개인정보 유출 대응 런북 (72-Hour Breach Response)¶

항목	내용
문서번호	TBD (RA 협의 후 확정)
버전	v2.0 (Draft)
작성일	2026-05-29
시행일	YYYY-MM-DD (대표이사 결재 후 기입)
작성	조준상 (CPO, CTO)
검토	정보보호위원회
승인	대표이사
분류	사내공개 (단, 부속서 A 비상연락망은 임직원 한정)
검토 주기	연 1회 + 법령 개정/조직 변경/대형 사고 발생 시 즉시
모의훈련 주기	연 1회 이상

개정 이력¶

버전	일자	작성	주요 변경
v1.0	(이전)	—	초기 매뉴얼
v1.1	2026-01-02	CTO	72시간 신고·5단계 절차 반영
v2.0 (Draft)	2026-05-29	조준상 (CPO)	「개인정보 보호법」 §34 + 시행령 §40 (시행 2025-10-02 개정본) 정합화. 신고기준 3가지 전부(민감정보·외부불법접근 포함) 반영. 우선신고·면제·천재지변 예외, 정보주체 통지 5개 항목, 위탁사발 사고 처리, 의료기기 SW(MFDS) 사이버보안, 증거보존·과태료, 분단위 타임라인 도입. CPO/CISO 지정 정합(조준상 CTO=CPO, 대표자=CISO 자동). 비상연락 부속서 분리. compliance repo SSoT 연결.

0. 이 문서의 사용법¶

사고가 났다고 의심되는 순간 §4 "5분 안에 해야 할 일" 카드 먼저 보세요. 그 다음 §5 타임라인을 따라가면 됩니다.

상황	바로 가야 할 섹션
사고 발생 의심·인지	§4 — 5분 카드
우리 신고 의무 있는가?	§6 — 결정 트리
신고서 작성	§7 — 신고 상세
정보주체 통지문 작성	§8 — 통지 상세
위탁사가 알려왔을 때	§9 — 위탁사발 사고
모의훈련 준비	§12 — 모의훈련
누구한테 연락?	부속서 A — 비상연락망

1. 적용 범위¶

인적 범위: (주)이모코그의 모든 임직원 및 위탁사·수탁자
시스템 범위: 이모코그가 운영하는 모든 정보 서비스 및 인프라
제품: 코그테라, 이지브리드
사내 시스템 (인사·회계·협업 도구 등)
데이터 범위: 회사가 처리하는 모든 개인정보 — 민감정보(건강정보) 및 고유식별정보 포함

자회사 적용 여부(예: 해피마인드, 이모코그디헬스 등)는 별도 결재로 확정. 본 문서 v2.0은 (주)이모코그 단독 적용을 기본 가정.

2. 법적 근거 (요약)¶

구분	조문	핵심
법률	개인정보 보호법 §34 (시행 2025-10-02, 법률 제20897호)	유출 통지·신고 의무
시행령	§39 (정보주체 통지)	72시간 이내, 연락처 미상 시 홈페이지 30일 게시
시행령	§40 (개인정보위·KISA 신고, 시행 2025-10-02)	72시간 이내, 신고 3대 기준, 우선신고, 면제 단서
법률	개인정보 보호법 §73 ①	사고 관련 자료 은닉·폐기 → 2년 이하 징역 또는 2천만원 이하 벌금
법률	개인정보 보호법 §75 ② 18호	미신고 → 3천만원 이하 과태료
법률	정보통신망법 §48의3	외부 침해(해킹) 시 과기정통부·KISA에 추가 침해사고 신고
고시	개인정보의 안전성 확보조치 기준 §4 ① 12호	본 런북 수립·시행 의무 (내부관리계획에 포함)
(해당 시)	식약처 「의료기기 사이버보안 허가·심사 가이드라인」	의료기기 SW 사고 시 추가 절차

상세 원문 링크는 docs/reference/legal-links.md 참조.

