← 자료실
MINARC · Resources

스타트업 정보보호 체계
구축 가이드

창업 단계별 필수 보안 조치와 법규 준수사항을 정리했습니다. 설치·회원가입 없이 무료로 이용하며, 체크리스트 진행 상황은 브라우저에 저장됩니다.

29
체크리스트 항목
3
핵심 법률
6
주요 침해사고 유형
5
무료 지원 기관
체크리스트 진행 0%

현재 어느 단계에 계신가요?

단계별 보안 체크리스트

항목을 클릭하면 완료 표시가 되고 브라우저에 자동 저장됩니다.

창업 예비단계 · 아이디어/기획

사업 핵심요소를 결정하는 단계. 지식재산권 보호와 기본 보안 계획을 수립합니다.

0 / 4 완료
  • 특허·상표·저작권 등 지식재산권 보호 계획 수립 핵심 기술·브랜드 아이디어는 창업 초기에 출원 절차 검토. 특허청 IP나래 프로그램 활용 가능. 부정경쟁방지법 §2
  • 핵심 정보자산 목록 초안 작성 사업계획서, 기술 자료, 예상 고객 DB 등 보호 대상을 미리 식별하고 비밀 등급 분류 계획.
  • 업종별 정보보호 의무 사항 확인 의료, 금융, 교육 등 규제 업종은 별도 법령상 의무 존재. 사업 등록 전 관계 법령 확인 필수. 개인정보보호법 §2 / 정보통신망법
  • 정보보호 정책 수립 계획 포함 (사업계획서) 보안 규정, 임직원 보안 교육, 외주 인력 NDA 등 기본 계획을 사업계획서에 포함.

회사설립·신고단계 · 사업자 등록~규정 제정

사업자를 등록하고 사업장 입지를 결정하는 단계. 내부 규정과 물리 보안 기반을 마련합니다.

0 / 5 완료
  • 사업자 등록 및 업종별 정보보호 의무 확인 정보통신서비스 사업자 해당 여부 확인. 해당 시 방통위·KISA 신고 의무 별도 검토. 정보통신망법 §2①4호
  • 내부 정보보호 규정 제정 비밀 분류·관리, 접근통제, 매체 반출입, 개인정보 처리, 사고 대응 절차 포함. 임직원 배포. 개인정보보호법 §29
  • 임직원·외주 인력 보안서약서(NDA) 양식 마련 비밀유지 의무, PC·서버·저장매체 사용 제한, 위반 시 책임 명시. 계약직·단기 인력 포함. 부정경쟁방지법 §2①2호
  • 사업장 물리적 보안 요소 점검 출입통제 장치, CCTV, 서버·장비실 접근 제한, 방문자 기록 절차 확인.
  • 개인정보 처리방침 초안 작성 서비스 오픈 전 완성 및 공개 필요. 처리 목적·항목·보유기간·파기 방법 등 12개 필수 기재 사항 확인. 개인정보보호법 §30

개업 준비단계 · 홈페이지·앱·시스템 구축

실질적인 서비스를 개발하고 구축하는 단계. 보안 요건을 설계에 반영하는 것이 핵심입니다.

