[전략 요약: 개인정보보호법 위반 대응]
- 해킹 피해 기업도 처벌 대상이 될 수 있습니다 : 외부 공격이라 하더라도 노후 서버 방치, 보안 업데이트 미실시 등 '기술적 보호조치 의무'를 다하지 않았다면 기업에 법적 책임이 부과됩니다.
- 과징금 상한액 '매출액 10%' 시대 (2026 개정안) : 반복적 위반이나 1천만 명 이상 대규모 유출 시 과징금 상한이 전체 매출액의 10%로 대폭 강화되었습니다. 대표자의 최종 책임과 예산 확보 의무도 명문화되었습니다.
- 제3자 제공 vs 위탁, '독립적 이익' 유무가 핵심입니다 : 대법원 판례에 따라 제공받는 자가 자신의 이익을 위해 처리한다면 '제3자 제공'에 해당하며, 반드시 정보주체의 명시적 동의가 선행되어야 처벌을 면할 수 있습니다.
- 사고 발생 시 '72시간 내'가 아닌 '지체 없이' 통지하십시오 : 단 1건의 유출이라도 인지 즉시 정보주체에게 알려야 하며, 1천 명 이상 유출 시에는 KISA 신고가 필수입니다. 신속한 초동 대응은 과징금 감경의 핵심 사유입니다.
상세 목차
최근 대형 통신사, 금융사, 쇼핑몰 등에서 연이어 발생한 개인정보 유출 사고는 단순한 보안 실패가 아닌 법적 위반 행위로 평가되고 있습니다. 개인정보보호법상 기업은 개인정보를 안전하게 처리할 의무를 가지며, 이 의무를 소홀히 한 경우 형사처벌·행정처분·과징금 등 다양한 법적 책임이 따릅니다.
기업 내부자의 단순 실수, 해킹, 외주업체의 보안 부실 등 원인이 무엇이든 관리적·기술적 보호조치를 다하지 않았다면 보호의무 위반으로 간주됩니다. 즉, 고의가 없었다거나 외부 공격이었다는 사유만으로 면책되기는 어렵습니다.
또한, AI, 클라우드, 빅데이터 등 신기술이 빠르게 확산되면서 개인정보 처리 환경도 급변하고 있습니다. 이에 맞춰 개정안은 개인정보처리자가 위험 기반 접근 방식(Risk-Based Approach)을 통해 자사 환경에 맞는 보호 조치를 설계·운영하도록 요구합니다. 기업은 단순 준수에서 나아가, 개인정보 보호를 경쟁력으로 전환할 수 있는 전략이 필요합니다.
1. 개인정보보호법위반 처벌
1-1. 개인정보보호법 위반으로 기업이 부담하게 될 수 있는 과징금의 근거
개인정보유출에 대한 처벌은 개인정보보호법과 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)에 근거합니다. 개인정보보호법 주요 조항에 따르면 과징금 산정 시에는 암호화, 접근통제 등 안전성 확보조치 이행 노력이 중요한 판단 요소로 작용하며, 특히 공공기관 업무를 방해할 목적의 개인정보 변경·말소 행위는 공공업무 중단·마비로 이어질 경우 중형으로 처벌됩니다.
** 개인정보보호법 제64조의2 제1항 (과징금의 부과)
보호위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 해당 개인정보처리자에게 전체 매출액의 100분의 3을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다. 다만, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 20억원을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다.
** 개인정보보호법 제70조(벌칙)
다음 각 호의 어느 하나에 해당하는 자는 10년 이하의 징역 또는 1억원 이하의 벌금에 처한다.
1. 공공기관의 개인정보 처리업무를 방해할 목적으로 공공기관에서 처리하고 있는 개인정보를 변경하거나 말소하여 공공기관의 업무 수행의 중단ㆍ마비 등 심각한 지장을 초래한 자
2. 거짓이나 그 밖의 부정한 수단이나 방법으로 다른 사람이 처리하고 있는 개인정보를 취득한 후 이를 영리 또는 부정한 목적으로 제3자에게 제공한 자와 이를 교사ㆍ알선한 자
또한, 정보통신서비스 제공자는 이용자 정보 보호를 위한 기술적·관리적 조치를 의무적으로 취해야 합니다. 이를 위반할 경우 정보통신망법 제76조에 따라 최대 3천만 원 이하의 과태료가 부과되며, 주민등록번호 등 고유식별정보의 오남용 시 추가 제재가 따릅니다.
