1. 블랙박스로 촬영된 영상정보는 촬영일시 등에 따라 체계적으로 배열되어도 개인정보파일에 해당하지 않는다. (x)
=> 체계적으로 정리되어있으면 영상정보도 개인정보파일이다.
2. 알뜰폰 사업자의 경우, 이용자 수 및 매출액 규모에 따라 의무대상자로 분류될 수 있으며 심사 시 일반 인증기준 외에 통신 서비스 특화 세부 점검항목이 추가 적용된다. (ㅇ)
3. 개인정보를 GET 방식으로 전송하는 것은 안전한 보호조치에 해당한다. (x)
=> POST 방식 ㅇ
4. 교사는 학교에 속한 직원이므로 졸업앨범에 교사의 사진을 동의받지 않고 넣어도 된다. (x)
=> '개인정보 수집이용 목적, 항목' 등을 교사에게 알리고 동의받을 필요가 있다.
5. 외주 인력 계정은 계약기간 종료 후 30일 유예를 두고 말소한다. (x)
=> 외주 인력의 계정은 계약 종료 즉시(또는 당일) 말소하거나 중지한다.
6. 위치정보의 접근권한 변경·말소 내역은 최소 3년 이상 보관해야 하며, 위치정보 취급대장은 최소 6개월 이상 보관해야 한다. (x)
=> 접근권한 변경말소내역: 최소 5년이상, 위치정보 취급대장: 최소 6개월 이상 보관
7. 처리된 데이터를 식별할 수 있는 가명정보ID, 일련번호 등이 있다면 ‘처리한 정보주체 정보’ 항목으로 해당 정보를 기록하여야 하며, 가명처리된 데이터를 구별할 수 있는 정보가 없는 경우는 ‘처리한 정보주체 정보’ 항목을 남기지 않을 수 있다. (o)
8. 직접정보통신시설 사업자가 아닌, 이들의 시설을 빌려서 서비스하는 VIDC(재판매사업자)는 정보통신서비스 부문 전년도 매출액이 100억원 이상인 자에 해당하는 경우 ISMS 의무 인증대상이다. (ㅇ)
9. 전산실 및 자료보관실을 별도로 두지 않는 소규모 사업자나 중소기업은 물리적 안전조치 의무가 면제되므로 서류나 보조저장매체에 대한 별도의 보호조치를 하지 않아도 된다. (x)
=> 물리적 안전조치 의무 면제 x, 출입통제 절차 생략 o
10. 별도의 개인정보처리시스템을 운영하지않고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우, 보조저장매체 반출입 통제를 위한 보안대책은 적용하지 않을 수 있다. (ㅇ)
11. IP 주소 등에는 IP 주소, 포트 그 자체뿐만 아니라, 이상행위(과도한 접속성공 및 실패, 부적절한 명령어 등 패킷)도 포함된다. (o)
12. 안전조치의 적용을 위해 상용 시스템을 도입하거나, 공개용 소프트웨어를 사용하거나, 클라우드컴퓨팅서비스 제공자가 제공하는 보안기능 또는 보안서비스를 활용할 수 있다. 어떠한 안전조치를 선택하더라도 침입 차단 기능 혹은 침입 탐지 기능 둘 중 하나만 선택하여 적용하면 된다. (x)
=> 어떠한 안전조치를 선택하더라도 침입 차단 및 탐지 기능이 모두 적용되어야 한다.
13. 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 가상사설망 등 안전한 접속수단을 적용하여야한다. (x)
=> 안전한 인증수단(OTP, 인증서 PKI, 보안토큰) 사용
14. 이용자가 아닌 정보주체의 개인정보를 처리하는 개인정보처리시스템의 경우 가상사설망 등 안전한 접속수단(VPN, 전용선) 또는 안전한 인증수단 중 선택하여 적용할 수 있다. (ㅇ)
15. 전년도 말 3개월 평균 정보통신서비스 이용자 수가 100만명 이상인 자는 ISMS 인증 의무대상자이다. (x)
=> 3개월 x, 전년도 일일평균 정보통신서비스 이용자수가 100만명 이상인 자 ㅇ
16. 국외이전 중지 명령을 받은 처리자는 10일 이내에 보호위원회에 이의를 제기할 수 있다. 보호위원회는 이의 내용에 대한 결과를 30일 이내에 처리자에게 통보해야한다. (x)
=> 국외이전 중지 명령을 받은 처리자는 7일 이내에 보호위원회에 이의를 제기할 수 있다.
