📑 목차
선정 이유: 왜 2026년 로그 관리가 감사의 핵심 타깃이 되었나
2025년 10월 31일. 개인정보의 안전성 확보조치 기준이 개정되면서 기업 보안 감사의 지형이 완전히 바뀌었다. 단순히 ‘로그를 남긴다’는 것을 넘어, 어떤 식별자를 어떤 방식으로 보관하느냐가 과태료 산정의 직접적 기준이 되었다. 특히 VPN과 ZTNA 간의 접근 로그 차이, 6개월 이상의 법정 보관 기준, 그리고 식별자 5대 필수 요소는 2026년 최신 컴플라이언스 환경에서 기업들이 반드시 재점검해야 하는 핵심 기술-법적 요소다. 본 분석은 성공 사례 대신 규정 준수를 위한 객관적 절차와 행정 처분 리스크를 중심으로 서술한다.
2026년 감사 환경의 변화와 기업들이 자주 놓치는 함정
지난달 감사를 받은 한 중견기업 보안팀은 충격에 빠졌다. 3년간 안심하고 써왔던 VPN 접속 로그가 ‘불충분한 식별자 기록’으로 지적된 것이다. 문제는 단순했다. 로그인 성공 기록만 남기고 실패 기록은 누락했으며, 처리한 정보주체 식별자를 별도로 연결하지 않았다. 2025년 11월 개정된 개인정보의 안전성 확보조치 기준 안내서는 이제 ‘조회’ 권한 설정이 가능한 컴퓨터도 인터넷망 차단 대상에 포함시키며, 접속기록 점검 주체가 ‘책임 추적성과 객관성’을 위해 운영 부서가 아닌 감사팀이나 개인정보보호팀이어야 함을 명확히 했다. 작은 오해 하나가 수억 원의 과태료로 이어질 수 있는 시대가 된 것이다.
VPN과 ZTNA의 로그 관리 구조적 차이
전통적인 VPN은 ‘성공한 접속’ 자체를 신뢰의 증거로 삼는다. 한 번 내부망에 접속하면 광범위한 리소스에 대한 로그가 흩어지기 쉽고, 비인가 접근이 발생해도 사후 추적이 어렵다. 반면 ZTNA(Zero Trust Network Access)는 ‘절대 신뢰하지 않는’ 원칙 하에 애플리케이션 단위로 최소 권한을 부여하므로, 각 접근 시도마다 컨텍스트(사용자 ID, 디바이스 상태, 위치, 시간)가 상세히 기록된다.
| 구분 | VPN 로그 관리 | ZTNA 로그 관리 |
|---|---|---|
| 접근 권한 범위 | 전체 네트워크 광범위 접근 가능 | 애플리케이션 단위 최소 권한 부여 |
| 인증 정보 기록 | ID/PW 기반 단일 인증 로그 | MFA + 디바이스 무결성 + 컨텍스트 기록 |
| 세분화 정도 | 경계 중심(내부/외부 구분) | 리소스 단위 마이크로 세그먼트 |
| 감사 추적성 | IP 기반 제한적 추적 | 사용자-디바이스-애플리케이션 연계 고가용성 |
| 비인가 접근 탐지 | 사후 분석 의존 | 실시간 차단 및 상세 로깅 |
| 토큰 암호화 | SSL Termination 구간에서 종종 누락 | End-to-End 암호화 권장 (2025 개정) |
ZTNA로의 전환이 만능은 아니다. 법정 필수 항목 수집과 보관 기간 준수는 별도의 설정이 필수적이다.
법정 보관 기간의 계층적 적용 기준
로그 보관은 ‘그냥 길게 남겨두면 된다’는 선입견이 위험하다. 법규별로 명확한 최소 보관 기준이 존재하며, 이를 혼동하면 즉각적인 ‘미준수’ 판정을 받는다.
개인정보처리시스템: 개인정보보호법 제29조 및 안전성 확보조치 기준 제8조에 따라 6개월 이상 필수 보관. 위변조 방지를 위해 WORM(Write Once Read Many) 방식 저장장치 사용이 원칙이다.
공공기관: 교육부 정보보안기본지침 제53조에 따라 1년 이상 보관 의무. 시간 동기화 프로토콜(NTP) 적용하여 정확한 시간 기록을 유지해야 한다.
ISMS 인증 대상 기업: 법적 요건보다 엄격하게 2년 이상 보관을 권장하며, 보안관련 감사로그와 시스템 이벤트로그를 별도 저장장치에 백업해야 한다.
액세스 로그 식별자 5대 필수 요소와 2025년 개정사항
개인정보처리시스템에 대한 접속기록은 다음 5가지 식별자를 반드시 포함해야 한다. 2025년 개정으로 단순 처리 기록 외에도 인증 단계에 대한 로깅이 강화되었다.