3. SIRT (침해사고대응팀) 조직·역할¶

구분	담당	주요 역할
총괄 책임 (Incident Commander)	CPO (조준상, CTO)	사고 대응 최종 의사결정, 대외 소통 총괄, 신고·통지 책임, 정보보호위원회·대표이사 보고
대표 보고 라인	대표이사 (CISO 자동 지정자)	최종 보고, 외부 발표 승인
기술 대응	S/W개발팀 + 인프라/DevOps	탐지·원인 분석, 시스템 격리·차단, 로그/포렌식 보존, 패치·복구, 재발 방지 기술 조치
법무·행정	경영지원 (법무 협조)	신고서·통지문 검토, 규제기관 수검
대고객 대응	고객지원팀	정보주체 통지 발송, 민원 접수, 홈페이지 공지문 게시
기록·연락	CPO 지정자 (1명)	모든 의사결정·연락 시각 기록, 부속서 A 연락처 호출

3.1 호출 트리거 — 누구든 사고 인지자가 다음을 즉시 호출¶

CPO (조준상)  →  대표이사  →  필요 시 외부 (KISA 118, 법무법인)

4. 5분 안에 해야 할 일 (긴급 액션 카드)¶

이 5단계는 누가 봐도 똑같이 실행할 수 있도록 작성. 사고 인지자가 CPO가 아니더라도 직접 시작.

☐ 1. CPO에 즉시 보고 (전화/메시지 동시) — 부속서 A
☐ 2. 영향 의심 시스템 네트워크 격리 (콘솔에서 보안그룹/방화벽 차단)
☐ 3. 시스템·세션·로그 종료 금지. 화면 그대로 두고 사진/스크린샷
     (개보법 §73 — 자료 은닉·폐기 시 형사처벌)
☐ 4. 사고 인지 시각 기록 (UTC+9, 초 단위)  → 72시간 기산 시점
☐ 5. CPO 지시 전까지 외부(고객·SNS·언론) 발언 금지

인지 시각이 72시간 기산점입니다. "확신할 때"가 아니라 "알게 된 때" 기준.

5. 타임라인 (T = 사고 인지 시각)¶

시점	액션	책임
T + 5분	위 §4 긴급 카드 5단계 완료. CPO에 1차 구두 보고.	인지자 → CPO
T + 30분	SIRT 소집 (Slack 전용 채널 `#incident-XXXX` 개설 + 회의 시작). 기록자 지정.	CPO
T + 1시간	영향 범위 1차 추정 — 데이터 유형/규모/시점/경로. 신고 의무 여부 1차 판단 (§6 결정 트리).	SIRT
T + 4시간	봉쇄(Containment) 완료. 정보주체 통지 초안 작성 시작.	기술팀, 고객지원팀
T + 24시간	영향 범위 확정. 신고 의무 확정. 신고서·통지문 초안 완료. 대표이사 1차 보고.	CPO
T + 48시간	신고서 최종 검토(법무 협조). 신고 시뮬레이션. 통지 채널 확정.	CPO + 법무
T + 72시간	개인정보위·KISA 신고 완료 (필요 시 시행령 §40 ② 우선신고). 정보주체 통지 완료 (또는 시작).	CPO
T + 5일	정보주체 통지 완료 (1천명↑이면 홈페이지 30일 게시 시작).	고객지원팀
T + 14일	외부 침해(§48의3) 해당 시 정통망법 추가 신고 완료.	CPO
T + 30일	사후 분석 보고서 작성·정보보호위원회 보고. 재발방지 대책 시행.	CPO
분기	정보보호위원회 정기 회의에서 후속 모니터링.	위원회

6. 신고 의무 결정 트리¶

「개인정보 보호법」 §34 ③ + 시행령 §40 ① 1~3호. 셋 중 하나라도 해당하면 72시간 내 신고 의무.

Q1. 1천명 이상의 정보주체 개인정보가 유출되었나?
       │ YES → 신고 의무 ✓
       │ NO  → Q2
       └──────────────
Q2. 민감정보(건강정보 등) 또는 고유식별정보(주민·여권·운전면허·외국인등록번호)가 유출되었나?
       │ YES → 신고 의무 ✓ (★ 1건이라도. 코그테라·이지브리드는 거의 항상 발동)
       │ NO  → Q3
       └──────────────
Q3. 외부의 불법적인 접근(해킹·악성코드 등)으로 인한 유출인가?
       │ YES → 신고 의무 ✓ (1천명 미만이어도)
       │ NO  → 정보주체 통지만 (지체 없이/72시간)
       └──────────────

6.1 면제·예외 (시행령 §40 ① 단서)¶

신고 의무 발생 후라도 다음 둘 중 하나에 해당하면 신고 면제 또는 지연 가능:

사유	처리
유출 경로가 확인되어 회수·삭제 등 조치를 통해 정보주체 권익 침해 가능성이 현저히 낮아진 경우	신고 면제 가능 — CPO가 면제 사유와 조치 내역을 문서로 보존
천재지변·부득이한 사유로 72시간 내 신고가 곤란한 경우	해당 사유 해소 후 지체 없이 신고

6.2 우선 신고 (시행령 §40 ②)¶

72시간 내에 모든 사항을 확인하지 못한 경우 — 우선 신고 가능:

유출 사실 + 그때까지 확인된 내용을 먼저 신고
추가 확인되는 내용은 확인 즉시 추가 신고

→ "확신이 없어 미신고"는 가장 큰 리스크. 의심되면 우선 신고가 정답.