0 / 11 완료
  • 홈페이지 개발 시 KISA 웹보안 가이드 적용 행안부·KISA 발행 「홈페이지 SW 개발보안 가이드」 참조. 웹 개발보안 방안, 취약점 진단 방법 포함.
  • HTTPS(SSL/TLS) 전송구간 암호화 적용 모든 개인정보 전송 구간에 필수. 무료 인증서: Let's Encrypt / Cloudflare 활용 가능. 개인정보 안전성 확보조치 기준 §8
  • 개인정보 저장 시 암호화 방식 결정 및 적용 고유식별정보·금융정보·바이오정보 → AES-256. 비밀번호 → SHA-256/384/512 일방향. 전 항목 DB 저장 전 적용. 개인정보보호법 §29 / 안전성 확보조치 §7
  • 비밀번호 정책 수립 및 시스템 적용 최소 10자리(2종 조합) 이상. 연속 번호·사전 단어·전화번호 포함 금지. 유효기간 3개월.
  • 모바일 앱 접근권한 최소화 서비스에 필요한 접근권한(필수/선택) 분류 후 동의 취득. 불필요 접근권한 거부를 이유로 서비스 제공 거부 금지. 정보통신망법 §22의2
  • 개인정보 처리방침 완성 및 홈페이지 공개 첫 화면 또는 연결 화면에서 쉽게 확인 가능하도록 표시. 글자 크기·색상으로 다른 내용과 구분. 개인정보보호법 §30 / 정보통신망법 §27의2
  • 외부 수탁업체 개인정보 처리위탁 계약 체결 CRM, 배송, 결제대행, 마케팅 등 외부 위탁 시 위탁 범위·목적·안전조치 의무·재위탁 제한 등 계약서 필수. 개인정보보호법 §26
  • 주민등록번호 대체 수단 도입 법령상 근거 없으면 주민번호 수집 금지. 대체 수단: 아이핀(I-PIN), 휴대폰 인증, 공인인증서 등 활용. 개인정보보호법 §24의2
  • 파일 업로드 기능 보안 검토 허용 확장자 화이트리스트 방식 제한(예: jpg, png, pdf). 업로드 경로를 웹 루트 외부로 설정. 실행 권한 제거.
  • 클라우드 인프라 기본 보안 설정 (AWS·GCP·Azure) 루트 계정 MFA 필수, IAM 최소권한, S3·Storage 버킷 공개 차단, 보안 그룹·방화벽 인바운드 최소화. 침해의 상당수가 서버 취약점이 아닌 클라우드 설정 오류(Misconfiguration)에서 발생합니다. CSPM 도구 또는 AWS Config·Security Hub 활용 권장.
  • 코드 보안 자동화 (SCA · Secret 탐지) 오픈소스 라이브러리 취약점 점검(SCA: Snyk, Dependabot, OWASP Dependency-Check) 및 소스코드 내 하드코딩된 비밀번호·API 키 탐지(GitGuardian, TruffleHog, GitHub Secret Scanning) 자동화. 개발 단계부터 CI/CD 파이프라인에 통합.

사업 운영단계 · 서비스 운영 및 지속 관리

서비스 운영 중 지속적으로 관리해야 할 보안 활동입니다. 정기 점검 주기를 달력에 등록해 두세요.

0 / 9 완료
  • 개인정보 유효기간 관리 체계 수립 수집 목적 달성 또는 이용기간 종료 시 지체 없이 파기. 법령상 보존이 필요한 경우 별도 DB 분리 저장. 개인정보보호법 §21
  • 광고성 정보 전송 시 수신동의 확인 및 법정 표기 이메일·문자·팩스 등 광고 전송 시 제목 시작 부분에 '[광고]' 표기 필수. 수신거부 방법 본문 안내. 정보통신망법 §50
  • 웹 취약점 진단 실시 (연 1회 이상) 「개인정보의 안전성 확보조치 기준」 고시 기준. KISA 원격 웹 취약점 점검 서비스(중소기업 무료) 활용 가능. 안전성 확보조치 기준 §6
  • 접속기록 정기 검토 및 보관 (반기 1회, 6개월) 개인정보처리시스템 접속 일시·IP·처리내역 기록 필수. 반기 1회 이상 검토. 정보통신서비스 사업자는 월 1회. 안전성 확보조치 기준 §9
  • 개인정보 유출 사고 대응 절차 수립 유출 인지 후 정보주체 통지(72시간 이내) 및 관계 기관 신고 절차 사전 문서화. 담당자 지정 필수. 개인정보보호법 §34 / 정보통신망법 §27의3
  • 임직원 정보보호 교육 실시 (연 1회 이상) 보안 정책, 개인정보보호 법규, 피싱·랜섬웨어 예방 등 포함. KISA 온라인 교육 무료 활용 가능.
  • 백신·보안 소프트웨어 최신 버전 유지 모든 PC·서버에 백신 설치 및 자동 업데이트 설정. OS·소프트웨어 보안 패치 정기 적용. 안전성 확보조치 기준 §5
  • 중요 데이터 정기 백업 및 복구 테스트 백업 대상, 주기, 보관 위치(오프사이트 포함), 복구 테스트 일정 수립. 랜섬웨어 대비 오프라인 백업 권장.
  • 공급망 보안 관리 (외주 개발사·외부 모듈) 외주 개발사 보안 요구사항을 계약서에 명시(접근권한·반환·로그). 외부 모듈·플러그인은 출처 검증, 무결성 확인, 정기 업데이트. 사용 중인 SaaS·서드파티 인벤토리 유지. 공급망을 경유한 침투가 점차 늘고 있습니다.

