Learning
토픽 21 / 21·과목별 관계도

법제도와 표준 관계도

💡

이 관계도는 전체 토픽의 구조와 연결 관계를 보여줍니다. 학습 전에 전체 흐름을 파악하세요.

토픽 마인드맵
mindmap
  root((법제도 및 표준<br/>98개 토픽))
    정보보호 법제도
      개인정보 관련
        개인정보보호법
        개인정보 영향평가(PIA)
        가명정보 처리 / 비식별화 기법
        정보통신망법
        데이터3법
        GDPR
        DPO
        DPIA
        데이터 이동권
      금융보안 관련
        전자서명법
        전자금융거래법
        전자금융감독규정
        신용정보법
        마이데이터
      기반시설/통신
        주요정보통신기반시설 보호법
        통신비밀보호법
      국제이전/안심구역
        개인정보 안심구역 / 데이터 안심구역
        CBPR / 개인정보 국제이전
    전자정부/공공 법제도
      전자정부법
      공공데이터법
      지능정보화기본법
      디지털플랫폼정부법
      소프트웨어진흥법
      클라우드컴퓨팅법
      오픈소스 라이선스
      SBOM
      SW 공급망 보안
    디지털 신기술 법제도
      AI 규제
        AI 기본법
        EU AI Act
        저작권법과 AI
      가상자산 규제
        특정 금융정보법
        MiCA
      플랫폼 규제
        플랫폼 규제법
        EU DSA
        EU DMA
      기타 신기술
        위치정보보호법
        자율주행차법
        드론법
        데이터산업법
        디지털세
    보안 인증 및 규제
      국내 인증
        ISMS
        ISMS-P
        CSAP
        KCMVP
      국제 인증
        ISO 27001
        ISO 27002
        ISO 27005
        ISO 27701
        CC인증
        SOC 보고서
      산업별 규제
        PCI DSS
        SOX
      보안 조직/방법론
        CISO
        정보보호 위험관리 방법론
    소프트웨어공학 표준
      프로세스 표준
        ISO 12207
        ISO 15504(SPICE)
      품질 표준
        ISO 25010(SQuaRE)
        ISO 9001
      문서화 표준
        IEEE 830(SRS)
        IEEE 1471(아키텍처)
      국내 인증/기준
        GS인증
        SP인증
        SW사업 대가산정 가이드
        기능점수
        디지털서비스 전문계약제도
    IT 거버넌스 프레임워크
      거버넌스
        COBIT
        ISO 38500
        TOGAF
      서비스 관리
        ITIL
        ISO 20000
      리스크/연속성
        ISO 22301
        ISO 31000
      프로젝트 관리
        PRINCE2
    통신 표준 및 기관
      국제 기관
        ITU
        IEEE
        IETF
        3GPP
      국내 기관
        TTA
      통신 법규
        전파법
        전기통신사업법
        망중립성
    보안 프레임워크
      NIST CSF
      NIST SP 800-53
      제로 트러스트
      CIS Controls
      OWASP
      전자정부 표준프레임워크
      정보시스템 감리
      데이터 주권 / 마이데이터
      디지털자산기본법
      디지털콘텐츠법
      스마트도시법
    AI 규제 및 차세대 보안 표준
      AI 윤리 원칙
      적합성 평가
      ISO/IEC 42001
      AI RMF
      AI 신뢰성 검인증
      PQC(양자내성암호)