7. 신고 (개인정보위·KISA) 상세¶

7.1 신고 채널¶

채널	URL / 연락처	용도
개인정보 포털 (1차 채널)	https://www.privacy.go.kr → 유출신고	표준 신고 시스템 (필수)
KISA 118	국번 없이 118	24시간 상담·지원
KISA 침해사고 신고	https://boho.or.kr	외부 해킹 시 정통망법 §48의3 추가 신고
개인정보위 조사총괄과	02-2100-3025	유권 해석 등

시스템 신고 원칙. 해외사업자 등 예외만 이메일 신고.

7.2 신고 사항 (§34 ① 1~5호 + 시행령 §40 ①)¶

#	항목	작성 가이드
1	유출등이 된 개인정보의 항목	데이터 카테고리·항목명·민감/고유식별 여부
2	유출등이 된 시점과 그 경위	시점(인지 ↔ 발생 분리 기재), 경로(공격/내부/위탁사 등)
3	피해 최소화를 위해 정보주체가 할 수 있는 방법	비밀번호 변경, 추가 이상 모니터링 등
4	회사의 대응 조치 및 피해 구제 절차	봉쇄·복구·재발방지·구제 계획
5	정보주체 신고·상담 담당부서 및 연락처	부속서 A 기반 (사내 공개 형태로 가공)

7.3 미신고 시 제재 (§75 ② 18호)¶

3천만원 이하 과태료.

8. 정보주체 통지 상세¶

8.1 통지 기한¶

「지체 없이」 = 시행령 §39 ① 본문에 의해 72시간 이내 명문화.
단, 정보주체 연락처를 알 수 없는 등 정당한 사유가 있는 경우 → 인터넷 홈페이지에 30일 이상 게시로 갈음 (홈페이지 미운영 시 사업장 게시).

8.2 통지 방법¶

서면, 이메일, 팩스, 전화, 문자 중 효과적인 방법 선택.
1천명 이상 유출 시 — 홈페이지 공지문 동시 게시 (시행령 §34 / §39 병합 운영).

8.3 통지문 필수 포함 사항 (§34 ① 1~5호 — 신고 사항과 동일)¶

유출된 개인정보의 항목
유출 시점과 경위
정보주체가 취할 수 있는 피해 최소화 조치
회사 대응 조치 및 피해 구제 절차
신고·상담 담당부서 연락처

8.4 통지문 톤 가이드¶

사실 위주·짧은 문장.
책임 회피·면책 표현 금지.
정보주체가 즉시 취할 액션을 가장 앞에 배치.
한국어 기본 + 외국인 사용자 비중 있을 경우 영문 동시 게시.

통지문 양식은 templates/breach-notification.md 에 둘 예정 (Phase 1).

9. 위탁사발 사고 처리¶

9.1 발견 경로¶

위탁사 자체 보고
회사가 직접 탐지 (위탁 시스템 모니터링)
외부 제보 (KISA·정보주체)

9.2 처리 원칙¶

위탁사가 사고를 알린 시점 = 회사의 "인지 시점" (72시간 기산 시작) — 위탁사 보고가 늦더라도 회사 의무는 인지 시점부터 발동.
회사는 위탁자(Controller)로서 신고·통지 의무 주체. 위탁사는 협조 의무자.
처리방침에 공개된 위탁사일수록 정보주체 영향이 큼 → 우선순위 ↑.

9.3 체크리스트¶

☐ 위탁사로부터 사고 사실·범위·증거자료 즉시 확보
☐ processor-register에서 해당 위탁사 카드 확인 (DPA, 해외이전 여부, 위탁 데이터 항목)
☐ 회사 측 영향 범위 독립 검증
☐ §6 결정 트리 적용 → 신고 의무 판단
☐ 위탁사와 통지·신고 책임 분담 문서화 (이중 통지 회피)
☐ 사고 후 위탁계약 재검토 (재계약/해지 여부)