정기 점검 주기 한눈에 보기

매월
접속기록 점검
정보통신서비스 사업자 대상
반기 1회
접속기록 검토 (일반)
최소 6개월 보관
연 1회
웹 취약점 진단
KISA 무료 점검 활용 가능
연 1회
임직원 정보보호 교육
피싱·딥페이크 사례 포함
분기 1회
백업 복구 테스트
오프라인 백업 권장
상시
패치·SCA·Secret 스캔
CI/CD 자동화 권장

캘린더 앱에 반복 일정으로 등록해 두면 누락 방지에 효과적입니다.

주요 법규 & 의무사항

적용 대상 법률을 파악하고, 위반 시 제재 수준을 사전에 인지해 두세요.

PI
개인정보보호법
개인정보를 처리하는 모든 기업
  • 수집 시 목적·항목·기간 고지 및 동의 취득
  • 처리방침 공개 (홈페이지 첫 화면 또는 연결 화면)
  • 안전성 확보조치 의무 6가지 이행
  • 목적 달성 후 지체 없이 파기
  • 제3자 제공 시 별도 동의 필수
위반 시 과태료 최대 3천만 원 / 형사처벌 가능
망법
정보통신망법
인터넷·앱으로 개인정보 수집하는 기업
  • 기술적·관리적 보호조치 의무 (개보법 추가 적용)
  • 개인정보 유출 인지 후 24시간 내 신고
  • 광고성 정보 전송 수신동의 및 '[광고]' 표기
  • 앱 접근권한 필수/선택 분리 안내·동의
  • 접속기록 월 1회 이상 점검 (정보통신서비스 사업자)
위반 시 과태료 최대 3천만 원 / 과징금 가능
영비
부정경쟁방지법 · 중소기업기술보호법
기술·영업비밀을 보유한 모든 기업
  • 영업비밀 요건: 비공지성 + 경제적 가치 + 비밀 관리
  • 임직원 보안서약서 + 비밀 분류·목록 관리 필수
  • 기술자료 임치제도 활용 (기술보호 울타리)
  • 퇴직자 영업비밀 유지 의무 계약서 명시
영업비밀 침해 시 5년 이하 징역 또는 5천만 원 이하 벌금
법률 적용 우선순위: 정보통신망법·신용정보법이 적용되는 기업은 해당 법에 없는 조항에 한해 개인정보보호법이 보충 적용됩니다. 금융·의료·교육 등 특수 업종은 업종별 법령을 추가로 확인하세요.
최신 규제 트렌드: 개인정보 전송요구권(마이데이터)이 단계적 확대되고 있으며, AI 기반 자동화 결정에 대한 정보주체의 권리(개보법 §37의2)가 신설되어 AI 서비스 운영 시 설명·이의 제기 절차를 갖춰야 합니다. AI를 활용한 채용·심사·추천 서비스를 운영한다면 사전 점검이 필요합니다.
해외 진출 시 글로벌 프라이버시 규제: 초기부터 글로벌 서비스를 지향한다면 국내법 외에 GDPR(EU·EEA, 위반 시 전 세계 매출의 4% 또는 2천만 유로 중 큰 금액), CCPA/CPRA(캘리포니아), PIPL(중국), PDPA(싱가포르·태국) 등의 적용 여부를 사전에 검토해야 합니다. 자료실의 10개국 개인정보·사이버보안법 비교를 참고하세요.

개인정보 안전조치 의무 6가지 (개인정보보호법 §29 / 안전성 확보조치 기준)

01
내부관리계획 수립·시행10만 명 미만·소상공인은 작성 의무 없음 (소규모 예외)
02
접근통제장치 설치·운영침입차단시스템, 외부망 차단, 불법 접근 탐지
03
접속기록 위·변조 방지접속 일시·IP·처리내역 6개월 이상 보관
04
암호화 기술 이용 보호조치저장·전송 시 암호화 (아래 기준 표 참조)
05
백신 소프트웨어 설치·운영최신 버전 유지 및 자동 업데이트 설정
06
그 밖의 필요한 보호조치물리적 보안, 직무 분리, 보안 교육 등

보안 인력·조직, 언제 갖춰야 하나

정해진 정답은 없지만, 성장 단계와 법적 의무선을 기준으로 잡으면 시기를 놓치지 않습니다. 아래는 일반적인 권고 흐름입니다.

창업 ~ 시드

겸임 체제 — 대표 또는 핵심 개발자가 보안 책임 겸직

전담자 불필요. 인력을 따로 두기보다, 대표 또는 CTO/리드 개발자가 보안 책임을 명시적으로 겸하고 이 가이드의 체크리스트를 직접 챙기는 단계입니다.

