개인정보 접속 기록 보관, 1년인가요 2년인가요? 온라인 사업자 필수 보안 조치 가이드

---

1) 글 방향 진단

• 검색 의도: "접속 기록 보관 기간", "개인정보 보안 조치 의무", "로그 관리 기준" 등을 찾는 사업자의 실무적 해답 탐색
• 타깃 독자: 개발 지식이 부족한 1인 기업부터 보안 담당자가 필요한 성장기 스타트업
• 이 글의 핵심 약속: 어렵게만 느껴지는 '접속 기록 관리'의 법적 기준과 관리 방법을 명확히 정리해줌
• 전환 목표: 본문의 체크리스트를 확인한 후, 전문가의 정밀 진단 필요성을 인지하게 함

---

2) 팩트체크 메모

• 최신 확인 사항: 개인정보 보호법 및 '개인정보의 안전성 확보조치 기준' (개인정보보호위원회 고시) 반영 여부.
• 확인 상태: 확인 완료 (보관 기간: 일반 1년 이상, 5만 명 이상/민감정보/고유식별정보 처리 시 2년 이상).
• 단정 금지 포인트: 모든 사업자에게 동일한 보안 솔루션이 강제되는 것은 아니며, 규모와 취급 데이터에 따라 의무 수준이 다름을 명시.
• 출처: 개인정보보호법 제29조, 동법 시행령 제30조, 개인정보의 안전성 확보조치 기준.

---

[공감형]

"사이트 운영만으로도 벅찬데, 개인정보 보호법까지 챙기려니 막막하시죠? 특히 '접속 기록을 남겨야 한다'는 말은 들었지만, 정확히 무엇을, 얼마나, 어떻게 보관해야 하는지 아는 분은 많지 않습니다. 단순히 로그가 찍히고 있다는 사실만으로는 부족할 수 있습니다. 오늘은 놓치기 쉬운 접속 기록 관리의 핵심을 짚어드립니다."

[체크리스트 유도형]

"내 웹사이트가 법에서 정한 보안 기준을 지키고 있는지 불안하신가요? 특히 개인정보 처리 시스템의 '접속 기록'은 유사시 책임 소재를 가리는 중요한 근거가 됩니다. 지금 바로 아래 5가지 항목을 통해 우리 사이트의 보안 상태를 진단해 보세요. 법적 의무를 넘어 비즈니스의 신뢰를 지키는 첫걸음입니다."

---

본문 아웃라인

• H2: 왜 '접속 기록' 관리가 중요한가요? (관리 소홀 시 리스크 및 책임 소재 설명)
• H2: 법령이 정한 접속 기록 보관 기준 (1년 vs 2년) (취급 데이터 규모에 따른 기간 차이 정리)
• H3: 기록에 반드시 포함되어야 할 5가지 정보 (ID, 일시, 접속지, 수행업무 등)
• H2: 접속 기록 외에 꼭 챙겨야 할 보안 조치 (비밀번호 암호화, 전송 구간 암호화 등)
• H2: [자가 점검] 우리 사이트 보안 기록 체크리스트 (실천형 항목 제시)
• H2: 전문가의 도움으로 리스크 예방하기 (VERIDION 서비스 안내)

---

온라인 사업을 운영하다 보면 '개인정보보호'라는 단어가 무겁게 다가올 때가 많습니다. 특히 개인정보 처리 시스템의 접속 기록 관리는 기술적인 영역처럼 느껴져 외주 업체나 개발자에게만 맡겨두기 쉬운데요. 하지만 법적 책임의 주체는 결국 '사업자' 본인입니다.

왜 '접속 기록'을 남겨야 하나요?

접속 기록(Log)은 누가, 언제, 어떤 목적으로 개인정보에 접근했는지 남기는 증거입니다. 만약 개인정보 유출 사고가 발생했을 때 이 기록이 없다면, 관리 소홀에 대한 책임을 피하기 어렵습니다. 또한 내부자의 오남용을 방지하는 가장 강력한 예방책이기도 합니다.

보관 기간, 정확히 알고 계신가요?

많은 분이 헷갈려 하시는 부분입니다. 법령(개인정보의 안전성 확보조치 기준)에 따른 기본 원칙은 다음과 같습니다.

• 최소 1년 이상: 개인정보 처리 시스템에 접속한 기록을 1년 이상 보관·관리해야 합니다.
• 최소 2년 이상: 다음에 해당할 경우 보관 기간이 2년으로 늘어납니다.
  1. 5만 명 이상의 정보주체에 관한 개인정보를 처리하는 경우
  2. 고유식별정보(주민번호 등)나 민감정보를 처리하는 경우

단순히 서버에 저장하는 것뿐만 아니라, 월 1회 이상 정기적으로 점검하고 기록이 위·변조되지 않도록 별도의 저장 장치에 백업하는 등의 조치가 병행되어야 합니다.

접속 기록에 꼭 포함되어야 할 내용

법적 효력을 갖추려면 아래 5가지 정보가 반드시 포함되어야 합니다.