위탁사 등록부: registry/processor-register.yaml

10. 추가 신고가 필요한 경우¶

10.1 외부 침해(해킹·랜섬웨어 등) — 정통망법 §48의3¶

개인정보위·KISA 유출신고와 별도로 과기정통부·KISA 침해사고 신고.
채널: https://boho.or.kr / KISA 118

10.2 의료기기 SW 사고 — MFDS 사이버보안 가이드라인 (해당 시)¶

코그테라 등 의료기기 SW 허가 진행/완료 제품에서 사고 발생 시:
식약처 「의료기기 사이버보안 허가·심사 가이드라인」에 따른 보고
시판 후 모니터링(PMS) 절차와 연계
QMS(ISO 13485) 시정조치(CAPA) 절차 동시 가동

10.3 금융 관련 (해당 없음, 참고)¶

신용정보 1만명 이상 누설 시 「신용정보법」 §39의4 신고 (이모코그 미해당).

11. 사후 분석 보고서¶

11.1 작성 기한¶

사고 종료 후 30일 내 보고서 완성 → 정보보호위원회·대표이사 보고.

11.2 보고서 항목¶

1. 사고 개요 (인지·발생·종료 시각, 영향 범위)
2. 타임라인 (T+0 ~ 종료)
3. 근본 원인 분석 (5 Whys 또는 fishbone)
4. 대응 조치 (봉쇄/복구/신고/통지 결과)
5. 비용·법적 영향
6. 잘한 점 / 못한 점 / 운이 작용한 점
7. 재발방지 대책 (단기 / 장기)
8. 본 런북 개정 필요 사항
9. 정책·지침 개정 필요 사항 (내부관리계획 §15.2 트리거)

11.3 보고서 보관¶

사내 보안 문서함 + compliance repo 별도 비공개 폴더(필요 시) — 보존 기간 5년.

12. 모의훈련 (연 1회)¶

「개인정보의 안전성 확보조치 기준」 권고 + 내부관리계획 §12.4 의무.

12.1 시나리오 예시 (회전)¶

#	시나리오	학습 목표
1	직원 계정 탈취 → 환자 DB 조회	접근권한·로그 알람·격리 절차
2	AWS S3 권한 오설정으로 음성파일 외부 노출	클라우드 통제·통지문 작성
3	위탁사(Sentry) 사고 — 스택트레이스에 PII 포함 통보 받음	§9 위탁사발 사고 처리
4	랜섬웨어 — 사내 PC 다수 감염 + 일부 환자 데이터 유출 의심	§10.1 정통망법 §48의3 추가 신고 동시 진행
5	(의료기기 허가 후) 코그테라 인증 우회 발견	§10.2 MFDS 절차 동시 가동

12.2 산출물¶

모의훈련 시나리오, 진행 기록, 평가서, 런북 개정 사항.

13. 증거 보존 및 법적 주의사항¶

#	항목	근거·결과
1	사고 관련 자료(로그·디스크 이미지·이메일 등) 은닉·폐기 금지	개보법 §73 ① — 2년 이하 징역 또는 2천만원 이하 벌금
2	영향 의심 시스템은 격리는 OK / 종료·삭제는 금지	포렌식 가능성 보존. dd 이미지·메모리 덤프·VM 스냅샷 우선
3	악성코드는 격리 보존(암호 압축)	KISA 권고
4	모든 의사결정 기록 (Slack 채널·회의록·결재 트레일)	사후 감사·소송 대비
5	대외 발언은 CPO 사전 승인 후 일관된 메시지로	평판 + 법적 자기진술 일관성

부칙¶

이 런북은 대표이사 승인일로부터 시행한다.

부속서 A — 비상연락망¶

이 사이트에서는 비공개입니다. 비상연락망에는 임직원 개인 연락처가 포함되어 있어, 사내 위키(권한자 한정)에서 별도 관리합니다. 갱신 책임: CPO (인사이동·퇴사 시 24시간 내 갱신). 위치는 CPO에게 문의: privacy@emocog.com

참조 (SSoT 연결)¶

주제	위치
내부관리계획 §12 (본 런북 모법)	`docs/policies/internal-management-plan.md`
위탁사 등록부 (§9 위탁사발 사고 시 조회)	`registry/processor-register.yaml`
역할 지정 현황 (CPO·CISO)	`docs/governance/role-assignments.md`
게재 중 처리방침 (통지 대상 식별)	`docs/policies/privacy-policies/`
법령·고시 원문 링크	`docs/reference/legal-links.md`
로드맵 (모의훈련·갱신 일정)	`docs/overview/00-roadmap.md`
미해결 TODO	`TODO.md`