** 과징금 부가의 주요 기준
- 유출 행위와 기업의 관련성 (직접적·간접적 여부)
- 유출된 개인정보의 수와 민감성
- 유출 이후 기업의 피해확산 방지조치 여부
- 신고 및 통지의 신속성
- 반복 위반 여부 및 이전 제재 이력
** 손해배상 산정의 주요 기준
- 유출 정보의 성격과 수량
- 기업의 회수 노력과 구제 노력의 정도
- 정보주체의 피해 규모 및 입증 정도
- 기업의 고의·과실 유무 및 보호조치 실태
1-2. 해킹 피해를 입은 기업도 처벌 대상이 될까?
많은 기업이 외부 해킹 피해자는 가해자가 아니라고 생각하지만, 법은 다르게 봅니다. 개인정보보호법은 기업에 적극적인 위험 방지 의무를 부여하기 때문입니다. 즉, 보안 침해가 외부에서 발생했더라도 사전에 합리적인 보안조치를 하지 않았다면 처벌 대상이 될 수 있으며, 다음과 같은 상황이 법적 책임으로 이어질 수 있습니다.
- 노후 서버를 장기간 사용하면서 보안 업데이트 미실시
- 백신, 방화벽 등 기본 보안체계 미비
- 내부자 계정 및 접근권한 관리 소홀
- 유출 사고 후 신고 지연 또는 미통보
이러한 경우 기업은 단순 과태료를 넘어 영업정지·과징금·형사고발까지 받을 수 있습니다.
1-3. 형사처벌의 범위와 실제 판례
모든 개인정보유출이 형사처벌로 이어지는 것은 아닙니다. 형사처벌은 고의 또는 중대한 과실이 입증될 때만 가능하며, 단순 실수나 불가항력적 사고는 행정처분이나 민사 배상에 그칩니다. 다만, 반복적인 개인정보유출, 은폐, 허위 보고 등이 있을 경우 징역형이나 고액 벌금형이 선고될 수 있습니다.
대표적인 개인정보유출 관련 사례로는 카드사, 공공기관, 대형 쇼핑몰에서의 사건을 들 수 있습니다. 먼저 A 카드사 사건에서는 영업센터에서 약 20만 건에 달하는 가맹점주 개인정보가 마케팅 목적으로 무단 활용된 사실이 드러났습니다. 이에 개인정보보호위원회는 보호조치 의무 위반을 이유로 총 134억 원의 과징금을 부과하였습니다. 다음으로 B 공공기관 사건 중에는 담당 직원의 단순 실수로 약 50명의 개인정보가 기관 홈페이지에 게시되었는데, 고의성은 없었지만 관리적 보호조치를 다하지 않은 것으로 판단되어 180만 원의 과태료가 부과되었습니다.
이처럼 개인정보유출 사건은 원인과 경중에 따라 처벌의 수준은 달라지지만, 공통적으로 기업의 보호조치 의무 위반 여부가 핵심 판단 기준이 된다는 점에서 시사하는 바가 큽니다.
우리는 이러한 판례들을 통해 '기업이 유출 방지를 위한 합리적 조치를 다했는가?'에 따라 처벌 수위가 결정된다는 점을 기억해야 합니다.
2. 최근 개인정보보호법 강화, 새로운 규제 국면
2-1. 개인정보보호법 개정안의 핵심 변화 4가지
① 적용 대상의 확대
이전에는 개인정보취급자만이 접근통제·접속기록 보관 의무 대상이었으나, 이제 '개인정보처리시스템에 접속한 모든 자'로 범위가 넓어졌습니다. 이에 따라 클라우드 관리자, 외부 유지보수 인력, 플랫폼 입점업체 직원 등도 관리 대상에 포함됩니다. 기업은 전체 개인정보 접속자 그룹을 식별하고, 이에 맞는 통제 체계를 구축해야 합니다.
