개인정보보호법을 모르고 서비스를 만들면 사업자가 직접 법적 책임을 지게 됩니다.
IT 개발자가 반드시 알아야 할 핵심 요점을 정리합니다.
개인정보란 무엇인가
살아있는 개인을 식별할 수 있는 모든 정보입니다.
- 이름, 이메일, 전화번호 (명확한 식별 정보)
- IP 주소, 쿠키 ID, 기기 식별자 (간접 식별 정보)
- 위치 정보, 구매 내역 (결합 시 개인 특정 가능한 정보)
개발자가 지켜야 할 기술적 보호조치
1. 비밀번호 암호화
MD5, SHA-1은 더 이상 안전하지 않습니다.
bcrypt, Argon2id와 같은 단방향 해시 알고리즘을 사용하세요.
2. 개인정보 전송 암호화
모든 개인정보 전송은 TLS 1.2 이상을 사용해야 합니다.
HTTP로 개인정보를 주고받는 것은 법 위반입니다.
3. 접근 통제
개인정보를 담은 DB, 파일에는 필요한 사람만 접근할 수 있도록 권한을 제한해야 합니다.
4. 로그 보관
누가, 언제, 어떤 개인정보에 접근했는지 접근 로그를 최소 6개월 보관해야 합니다.
수집 최소화 원칙
서비스에 불필요한 개인정보는 수집하지 마세요.
생년월일이 필요하지 않다면 묻지 않는 것이 법적으로도, 사용자 신뢰 면에서도 유리합니다.
파기 의무
개인정보는 보유 목적이 달성되면 즉시 파기해야 합니다.
탈퇴한 회원의 데이터를 무기한 보관하면 법 위반입니다.
실무에서는 탈퇴 후 30일 이내 삭제 배치를 구현하는 것이 일반적입니다.
법을 모른다는 변명은 면책이 되지 않습니다.
개인정보 보호는 사용자와의 신뢰 계약이기도 합니다.
작성한 정보가 조금이나마 유익하고 도움이 되셨다면, 가시기 전에 아래 광고 한번 살짝 눌러주시면 정말 큰 힘이 됩니다. 감사합니다!
본 콘텐츠는 서울랜디 편집팀이 기획·작성한 자체 분석 리포트입니다. 무단 전재 및 재배포를 금합니다.