개인정보 침해사고 대응 계획
시행일: 2026년 3월 13일 | 최종 수정: 2026년 3월 13일
제1조 (목적)
본 계획은 개인정보 침해사고 발생 시 신속하고 체계적인 대응을 통해 정보주체의 피해를 최소화하고, 관련 법령에서 요구하는 통지 및 신고 의무를 이행하기 위한 절차를 규정합니다.
유투디아(이하 "회사")는 개인정보 침해사고의 예방, 탐지, 대응, 복구의 전 과정에서 투명하고 책임 있는 조치를 취하며, 정보주체의 권익 보호를 최우선으로 합니다.
제2조 (법적 근거)
본 침해사고 대응 계획은 다음 법령에 근거하여 수립되었습니다.
| 법령 | 주요 내용 |
|---|---|
| 개인정보보호법 제34조 | 개인정보 유출 통지 의무 |
| 개인정보보호법 제34조의2 | 과징금 부과 기준 (유출 규모별) |
| 정보통신망법 제27조의3 | 개인정보 유출 등의 통지 및 신고 의무 |
| GDPR Art.33 | 감독기관 통지 (인지 후 72시간 이내) |
| GDPR Art.34 | 정보주체(Data Subject) 통지 의무 |
제3조 (대응 절차)
침해사고 발생 시 다음 4단계에 따라 체계적으로 대응합니다.
1탐지 및 초기 대응 (침해 인지 즉시)
- 침해사고 징후 또는 사실을 인지한 직원은 즉시 개인정보보호책임자(CPO)에게 보고
- 침해사고 대응팀(CERT) 소집 및 초동 조치 시작
- 침해 경로 확인 및 추가 피해 방지를 위한 긴급 차단 조치 실시
- 영향받는 시스템의 접근 로그 및 감사 기록 보전
- 사고 일시, 발견 경위, 초기 영향 범위를 기록하여 사고 대장에 등록
2피해 범위 파악 및 차단 (24시간 이내)
- 유출된 개인정보 항목 및 규모 파악 (정보주체 수, 데이터 유형)
- 침해 원인 분석 (외부 공격, 내부 오류, 시스템 취약점 등)
- 추가 유출 방지를 위한 시스템 격리 및 취약점 보완
- 2차 피해 가능성 평가 (금전적 피해, 신원 도용 등)
- 포렌식 증거 보전 및 외부 보안 전문기관 지원 요청 (필요 시)
3통지 및 신고 (72시간 이내)
- 정보주체에게 개별 통지 (이메일, SMS)
- 1,000명 이상 유출 시: 개인정보보호위원회 및 한국인터넷진흥원(KISA) 신고
- EU 거주자 데이터 포함 시: GDPR에 따른 감독기관 통지 (72시간 이내)
- 홈페이지 공지사항 게시 (7일 이상)
- 통지 내용: 유출 항목, 시점, 경위, 피해 최소화 조치, 담당부서 연락처
4사후 조치 및 재발 방지
- 침해사고 원인 분석 보고서 작성
- 보안 취약점 보완 및 시스템 개선
- 개인정보 처리 절차 및 보호 정책 재점검
- 임직원 대상 개인정보 보호 교육 재실시
- 모니터링 체계 강화 및 재발 방지 대책 수립
- 사고 대응 결과를 개인정보보호위원회에 보고 (필요 시)
제4조 (통지 대상 및 기준)
| 유출 규모 | 통지 대상 | 통지 기한 |
|---|---|---|
| 모든 경우 | 정보주체 개별 통지 (이메일, SMS) | 인지 후 72시간 이내 |
| 1,000명 이상 | 개인정보보호위원회 + KISA 신고 의무 | 인지 후 72시간 이내 |
| EU 거주자 포함 | 해당 EU 감독기관 (Supervisory Authority) | 인지 후 72시간 이내 (GDPR Art.33) |
| 고위험 유출 (민감정보, 금융정보 등) | 정보주체 + 감독기관 + 수사기관 | 인지 후 즉시 |
제5조 (통지 항목)
침해사고 발생 시 정보주체 및 관계 기관에 다음 사항을 통지합니다.
- 1유출된 개인정보의 항목 (이름, 이메일, 전화번호 등 구체적 명시)
- 2유출이 발생한 시점 및 경위
- 3정보주체가 피해를 최소화하기 위해 할 수 있는 방법
- 4회사의 대응 조치 및 피해 구제 절차
- 5담당부서 연락처 (전화번호, 이메일)
제6조 (담당 조직)
침해사고 대응을 위해 다음 조직이 역할을 수행합니다.
| 조직 | 역할 |
|---|---|
| 개인정보보호책임자 (CPO) | 사고 대응 총괄, 외부 기관 신고 및 통지 결정, 최종 보고 승인 |
| 침해사고 대응팀 (CERT) | 기술적 원인 분석, 시스템 격리 및 복구, 포렌식 증거 수집, 보안 패치 적용 |
| 법무팀 | 법적 의무 이행 검토, 통지 문구 검수, 규제 기관 대응, 피해 배상 절차 관리 |
제7조 (외부 신고 연락처)
회사 내부 연락처
- 개인정보보호책임자: 유투디아 대표
- 이메일: support@u2dia.com
외부 신고 기관
- KISA 개인정보침해 신고센터
전화: (국번없이) 118 | 웹사이트: privacy.kisa.or.kr
- 개인정보보호위원회
전화: 1833-6972 | 웹사이트: www.pipc.go.kr
- 개인정보 분쟁조정위원회
전화: 1833-6972 | 웹사이트: www.kopico.go.kr
- 대검찰청 사이버수사과
전화: (국번없이) 1301 | 웹사이트: www.spo.go.kr
- 경찰청 사이버수사국
전화: (국번없이) 182 | 웹사이트: ecrm.police.go.kr