17. 영향평가를 하지 않거나 그 결과를 보호위원회에 제출하지 않을 경우 5천만원 이하의 과태료 부과 대상이 된다. (x)
=> 3천만원 이하의 과태료 부과 대상
18. 개인정보의 정정·삭제 요구권은 원칙적으로 개인정보 열람을 전제로 행사된다. (ㅇ)
=> 개인정보 열람한 후 정정, 삭제 요구권
19. ISMS-P 인증 범위는 최초 인증 시에만 정하고, 이후에는 변경할 수 없다. (x)
=> 변경심사를 통해 범위를 조정할 수 있다.
20. 물리적 인터넷망 차단 조치시 업무상 컴퓨터에 인터넷망과의 연결점을 제거하여 특정 물리적 공간을 폐쇄망으로 구성할 수 있으며, 이때 SOC를 운영하는 경우 외부망에 구성하여 내부망에 접속이 불가하도록 해야한다. (x)
=> SOC는 외부망이 아니라 내부 폐쇄망에서 운영해야 한다.
21. 영향평가의 대상이 되는 개인정보파일은 전자적으로 처리할 수 있는 것에 한정되어 있으므로 수기로 기록된 개인정보 문서는 대상에서 제외된다. 단, 종이로 기록된 개인정보 문서가 PDF등의 전자적인 매체로 변환될 경우 해당 PDF 파일은 평가의 대상이 될 수 있다. (ㅇ)
22. 접속기록은 수기로 남겨도 된다. (X)
=> 접속기록은 전자로 남겨야한다.
23. 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보의 다운로드가 확인된 경우에는 내부관리계획 등으로 정하는 바에 따라 그 사유를 반드시 확인하여야한다. (X)
=> 개정되며 삭제됨
24. 개인정보가 담긴 DB 단순 열람도 개인정보 제공에 속한다. (o)
25. (국내대리인) 개인정보처리자가 국내 법인의 발행주식총수의 30% 이상을 출자한 경우, 해당 법인은 지배적 영향력이 인정되는 법인에 해당할 수 있다. (ㅇ)
26. 동의를 거부할 권리가 있다는 사실 및 그에 따른 불이익의 내용은 별도로 강조표시해야한다. (x)
=> 고지사항: o, 별도로 강조표시: x
27. 동일한 개인정보처리자에 대하여 복수의 개인정보 열람청구를 하는 경우, 그 청구의 대상과 범위가 특정되어 있다면 하나의 위임장으로 여러 건의 열람 요구를 갈음할 수 있다. (ㅇ)
28. 공공기관은 개인정보 목적 외 이용 제공 시 10일 이내 관련 내용을 관보에 30일 이상 게시해야한다. (x)
=> 30일 이내 관보에 10일 이상 게시한다.
29. 병원과 의료정보 전달 시스템 관리 업체 간 환자의 처방전 정보를 공유하는 과정에서, 중계 플랫폼이 해당 정보를 일시적으로 보관하는 것은 개인정보 처리 위탁에 해당하지 않는다. (ㅇ)
30. 업무 처리위탁 시 정보주체의 동의를 받지 않아도 된다. 단, 홍보마케팅 위탁인 경우 정보주체에게 고지한다. (ㅇ)
31. IDS는 네트워크 트래픽을 미러링 방식으로 수집하여 침입여부를 탐지하고 경고를 발생시키는 탐지 중심 장비이다. 반면 IPS는 네트워크 경로 상에 인라인으로 배치되어 직접 검사하고 공격을 차단하는 능동형 방어 장비이다. (ㅇ)
32. 솔트를 추가하더라도 SHA-256의 빠른 연산 속도는 GPU 기반 무차별 대입 공격에 대한 저항성이 낮다. (ㅇ)
33. 웜은 특정 타겟을 노리는 APT 공격이다. (x)
=> 웜의 핵심은 불특정 다수를 향한 빠른 자기 복제와 확산이다.
34. CI는 암호화되어있으므로 개인정보가 아니다. (x)
=> CI는 주민등록번호를 일방향 변환해 생성되지만, 서비스 간 이용자 연계에 활용되어 개인 식별이 가능한 개인정보에 해당한다.
35. SEED와 ARIA는 미국에서 개발된 암호 알고리즘이다. (x)
=> 우리나라에서 개발된 국산 암호 기술이다.