1. 접속계정: 사용자를 특정할 수 있는 고유 ID (공유 계정 사용 시 추가 식별자 필요)
2. 접속일시: NTP 기반 시간 동기화가 적용된 정확한 timestamp
3. 접속지정보: IP 주소, MAC 주소 등 물리적/논리적 위치 정보
4. 수행내역: 조회, 다운로드, 수정, 삭제 등 세부 작업 유형 (2025년 개정으로 ‘조회’가 명시됨)
5. 처리한 정보주체 정보: 해당 개인정보 주체를 특정할 수 있는 식별자 (예: 마스킹된 주민번호 일부, 회원번호 등)
2025년 11월 개정된 안내서에서 추가된 핵심: 이제 단순히 ‘작업’ 기록만으로는 부족하다. 로그인, 로그아웃, 로그인 실패에 대한 기록도 접속기록에 포함해야 한다. 또한 access token, refresh token, secret access key 등의 인증정보도 전송 구간별 암호화(TLS/SSL)가 적용되어야 하며, SSL Termination을 통해 암호화가 해제되는 구간이 있다면 법적 요건 미준수로 간주될 수 있다.
ISMS 인증심사에서 반복 지적되는 결함 유형
실제 인증심사 및 개인정보보호위원회 과태료 처분 사례를 분석하면, 다음과 같은 결함이 반복적으로 지적된다.
점검 주체의 비독립성: 시스템 운영 부서가 자신이 생성한 로그를 스스로 점검하는 구조는 객관성과 책임 추적성을 해쳐 ‘미흡’ 판정을 받는다. 반드시 감사팀이나 개인정보보호팀이 점결해야 한다.
위변조 방지 미흡: 최소 권한 원칙을 위반하여 모든 개발자와 운영자가 로그 파일에 접근 가능한 경우, 임의 삭제나 수정이 가능하다는 점에서 결함으로 처리된다. WORM 방식 저장장치나 별도 분리 DB 저장이 필수적이다.
인터넷망 차단 대상 판단 오류: 개정된 기준에 따라 ‘개인정보처리시스템에 대한 접근권한을 설정할 수 있는 컴퓨터’는 조회 권한 설정 가능 여부까지 포함하여 판단해야 한다. 다운로드나 파기뿐 아니라 조회 권한만 있어도 인터넷망 차단 대상이 될 수 있다.
인증정보 암호화 누락: API 호출 시 사용되는 access token 등이 평문으로 로그에 기록되거나, 전송 구간에서 암호화가 해제되는 경우 즉각적인 시정 조치 대상이 된다.
2026년 감사 대비 로그 관리 점검 리스트
감사를 앞둔 기업은 다음 항목을 즉시 점검해야 한다. 이는 단순한 기술 설정을 넘어 행정적 처분을 회피하기 위한 최소한의 방어선이다.
– [ ] 개인정보처리시스템 접속기록이 6개월 이상 별도 저장장치에 보관되는가?
– [ ] 로그인/로그아웃/로그인 실패 기록이 모두 포함되어 있는가?(2025 개정 필수)
– [ ] 접속기록 점검 주체가 감사팀 또는 개인정보보호팀으로 독립되어 있는가?(책임 추적성 확보)
– [ ] WORM 방식 저장장치 또는 위변조 방지 기술이 적용되어 있는가?
– [ ] 인터넷망 차단 대상 컴퓨터에서 ‘조회’ 권한 설정이 가능한 경우 차단 조치가 되어 있는가?
– [ ] access token, refresh token 등 인증정보가 전송 구간 전체에서 암호화되어 있는가?(SSL Termination 구간 확인)
– [ ] 처리한 정보주체를 특정할 수 있는 식별자(5번째 필수 요소)가 로그와 연계되어 있는가?
– [ ] 시간 동기화(NTP)가 모든 로그 생성 시스템에 적용되어 시간 오차가 없는가?
자주 묻는 질문
Q. ZTNA를 도입하면 자동으로 규정 준수가 되나요?
ZTNA가 세분화된 접근 제어와 상세 로깅을 제공하긴 하지만, 법정 필수 항목(5가지 식별자) 수집과 6개월 이상 보관, WORM 방식 저장 등은 별도의 설정과 정책 수립이 필요하다. 기술 도입만으로 컴플라이언스가 완성되지는 않는다.
Q. 클라우드 환경(AWS, Azure 등)에서도 동일한 보관 기간을 적용해야 하나요?
그렇다. 개인정보처리시스템의 물리적 위치(온프레미스/클라우드)와 무관하게 개인정보보호법상 6개월 이상 보관 의무는 동일하게 적용된다. 클라우드 서비스의 기본 로그 보관 정책이 6개월 미만일 경우, 별도의 아카이빙 설정이 필수적이다.
Q. 접속기록 점검은 어느 주기로 해야 하나요?
개인정보의 안전성 확보조치 기준에서는 ‘정기적’이라고 규정하고 있으나, 2025년 개정된 안내서는 위험도 분석을 통해 주기를 설정하되, 중요 시스템은 월간 이하로 점검할 것을 권고한다. 또한 점검 주체는 반드시 운영 부서와 독립된 감사팀이나 개인정보보호팀이어야 한다.