의훈련 결과
미준수 항목 개선 진행률

16. 그 밖에 개인정보 보호를 위하여 필요한 사항 (고시 §4 ① 16호)¶

16.1 14세 미만 아동 처리 정책¶

회사는 14세 미만 아동의 개인정보를 처리하지 않는다
양 제품 처리방침(코그테라, 이지브리드) §2에 명시

16.2 가명·익명 처리¶

통계·연구·서비스 품질 개선 등 부수적 목적 활용 시 가명처리 적용
AI 학습 데이터는 식별정보 제거 후 가명처리 (코그테라 음성 데이터 등)
가명정보 처리 시 「가명정보 처리 가이드라인」(개인정보위) 준수

16.3 (의료기기 SW 해당 시) MFDS 사이버보안¶

의료기기 SW 허가 진행·유지 시 식약처 「의료기기 사이버보안 허가·심사 가이드라인」 동시 적용
QMS(ISO 13485) 위험관리 절차와 통합 운영
SBOM 관리, 보안 패치 정책, 시판 후 모니터링(PMS) 포함

16.4 외부 SSoT 연결¶

본 계획서는 사내 컴플라이언스 SSoT인 emocog/compliance repo에서 관리한다. 본 계획서와 연결되는 주요 문서:

주제	위치
게재 중 처리방침 (코그테라/이지브리드)	`docs/policies/privacy-policies/`
위탁사 등록부	`registry/processor-register.yaml`
정보자산·위험 등록부	`registry/` (Phase 1)
사고대응 런북	`docs/runbooks/breach-response-72h.md` (Phase 1)
역할 지정 현황	`docs/governance/role-assignments.md`
법령·고시 인덱스	`docs/reference/legal-links.md`
컴플라이언스 로드맵	`docs/overview/00-roadmap.md`

부칙¶

이 계획서는 대표이사 승인일부터 시행한다.