개인정보를 단 한 건이라도 처리한다면 CPO(개인정보 보호책임자) 지정은 규모와 무관하게 의무입니다. 이 단계에서는 대표 또는 임원이 CPO를 맡고, 소상공인은 사업주·대표자가 CPO로 지정된 것으로 봅니다. 개인정보보호법 §31

서비스 출시 후

보안 담당자 지정 — 운영 책임을 한 사람에게 명확히

실제 사용자 데이터가 쌓이고 외부에 서비스가 노출되면, 보안 운영을 책임지는 담당자(겸직 가능)를 1명 명확히 지정하는 것이 좋습니다. 접근권한 관리, 접속기록 점검, 패치·백업 확인 등 반복 업무의 책임 소재를 정하는 단계입니다.

정보통신서비스를 제공하는 기업이 '중기업' 이상 규모가 되면 CISO(정보보호 최고책임자) 지정·신고가 의무가 됩니다. 소기업·단순 홍보용 홈페이지만 운영하는 경우 등은 신고 의무에서 제외될 수 있으니, 자사 해당 여부를 확인하세요. 정보통신망법 §45조의3

성장기 (시리즈 A~)

독립 CISO·보안팀 — 책임자와 실무를 분리

조직이 커지고 처리하는 개인정보·자산 규모가 커지면, 보안 책임자(CISO)를 개발·운영과 독립된 위치에 두고 전담 인력을 배치합니다. ISMS 인증 준비, 정기 점검, 사고 대응 체계를 갖추는 단계입니다.

일정 규모(연 매출 1,500억원 이상, 정보주체 100만 명 이상, 민감정보·고유식별정보 5만 명 이상 보유 등)에 이르면 전문 자격을 갖춘 CPO 지정이 의무가 됩니다. CISO는 자산총액 5조원 이상 또는 ISMS 인증 의무대상 중 자산총액 5,000억원 이상이면 다른 직무와 겸직이 제한됩니다. 전문 CPO 요건 · CISO 겸직제한

핵심 원칙 — 인력은 "사람 수"가 아니라 "책임 소재"부터 정합니다. 전담자를 둘 여력이 없어도 누가 보안을 책임지는지는 창업 첫날부터 명확해야 합니다. CPO는 규모와 무관하게 의무이고, CISO는 규모가 커질수록 의무·겸직제한이 강화됩니다. 자사가 어느 의무선에 해당하는지는 매출·정보주체 수·자산총액이 바뀔 때마다 다시 확인하세요. (구체적 해당 여부는 KISA·개인정보위 안내서 또는 전문가 검토 권장)

기술적 보호조치 기준

개발 단계에서 반드시 반영해야 할 암호화·비밀번호·접속기록 기준입니다.

암호화 적용 기준

구분해당 정보적용 방식권장 알고리즘
고유식별정보주민등록번호, 여권번호, 외국인등록번호, 운전면허번호필수 암호화AES-256
금융·신용 정보계좌번호, 카드번호, 신용등급필수 암호화AES-256
바이오 정보지문, 얼굴, 홍채, 음성필수 암호화AES-256
비밀번호모든 이용자·관리자 비밀번호일방향 암호화SHA-256 / 384 / 512
전송구간개인정보가 포함된 모든 통신필수 암호화TLS 1.2 이상

비밀번호 정책 기준

  • 영문(대/소)+숫자+특수문자 2종 조합 → 최소 10자리
  • 영문(대/소)+숫자+특수문자 3종 조합 → 최소 8자리
  • 유효기간 3개월 설정, 만료 시 변경 유도
  • 연속 번호(12345), 전화번호, 사전 단어 금지
  • 키보드 나란히 배열된 문자열 금지 (qwerty 등)
  • 이전 비밀번호 재사용 방지

접속기록 관리 기준

  • 일반 사업자: 반기 1회 이상 검토, 최소 6개월 보관
  • 정보통신서비스 사업자: 월 1회 이상 검토
  • 기간통신사업자: 최소 2년 보관
  • 기록 항목: 접속 일시, IP 주소, 처리 내역
  • 위·변조 방지 조치 필수 (별도 서버·WORM 등)

사무실·PC 보안 행동 수칙

  • 퇴근·자리 이석 시 PC 잠금 (화면보호기 5분)
  • USB·외장 HDD·CD 무단 반출입 금지
  • 비밀 문서 반드시 파쇄, 이면지 사용 금지
  • 공유 폴더에 암호 설정, 최소 인원 접근
  • 모르는 사람이 보낸 이메일 첨부파일 열지 않기
  • 퇴사·이동 시 SaaS 계정(Slack·Notion·Jira·GitHub·Drive 등) 즉시 회수, SSO 연동 시 일괄 해제
  • SaaS 외부 공유 링크 정기 점검 — "링크 있는 누구나" 권한 제한, 만료일·접근 제한 설정

침해사고 유형 & 예방

2017년 정보보호 실태조사 기준 사업자 침해사고 경험 유형 (KISA). 비율은 복수 응답 기준입니다.