② 내부 관리계획 필수 항목 확대
출력·복사·파기 절차 등 물리적 보안까지 포함하는 관리 기준이 내부 관리계획의 필수 항목으로 명시됩니다. 개인정보의 수집부터 파기까지 전 주기(Lifecycle)에 걸친 명확한 지침과 점검 체계를 문서화해야 하며, 문서로 출력된 개인정보의 보관·파기 기준도 강화됩니다.
③ 인터넷망 차단 의무 차등 적용
100만 명 이상 개인정보를 처리하는 사업자는 다운로드·파기 권한을 가진 자의 기기에 인터넷망 차단 조치를 해야 합니다. 다만, 정밀한 위험 분석을 거쳐 이중 인증, 망 분리 등 대체 통제가 충분하다고 인정되면 의무가 면제될 수 있습니다. 그러나 민감정보나 고유식별정보를 처리하는 경우에는 예외 없이 차단 의무가 적용됩니다.
④ 접속기록 관리 강화
접속기록 보관 대상 확대와 함께, 점검 주기·방법·사후 조치까지 내부 관리계획에 포함해야 합니다. 월 1회 이상 점검, 비정상 행위 탐지, 위·변조 방지 등 실질적인 관리 체계가 요구됩니다.
이전에는 개인정보취급자만이 접근통제·접속기록 보관 의무 대상이었으나, 이제 '개인정보처리시스템에 접속한 모든 자'로 범위가 넓어졌습니다. 이에 따라 클라우드 관리자, 외부 유지보수 인력, 플랫폼 입점업체 직원 등도 관리 대상에 포함됩니다. 기업은 전체 개인정보 접속자 그룹을 식별하고, 이에 맞는 통제 체계를 구축해야 합니다.
② 내부 관리계획 필수 항목 확대
출력·복사·파기 절차 등 물리적 보안까지 포함하는 관리 기준이 내부 관리계획의 필수 항목으로 명시됩니다. 개인정보의 수집부터 파기까지 전 주기(Lifecycle)에 걸친 명확한 지침과 점검 체계를 문서화해야 하며, 문서로 출력된 개인정보의 보관·파기 기준도 강화됩니다.
③ 인터넷망 차단 의무 차등 적용
100만 명 이상 개인정보를 처리하는 사업자는 다운로드·파기 권한을 가진 자의 기기에 인터넷망 차단 조치를 해야 합니다. 다만, 정밀한 위험 분석을 거쳐 이중 인증, 망 분리 등 대체 통제가 충분하다고 인정되면 의무가 면제될 수 있습니다. 그러나 민감정보나 고유식별정보를 처리하는 경우에는 예외 없이 차단 의무가 적용됩니다.
④ 접속기록 관리 강화
접속기록 보관 대상 확대와 함께, 점검 주기·방법·사후 조치까지 내부 관리계획에 포함해야 합니다. 월 1회 이상 점검, 비정상 행위 탐지, 위·변조 방지 등 실질적인 관리 체계가 요구됩니다.
2-2. 2026. 2. 12. 국회 본회의 통과 개인정보보호법 개정 법률안 주요 내용
**사업주 또는 대표자의 책임 명확화 및 개인정보 보호책임자의 역할 강화(안 제30조의3 신설 및 제31조)
사업주 또는 대표자를 개인정보 처리 및 보호에 관한 최종 책임자로 명확히 규정하고, 대통령령으로 정하는 기준에 해당하는 개인정보처리자는 개인정보 보호책임자 지정에 관한 사항을 신고하도록 의무화하고 개인정보 보호에 필요한 인력관리 및 예산확보 등 역할을 강화함.
** 제30조의3 신설 (사업주 또는 대표자의 책임)
개인정보처리자의 사업주 또는 대표자는 개인정보의 안전한 처리 및 정보주체의 권리 보호에 대한 최종적인 책임자로서 개인정보 보호에 필요한 전문 인력과 충분한 예산의 지원 등 총괄적인 관리 조치를 실효성 있게 하여야 한다.