36. 핫사이트는 주요 장비와 시스템이 구축되어 있으나 운영 사이트와 완전히 동일한 실시간 동기화를 전제로 하지는 않으며 일정한 전환 절차가 필요하다. (ㅇ)
37. 미러사이트는 운영 시스템과 동일한 환경을 실시간으로 동기화하여 유지하므로 재해 발생시 자동 전환이 가능하다. (x)
=> 미러사이트는 자동 전환을 전제로 한 복구 구조가 아니다.
38. 민간뿐만 아니라 공공기관 개인정보처리자는 개인정보 파일의 변경 및 파기 내역을 감독기관에 정기적으로 보고해야할 법적 의무가 있다. (x)
=> 민간 개인정보처리자에게는 이러한 정기 보고 의무가 없다.
39. 조정이 성립한 경우, 민법상 화해와 동일한 효력을 가진다. (x)
=> 민법상 화해 x, 재판상 화해 o
40. 과징금의 상한은 법 제 64조의2 제1항에 따라 위반행위와 관련된 매출액의 3% 이내이다. (x)
=> 전체 매출액의 3% 이내이다.
41. 개인위치정보를 이용한 서비스를 사업으로 제공하려는 자는 개인정보보호위원회에 신고해야한다. (x)
=> 방송통신위원회이다.
42. 재산상태, 소득수준, 경제적 능력에 관한 정보는 사생활 침해 가능성이 높으므로 민감정보에 해당한다. (x)
=> 민감정보: 노동조합, 사상과 신념, 정당정치, 건강, 성생활, 인종, 민족, 신체적 특징
43. 직급별 전체 직원의 급여 총액은 개인정보에 해당한다. (x)
=> 특정되지 않는 통계자료는 개인정보가 아니다.
44. 내부적 업무처리만을 위하여 개인정보 처리시스템을 사용하는 경우, 공공시스템으로 지정하지 않을 수 있다. (ㅇ)
45. 공공시스템운영기관은 공공시스템에 대한 접근 권한을 부여, 변경 또는 말소하려는 때에는 정당한 권한을 가진 자만 접근할 수 있도록 인사정보와 연계하여야한다. 이때 인사정보 연계란 인사시스템과 성명, 소속기관, 업무분장의 정보를 공유하여 해당 사용자가 적법한 권한을 가진 공무원인지 확인하는 것을 의미한다. (x)
=> 업무 분장은 미포함
46. 공공시스템 관리책임자는 접근 권한 부여 변경 말소 내역을 반기별 1회 이상 점검, 공공시스템별 내부 관리 계획 수립 시행 및 점검은 분기별 1회 이상 해야한다. (x)
=> 내부관리계획점검: 연 1회 이상, 접근권한 부여내역: 반기별 1회 이상, 소관 접속기록: 월 1회 이상 점검
47. 1천명 이상의 신용정보 주체의 개인신용정보가 유출된 경우 72시간 이내 KISA에 유출 신고를 해야한다. (x)
=> 1만 명 이상의 신용정보 주체의 개인신용정보가 유출된 경우
48. 정보통신서비스 제공자는 해킹 등 침해사고로 개인정보 유출이 발생한 경우, 개인정보 유출 신고와 침해사고 신고를 각각 접수하여야한다. (ㅇ)
49. ㅇㅇ사는 해커에 의해 개인정보가 유출된 사실을 확인 한 후 경찰청에 신고하였으나, 수사관으로부터 해커가 검거될 때까지는 유출 통지를 유보해달라는 구두 요청을 받고 30일 이상 통지를 지연하였다. 이는 옳은 대처인가? (x)
=> 유출 통지 보류를 요청받은 경우에는 개인정보보호위원회에 유출 신고 후 협의하고 사유를 소명해야한다.
50. 대상자가 속한 기관이 아닌 다른 기관에 실수로 대상자의 주민등록번호가 포함된 명단을 이메일로 발송하였다. 이때 외부인이 열람한 기록이 없는 경우에는 개인정보 유출이 아니다. (x)
=> 개인정보처리자의 통제권을 벗어나 제 3자가 내용을 알 수 있게 했으므로 개인정보 유출에 해당한다.
'보안 > 개인정보보호법' 카테고리의 다른 글
| [CPPG Part3] 개인정보의 라이프사이클 (1) | 2026.04.28 |
|---|---|
| [CPPG Part2] 개인정보보호 제도 (2) | 2026.04.26 |
| [CPPG Part1] 개인정보보호의 이해 (0) | 2026.04.14 |