2026-07-04 15:07
개인정보를 다루는 시스템을 운영하다 보면 꼭 부딪히는 문제가 있습니다. “이름은 몇 글자 가려야 하지? 전화번호는? 내부망인데도 마스킹이 필요한가?” 결론부터 말하면, 법에는 정확한 자릿수 기준이 없습니다. 하지만 그렇다고 아무렇게나 해도 된다는 의미는 아닙니다. 이 글에서는 개인정보 마스킹의 법적 근거부터 항목별 실무 적용 기준까지 핵심만 정리합니다.
많은 담당자들이 오해하는 부분이 있습니다. “마스킹 기준이 법에 딱 명시되어 있겠지”라는 생각인데, 사실 국내외를 막론하고 ‘몇 번째 자리를 가려라’는 구체적 기준은 존재하지 않습니다.
대신 두 가지 기준에서 원칙을 제시합니다.
개인정보의 안전성 확보조치 기준 제12조 (개인정보보호위원회 고시, 2025. 10. 31. 개정 시행)
개인정보처리자는 개인정보처리시스템에서 개인정보의 출력 시(인쇄, 화면표시, 파일생성 등) 용도를 특정하여야 하며, 용도에 따라 출력 항목을 최소화하여야 한다.
ISMS-P 인증 기준 2.6.3 (응용프로그램 접근)
사용자별 업무 및 접근 정보의 중요도 등에 따라 응용프로그램 접근권한을 제한하고, 불필요한 정보 또는 중요정보 노출을 최소화할 수 있도록 기준을 수립하여 적용하여야 한다.
핵심은 “최소화 원칙”입니다. 기업과 기관이 스스로 업무 가용성과 보안성을 고려해 기준을 만들고 일관되게 적용해야 합니다.
“우리는 내부망이고 접근통제도 다 돼 있는데 꼭 해야 하나요?” 이 질문을 매우 자주 받습니다. 마스킹은 외부 해커 차단이 아니라 노출 자체를 줄이는 것이 목적입니다.
내부 환경에서 실제로 발생하는 위협을 살펴보면 이해가 쉽습니다.
결론적으로, 마스킹은 공격 표면(Attack Surface)을 줄이는 보안 레이어입니다. 접근통제나 로그 관리와 병행해야 효과가 극대화됩니다.
법에서 정해진 기준은 없지만, 개인정보보호위원회 가이드라인과 실무에서 통용되는 수준이 있습니다. 아래는 업계 표준에 가까운 참고 기준입니다.
| 항목 | 통상 마스킹 기준 | 예시 |
|---|---|---|
| 이름 | 성 또는 가운데 글자 마스킹 | 홍동, 김 |
| 주민등록번호 | 뒤 7자리 전체 마스킹 | 901010-*** |
| 전화번호 | 가운데 4자리 마스킹 | 010-****-5678 |
| 이메일 | ID 일부 + 도메인 일부 마스킹 | ho*@gma.com |
| 주소 | 상세 주소(번지·호수) 마스킹 | 서울시 강남구 **** |
| 계좌번호 | 앞·뒤 일부만 표시 | 110-*-*456 |
| 카드번호 | 중간 8자리 마스킹 | 1234---5678 |
주의: 위 기준은 법적 강제사항이 아닌 실무 권고 수준입니다. 중요한 것은 자사의 기준을 문서화하고, 모든 시스템에 일관되게 적용하는 것입니다.
마스킹은 단순히 화면에 별표를 찍는 것에 그치지 않습니다. 개인정보 노출 경로별로 다음 원칙을 적용해야 합니다.
화면(조회) 마스킹
출력·인쇄 마스킹
파일 다운로드
ISMS-P 심사를 준비하다 보면 이런 상황을 맞닥뜨립니다. “마스킹을 하면 일치 검색이 안 되는데, 또 ISMS에서는 like 검색을 제한하라고 하고…” 이 충돌을 어떻게 해결해야 할까요?
개인정보보호위원회의 2024년 안내서에서는 다음을 권고합니다.
즉, 마스킹과 검색 제한은 함께 가는 개념입니다. 마스킹만 하고 like 검색을 허용하면 의미가 반감됩니다.
실무에서 간과하기 쉬운 부분입니다. A 시스템에서는 전화번호 중간 4자리를 가리고, B 시스템에서는 앞 3자리를 가린다면 어떻게 될까요?
담당자가 두 시스템의 정보를 조합하면 완전한 전화번호를 복원할 수 있습니다. 이를 개인정보 집합화(Re-identification)라고 합니다.
개인정보보호위원회는 이 위험을 명시적으로 경고하며, 모든 시스템에서 동일한 마스킹 기준을 적용할 것을 권고합니다. 이를 위해 다음과 같은 체계를 갖추는 것이 좋습니다.
ISMS-P 심사나 개인정보 감사에서 마스킹 관련 지적을 피하려면 다음 세 가지를 챙겨야 합니다.
마스킹을 완벽하게 구현하는 것보다, 기준을 만들고 그 기준대로 운영하고 있음을 설명할 수 있는 상태를 만드는 것이 현실적인 컴플라이언스 목표입니다.