사업주 또는 대표자를 개인정보 처리 및 보호에 관한 최종 책임자로 명확히 규정하고, 대통령령으로 정하는 기준에 해당하는 개인정보처리자는 개인정보 보호책임자 지정에 관한 사항을 신고하도록 의무화하고 개인정보 보호에 필요한 인력관리 및 예산확보 등 역할을 강화함.
** 제30조의3 신설 (사업주 또는 대표자의 책임)
개인정보처리자의 사업주 또는 대표자는 개인정보의 안전한 처리 및 정보주체의 권리 보호에 대한 최종적인 책임자로서 개인정보 보호에 필요한 전문 인력과 충분한 예산의 지원 등 총괄적인 관리 조치를 실효성 있게 하여야 한다.
** 제31조 제1항 (개인정보 보호책임자의 지정 등)
개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다. 다만, 종업원 수, 매출액 등이 대통령령으로 정하는 기준에 해당하는 개인정보처리자의 경우에는 지정하지 아니할 수 있다.
→ 개인정보처리자는 개인정보의 처리 및 보호에 관한 업무를 총괄해서 담당할 개인정보 보호책임자를 지정하여야 한다. 다만, 종업원 수, 매출액 등이 대통령령으로 정하는 기준에 해당하는 개인정보처리자의 경우에는 지정하지 아니할 수 있다.
→ '제3항~제9항'을 '제4항~제10항'으로 변경, 제3항 신설
매출액, 개인정보의 보유 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자는 다음 각 호의 사항을 준수하여야 한다.
1. 개인정보 보호책임자를 지정하거나 그 지정을 변경 또는 해제할 때에는 이사회(법인인 경우로 한정한다. 이하 같다)의 의결을 거칠 것
2. 보호위원회에 대통령령으로 정하는 바에 따라 개인정보 보호책임자 지정ㆍ변경 또는 해제에 관한 사항을 신고할 것
나. 개인정보 보호 인증 의무화(안 제32조의2)
매출액, 개인정보 처리 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자는 개인정보 보호 인증을 의무적으로 받도록 함으로써 개인정보 관리 체계의 신뢰성과 안전성을 제고함.
1. 개인정보 보호책임자를 지정하거나 그 지정을 변경 또는 해제할 때에는 이사회(법인인 경우로 한정한다. 이하 같다)의 의결을 거칠 것
2. 보호위원회에 대통령령으로 정하는 바에 따라 개인정보 보호책임자 지정ㆍ변경 또는 해제에 관한 사항을 신고할 것
나. 개인정보 보호 인증 의무화(안 제32조의2)
매출액, 개인정보 처리 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자는 개인정보 보호 인증을 의무적으로 받도록 함으로써 개인정보 관리 체계의 신뢰성과 안전성을 제고함.
** 제32조의2 제1항 단서 신설
다만, 매출액, 개인정보의 처리 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자는 인증을 받아야 한다.
다. 유출 가능성 통지제 도입 및 통지 항목 확대 등(안 제34조)
기존 통지 대상이던 개인정보의 분실ㆍ도난ㆍ유출 뿐만 아니라 위조ㆍ변조ㆍ훼손까지 통지 범위를 확대하고, 대통령령으로 정하는 유출 가능성이 있는 경우에도 통지 의무를 부여함.
라. 반복적이거나 중대한 개인정보 침해에 대한 과징금 강화(안 제64조의2제2항 신설 등)
고의 또는 중대한 과실로 3년 이내 반복적 위반, 고의 또는 중대한 과실로 1천만명 이상 대규모 피해 발생, 시정조치 명령에 따르지 아니하여 유출이 발생한 행위에 대해서는 전체 매출액의 10% 범위 내에서 과징금을 부과할 수 있도록 하고, 예산ㆍ인력ㆍ설비ㆍ장치 등의 투자 및 운영 등 대통령령으로 정하는 사유가 있는 경우에는 과징금을 감경하도록 하여 기업의 사전적 예방투자를 유도함.
** 제64조의2 제2항 신설
제1항에도 불구하고 보호위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 해당 개인정보처리자에게 전체 매출액의 100분의 10을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다. 다만, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 50억원을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다.