주요 카테고리별 토픽 수

카테고리토픽 수주요 토픽
정보보호 법제도 - 개인정보9개개인정보보호법, PIA, 가명정보/비식별화, 정보통신망법, 데이터3법, GDPR, DPO, DPIA, 데이터 이동권
정보보호 법제도 - 금융보안5개전자서명법, 전자금융거래법, 전자금융감독규정, 신용정보법, 마이데이터
정보보호 법제도 - 기반시설2개주요정보통신기반시설 보호법, 통신비밀보호법
정보보호 법제도 - 국제이전/안심구역2개개인정보 안심구역, CBPR/개인정보 국제이전
전자정부/공공 법제도9개전자정부법, 공공데이터법, 지능정보화기본법, 디지털플랫폼정부법, 소프트웨어진흥법, 클라우드컴퓨팅법, 오픈소스 라이선스, SBOM, SW 공급망 보안
디지털 신기술 법제도 - AI3개AI 기본법, EU AI Act, 저작권법과 AI
디지털 신기술 법제도 - 가상자산2개특정 금융정보법, MiCA
디지털 신기술 법제도 - 플랫폼3개플랫폼 규제법, EU DSA, EU DMA
디지털 신기술 법제도 - 기타5개위치정보보호법, 자율주행차법, 드론법, 데이터산업법, 디지털세
보안 인증 - 국내4개ISMS, ISMS-P, CSAP, KCMVP
보안 인증 - 국제6개ISO 27001, ISO 27002, ISO 27005, ISO 27701, CC인증, SOC 보고서
보안 인증 - 산업별2개PCI DSS, SOX
보안 인증 - 조직/방법론2개CISO, 정보보호 위험관리 방법론
SW공학 표준11개ISO 12207, ISO 15504, ISO 25010, ISO 9001, IEEE 830, IEEE 1471, GS인증, SP인증, 대가산정, 기능점수, 디지털서비스 전문계약제도
IT 거버넌스 프레임워크8개COBIT, ITIL, TOGAF, ISO 38500, ISO 20000, ISO 22301, ISO 31000, PRINCE2
통신 표준 및 기관8개ITU, IEEE, IETF, 3GPP, TTA, 전파법, 전기통신사업법, 망중립성
보안 프레임워크11개NIST CSF, NIST SP 800-53, 제로 트러스트, CIS Controls, OWASP, 전자정부 표준프레임워크, 정보시스템 감리, 데이터 주권/마이데이터, 디지털자산기본법, 디지털콘텐츠법, 스마트도시법
AI 규제 및 차세대 보안 표준6개AI 윤리 원칙, 적합성 평가, ISO/IEC 42001, AI RMF, AI 신뢰성 검인증, PQC

총 98개 토픽

핵심 연관 관계

개인정보보호 법률 체계

개인정보보호법 (일반법)
  ├─ 정보통신망법 (온라인 서비스 특화)
  ├─ 신용정보법 (금융 데이터 특화)
  ├─ GDPR (EU 개인정보보호)
  └─ 개인정보 영향평가(PIA) (사전 위험 평가)

데이터3법 (2020 개정)
  ├─ 개인정보보호법 → 가명정보 도입, 개인정보위 일원화
  ├─ 신용정보법 → 마이데이터 사업 도입
  └─ 정보통신망법 → 개인정보 조항 이관

GDPR 핵심 제도
  ├─ DPO (개인정보보호 책임자 지정 의무)
  ├─ DPIA (고위험 처리 사전 영향평가)
  ├─ 데이터 이동권 (정보주체 권리)
  └─ CBPR / 국제이전 (적정성 결정, BCR, SCC)

가명정보/비식별화 체계

가명정보 처리 / 비식별화 기법
  ├─ 가명처리 (데이터3법 기반)
  ├─ 비식별화 기법 (가명처리, 총계처리, 데이터 삭제 등)
  └─ 개인정보 안심구역 (안전한 결합·분석 환경)

데이터 분류 체계

개인정보 (식별 가능)
    ↓
가명정보 (추가 정보 없이 식별 불가, 결합 가능)
    ↓
익명정보 (식별 불가, 자유 활용)

금융보안 법률 체계

전자금융거래법 (전자금융 안전성)
    ↓
전자금융감독규정 (세부 기술 기준)
  ├─ 망분리 의무화
  ├─ 취약점 분석·평가
  └─ 접근통제/암호화
    ↓
신용정보법 (신용정보 보호)
    ↓
마이데이터 (본인신용정보관리업)
  └─ 전송요구권, 표준 API

전자정부/공공 법률 관계

전자정부법 (전자정부 구현·운영)
    ↓
공공데이터법 (공공데이터 개방)
    ↓
지능정보화기본법 (AI/디지털 전환)
    ↓
디지털플랫폼정부법 (플랫폼 기반 행정)

소프트웨어진흥법 (SW산업 진흥)
  ├─ SW사업 대가산정 가이드
  ├─ GS인증
  ├─ 기능점수
  └─ 디지털서비스 전문계약제도

클라우드컴퓨팅법 (클라우드 도입)
  └─ CSAP (클라우드 보안인증)