악성코드 감염75.5%

이메일 첨부파일 또는 악성 링크를 통해 감염. 내부 전산망으로 확산되어 DB 접근 및 고객정보 유출로 이어집니다.

예방: 의심 이메일 첨부파일 실행 금지 · 백신 자동 업데이트 · 정품 소프트웨어 사용
랜섬웨어25.5%

중요 파일을 암호화하여 복구 대가를 요구. 스타트업은 복구 기반이 없어 사업 중단으로 직결될 수 있습니다.

예방: 중요 데이터 정기 백업(오프라인 포함) · 최신 보안 패치 적용 · 원격데스크톱 보안 강화
웹셸(Webshell)서버 장악

게시판·자료실 파일 업로드 기능을 통해 웹 스크립트를 서버에 심어 원격 관리자 권한을 획득하는 공격입니다.

예방: 파일 확장자 화이트리스트 제한 · 업로드 경로 실행 권한 제거 · KISA 웹 취약점 진단 활용
이메일 무역사기BEC 사기

해커가 거래처 이메일을 해킹하여 결제 계좌번호 변경 메일을 발송. 금전적 피해가 즉각적이고 회수가 어렵습니다.

예방: 계좌번호 변경 요청 시 반드시 전화 확인 · 이메일 이중인증 설정 · 유사 도메인 주의
메신저·딥페이크 사칭AI 기반

임원·동료의 카카오톡·Slack 계정을 사칭하거나, AI로 합성한 음성·영상(딥페이크)으로 급전 송금·자료 요청을 유도합니다. 스타트업이 주요 타깃이 되고 있습니다.

예방: 송금·민감 요청은 별도 채널 재확인(전화·대면) · 메신저 2단계 인증 의무화 · 임직원 대상 딥페이크 사례 교육
DDoS 공격8.5%

좀비 PC를 이용해 서버에 과도한 트래픽을 발생시켜 서비스를 마비시킵니다. 중소기업은 대부분 방어 준비가 없습니다.

예방: KISA DDoS 대피소 서비스 신청(boho.or.kr) · 클라우드 CDN 활용 · 트래픽 모니터링

지원 기관 & 무료 서비스

정부·공공기관이 중소기업·스타트업에 제공하는 정보보호 지원 서비스입니다.

KISA
인터넷 보호나라
해킹·바이러스 신고, 개인정보 침해 신고, 불법스팸 신고 접수. 중소기업 대상 원격 웹 취약점 점검 서비스(무료) 운영.
무료 취약점 진단
www.boho.or.kr →
KISA / 방통위
온라인 개인정보보호 포털
정보통신망법 개인정보보호 설명·교육·가이드. 사업자 온라인 교육 무료 제공. 개인정보 사고 발생 시 신고 창구.
무료 교육
www.i-privacy.kr →
KISA / 행정안전부
개인정보보호 종합지원 포털
개인정보보호법 관련 법령·제도·교육정보. 사업자 온라인 교육, 표준 처리방침 양식, 전문가 상담(02-2100-4047) 제공.
www.privacy.go.kr →
대·중소기업·농어업협력재단
기술보호 울타리
기술탈취 사전예방 자문, 기술자료 임치, 24시간 기술유출 관제 서비스. 법무지원단 법률자문(500만원 한도).
기술유출 관제
www.ultari.go.kr →
특허청 / 지식재산보호원
영업비밀보호센터
영업비밀 침해 신고 접수 및 상담, 증거자료 확보 지원, 영업비밀 원본증명 서비스(임치) 운영.
www.tradesecret.or.kr →
표준 서식·양식이 필요할 때: 보안서약서(NDA), 위탁계약서, 처리방침 등 표준 양식은 위 KISA·개인정보보호 종합지원 포털(privacy.go.kr)의 자료실에서 검색해 받을 수 있습니다. 정부 표준 양식은 개정 시 URL이 바뀌는 경우가 있어, 직접 검색으로 최신본을 확인하시기 바랍니다.