1. 이 조에 따른 과징금 처분을 받은 날부터 3년이 경과하기 전에 제1항 같은 호에 해당하는 위반행위를 한 경우(각각 고의 또는 중대한 과실이 있는 경우로 한정한다)
2. 고의 또는 중대한 과실로 제1항 각 호의 어느 하나에 해당하는 위반행위를 하고 정보주체의 피해 규모가 1천만명 이상인 경우
3. 제64조제1항에 따른 시정조치 명령에 따르지 아니하여 개인정보 처리자가 제1항제9호의 위반행위를 한 경우
3. 개인정보제3자제공 및 위탁
3-1. 개인정보 제3자 제공 및 위탁 의미
개인정보위탁 | 개인정보 제3자 제공 | |
법적 근거 | 개인정보보호법 제26조 (업무위탁에 따른 개인정보 처리 제한) | 개인정보보호법 제17조 (개인정보의 제공) |
처리 목적 | 위탁자의 업무수행 목적 | 제공받는 자의 독립된 이익 목적 |
법적 관례 | 수탁자는 위탁자의 감독 하에 업무 수행 | 제공받은 자가 자신의 책임 하에 처리 |
동의 필요여부 | 정보주체의 동의 없이 가능 (단, 공개 의무 있음) | 정보주체의 명시적 동의 필요 |
대법원 판단 기준 | 실질적 감독 관계, 대가 유무 등 종합 판단 |
3-2. 개인정보 제3자 제공 시 준수할 요건
[동의 시 고지 사항]
개인정보 보호법에서는 제3자 제공의 기본 요건으로 아래 사항을 정보주체에게 알리고 동의를 받아야 함을 명시하고 있습니다.
① 개인정보를 제공받는 자
② 제공받는 자의 개인정보 이용 목적
③ 제공하는 개인정보 항목
④ 개인정보의 보유 및 이용 기간
개인정보 보호법에서는 제3자 제공의 기본 요건으로 아래 사항을 정보주체에게 알리고 동의를 받아야 함을 명시하고 있습니다.
① 개인정보를 제공받는 자
② 제공받는 자의 개인정보 이용 목적
③ 제공하는 개인정보 항목
④ 개인정보의 보유 및 이용 기간
동의는 서면, 이메일, 전자서명, 앱 내 고지 등 다양한 방법으로 받을 수 있지만, 정보주체가 자발적이고 명확한 의사표시를 하도록 해야 합니다. 만약 동의 없이 개인정보를 제공한 경우, 관련 법령에 따라 최대 5년 이하 징역 또는 5천만 원 이하 벌금(개인정보 보호법 제71조 제1호)에 처해질 수 있습니다.
4. 기업의 개인정보보호법 위반 관련 법적 리스크 관리
4-1. 사전적 법률리스크 관리 매뉴얼
- 보안 점검 주기화
- 정기적 시스템 취약점 점검 및 개선
- 접근 권한 최소화
- 민감정보 접근은 최소 인원으로 제한
- 사고 대응 매뉴얼
- 유출 발생 시 24시간 내 통지 및 대응 체계 가동
- 법률 자문 병행 : 개인정보 처리방침, 위탁계약, 내부규정의 법적 검토
- 개인정보 흐름도(Data Flow) 재정비 : 개인정보가 수집·저장·이용·파기되는 모든 경로를 파악하고, 이에 따라 내부 관리계획과 권한 체계를 전면 재설계해야 합니다.
- 인증 시스템 고도화 : 비밀번호에 의존하지 않고 생체인증, OTP, 다단계 인증(MFA) 등 고도화된 인증 수단을 도입하며, 최소 권한 원칙(PoLP)을 철저히 적용해야 합니다.
- 위험 기반 보안 투자 : 망 차단 면제를 받으려면 CSPM, CWPP 등 클라우드 환경 보안 도구를 활용해 세밀한 위험 분석과 맞춤형 통제를 적용해야 합니다.