1. 접속 아이디: 누가 접속했는가?
2. 접속 일시: 정확히 언제 접속했는가?
3. 접속지 정보: 어떤 IP 주소에서 접속했는가?
4. 수행 업무: 조회, 수정, 삭제 등 어떤 작업을 했는가?
5. 정보주체 정보: 누구의 정보를 확인했는가? (필요 시)

필수 보안 조치, 이것도 확인하세요

접속 기록 외에도 웹사이트가 갖춰야 할 기본적인 보안 조치들이 있습니다.

• 비밀번호 암호화: 데이터베이스에 비밀번호를 평문으로 저장하면 안 됩니다.
• SSL 보안서버 인증서: 로그인이나 결제 시 정보를 암호화하여 전송해야 합니다.
• 접근 권한 분리: 담당 업무에 따라 개인정보 접근 권한을 최소한으로 부여해야 합니다.

---

📋 우리 사이트 보안 관리 자가 점검표

아래 항목 중 우리 사이트에 해당하지 않는 것이 있는지 체크해 보세요.

• 개인정보 처리 시스템 접속 기록을 최소 1년 이상 보관하고 있다.
• 접속 기록에 아이디, 일시, IP, 수행업무가 모두 포함된다.
• 접속 기록을 월 1회 이상 정기적으로 점검하고 있다.
• 관리자 페이지 접속 시 2차 인증(OTP 등)을 설정해 두었다.
• 개인정보가 포함된 DB는 암호화되어 저장된다.
• 웹사이트에 SSL(HTTPS) 인증서가 적용되어 있다.
• 퇴사자나 담당 변경자의 접근 권한을 즉시 삭제하고 있다.

[점검 결과 해석]

• 부족 0~1개: 비교적 안정적으로 관리되고 있습니다. 정기 점검을 유지하세요.
• 부족 2~4개: 보안 취약점이 존재합니다. 빠른 시일 내에 시스템 보완이 필요합니다.
• 부족 5개 이상: 법적 리스크 및 유출 사고 위험이 큽니다. 전문가의 정밀 진단을 권장합니다.

사업 운영에만 집중하기에도 시간이 부족하다는 것을 잘 알고 있습니다. 하지만 보안은 사고가 터진 뒤에 수습하는 것보다, 미리 구조를 만들어 두는 것이 훨씬 비용이 적게 듭니다. 지금 우리 사이트의 푸터(Footer)와 관리자 설정을 한 번만 더 확인해 보세요.

---

8) FAQ 5개

Q1. 개인정보처리방침에만 적어두면 접속 기록 관리는 안 해도 되나요?
A. 아니요. 방침은 '약속'이고, 접속 기록 관리는 '실행'입니다. 법령은 실제 시스템상에 기록을 남기고 점검할 것을 명시하고 있습니다.

Q2. 자사몰이 아닌 단순 회사 소개 사이트도 해당되나요?
A. 회원가입 기능이 없고 개인정보를 전혀 수집하지 않는다면 의무가 낮아지지만, '문의하기' 게시판 등을 통해 개인정보를 수집한다면 해당 데이터를 처리하는 시스템에 대한 최소한의 보안 조치가 필요합니다.

Q3. 접속 기록 점검은 꼭 매달 해야 하나요?
A. '개인정보의 안전성 확보조치 기준'에 따라 월 1회 이상 점검하는 것이 법적 권고사항이자 의무 준수의 핵심입니다.

Q4. 카페24나 가비아 같은 호스팅사를 쓰면 자동으로 해결되나요?
A. 호스팅사가 기본적인 기능은 제공하지만, 관리자 페이지에 접속하여 로그를 확인하고 점검하는 주체는 사업자입니다. 제공되는 기능을 제대로 설정했는지 확인이 필요합니다.

Q5. 관리자 아이디 하나를 여러 직원이 같이 써도 되나요?
A. 책임 소재가 불분명해지므로 권장하지 않습니다. 개별 아이디를 부여하고 접속 기록을 개별적으로 남겨야 관리 소홀에 대한 리스크를 줄일 수 있습니다.

---

1. [무료 점검] 우리 웹사이트 준법 상태, 5분 만에 진단받기
2. [가이드 다운로드] 온라인 사업자를 위한 보안 조치 필수 체크리스트 저장하기
3. [베리디언 서비스] "놓치기 쉬운 보안 의무, VERIDION이 대신 점검해 드립니다."
4. https://buly.kr/B7bo4UY

🛡️쇼핑몰 리스크 관리의 기준 : VERIDION(베리디언) 사업 소개

 

---

• 요약문: 온라인 사업자가 반드시 알아야 할 개인정보 접속 기록 보관 기간과 보안 조치 의무를 정리했습니다. 1년과 2년의 차이, 필수 포함 정보 5가지를 확인하고 우리 사이트의 안전성을 점검해 보세요.
• 태그: 개인정보보호법, 접속기록보관기간, 보안조치의무, 자사몰운영, 개인정보로그, 온라인사업자필독, 웹사이트준법, 베리디언, 데이터보안, 접속로그점검, 정보보호, 스타트업보안

---