- 실시간 탐지 및 대응 체계 구축 : 접속기록은 침해 사고 시 책임 규명의 핵심 자료입니다. ELK Stack, SIEM 등 실시간 모니터링 시스템을 통해 위협을 조기에 감지하고 자동 대응 체계를 마련해야 합니다.
- 정기적 시스템 취약점 점검 및 개선
- 접근 권한 최소화
- 민감정보 접근은 최소 인원으로 제한
- 사고 대응 매뉴얼
- 유출 발생 시 24시간 내 통지 및 대응 체계 가동
- 법률 자문 병행 : 개인정보 처리방침, 위탁계약, 내부규정의 법적 검토
- 개인정보 흐름도(Data Flow) 재정비 : 개인정보가 수집·저장·이용·파기되는 모든 경로를 파악하고, 이에 따라 내부 관리계획과 권한 체계를 전면 재설계해야 합니다.
- 인증 시스템 고도화 : 비밀번호에 의존하지 않고 생체인증, OTP, 다단계 인증(MFA) 등 고도화된 인증 수단을 도입하며, 최소 권한 원칙(PoLP)을 철저히 적용해야 합니다.
- 위험 기반 보안 투자 : 망 차단 면제를 받으려면 CSPM, CWPP 등 클라우드 환경 보안 도구를 활용해 세밀한 위험 분석과 맞춤형 통제를 적용해야 합니다.
- 실시간 탐지 및 대응 체계 구축 : 접속기록은 침해 사고 시 책임 규명의 핵심 자료입니다. ELK Stack, SIEM 등 실시간 모니터링 시스템을 통해 위협을 조기에 감지하고 자동 대응 체계를 마련해야 합니다.
4-2. 사고 발생 시 대응 매뉴얼
(1) 사고 발생 즉시: 유출 사실 확인 및 통지
해킹 징후나 사고 발생 사실을 인지한 즉시, 개인정보 유출 여부를 판단하고 확인된 경우에는 지체 없이 정보주체에게 통지하여야 합니다. 통지 내용에는 다음 사항이 포함되어야 하며, 유출 건수나 민감성 여부와 무관하게, 단 1건의 유출이라도 해당 정보주체에게 통지를 해야 합니다.
해킹 징후나 사고 발생 사실을 인지한 즉시, 개인정보 유출 여부를 판단하고 확인된 경우에는 지체 없이 정보주체에게 통지하여야 합니다. 통지 내용에는 다음 사항이 포함되어야 하며, 유출 건수나 민감성 여부와 무관하게, 단 1건의 유출이라도 해당 정보주체에게 통지를 해야 합니다.
- 유출된 개인정보 항목
- 유출 시점 및 경위
- 정보주체가 피해 최소화를 위해 할 수 있는 조치
- 개인정보처리자의 대응방안 및 피해 구제 절차
- 피해 접수 및 문의 가능한 담당 부서 연락처
- 회사가 제공하는 지원 조치(예: 모니터링 서비스, 비밀번호 변경 안내 등)
(2) 일정 요건 충족 시: 한국인터넷진흥원(KISA)에 신고
아래와 같은 경우에는 한국인터넷진흥원(KISA)에 신고해야 하고, 신고 내용은 정보주체 통지 내용과 동일하며, 최대한 신속하게 이루어져야 합니다. 신고 지연은 행정상 제재 및 과징금 부과의 사유가 됩니다.
- 유출 대상 정보주체 수가 1천명 이상인 경우
- 유출 정보가 민감정보 또는 고유식별정보인 경우
- 개인정보처리시스템이 해킹 등 외부 침입을 받은 경우
(3) 기술적·관리적 긴급 조치
사고 확산 방지를 위한 신속한 기술적 조치가 요구되므로, 다음과 같은 절차를 고려해야 하고, 초기 대응이 늦어질수록 유출된 개인정보의 2차 피해 확산 가능성이 커지므로, 조직 내부의 대응 체계를 사전에 수립해두는 것이 필요합니다.
- 개인정보처리시스템 일시 중단
- 비밀번호 초기화 및 인증수단 변경
- 침입 경로 및 유출 범위 파악
- 보안 패치 및 시스템 점검
- 사고 대응팀 구성 및 외부 보안 전문업체 지원 요청