SW 공급망 보안
  ├─ SBOM (소프트웨어 자재명세서)
  └─ 오픈소스 라이선스 (GPL, MIT, Apache 등)

AI 규제 비교 (한국 vs EU)

AI 기본법 (한국, 2026년 시행)
  ├─ AI 산업 육성
  ├─ AI 윤리
  └─ 고위험 AI 규제

EU AI Act (EU, 2024년 발효)
  ├─ 금지 AI (사회 신용, 실시간 생체인식)
  ├─ 고위험 AI (채용, 교육, 의료)
  ├─ 제한적 위험 AI (챗봇, 딥페이크)
  └─ 최소 위험 AI (대부분)

AI 거버넌스 체계
  ├─ AI 윤리 원칙 (투명성, 공정성, 안전성)
  ├─ ISO/IEC 42001 (AI 관리체계 인증, AIMS)
  ├─ AI RMF (NIST AI 100-1, 리스크 관리)
  ├─ AI 신뢰성 검인증 (CAT)
  └─ 적합성 평가 (규제 적합성 검증)

가상자산 규제 비교

특정 금융정보법 (한국)
  ├─ 사업자 신고제
  ├─ 트래블룰
  └─ AML/KYC

MiCA (EU)
  ├─ 통합 프레임워크
  ├─ 스테이블코인 규제 (EMT/ART)
  └─ 서비스 제공자 인가

디지털자산기본법 (한국, 제정 추진 중)
  └─ 투자자 보호, 시장 질서

EU 디지털 규제 3법

GDPR (개인정보 보호)
  └─ 정보주체 권리, 역외 적용, 매출 4% 과징금

DSA (디지털 서비스)
  └─ 불법 콘텐츠, 플랫폼 투명성, 매출 6% 과징금

DMA (디지털 시장)
  └─ 게이트키퍼 규제, 공정경쟁, 매출 10% 과징금

보안 인증 체계

국내 인증
  ├─ ISMS (정보보호 관리체계, 80개 기준)
  ├─ ISMS-P (ISMS + 개인정보, 101개 기준)
  ├─ CSAP (클라우드 보안, 117개 항목)
  └─ KCMVP (암호모듈 검증)

국제 인증
  ├─ ISO 27001 (ISMS 국제 표준, 93개 통제)
  │   ├─ ISO 27002 (통제 구현 지침)
  │   └─ ISO 27005 (위험관리)
  ├─ ISO 27701 (개인정보 관리, GDPR 매핑)
  ├─ CC인증 (보안제품 평가, EAL1~7)
  └─ SOC 보고서 (서비스 조직 감사)

보안 조직/방법론
  ├─ CISO (정보보호 최고책임자)
  └─ 정보보호 위험관리 방법론

ISMS vs ISMS-P vs ISO 27001

ISMS (국내, 정보보호)
  └─ 80개 인증기준 (관리 16 + 보호 64)

ISMS-P (국내, 정보보호 + 개인정보)
  └─ 101개 인증기준 (관리 16 + 보호 64 + 개인정보 21)

ISO 27001 (국제, 정보보안)
  └─ 93개 통제항목 (Annex A, ISO 27002 기반)

소프트웨어 프로세스/품질 표준 체계

프로세스 표준
  ├─ ISO 12207 (SW 생명주기 프로세스)
  └─ ISO 15504/SPICE (프로세스 능력 평가)

품질 표준
  ├─ ISO 25010 (SW 품질 모델, 8가지 특성)
  └─ ISO 9001 (품질경영시스템)

문서화 표준
  ├─ IEEE 830 → ISO 29148 (요구사항 명세)
  └─ IEEE 1471 → ISO 42010 (아키텍처 기술)

국내 인증
  ├─ GS인증 (제품 품질, ISO 25010 기반)
  ├─ SP인증 (프로세스 역량, CMMI 간소화)
  └─ 디지털서비스 전문계약제도 (공공 SW사업)

SW사업 대가산정

기능점수(FP) 방식
  ├─ 사용자 관점 기능 규모 측정
  ├─ 5가지 기능 유형 (EI, EO, EQ, ILF, EIF)
  └─ 개발비 = 총 FP × FP단가 × 보정계수

투입공수(MM) 방식
  └─ 개발비 = 투입 M/M × 노임단가

IT 거버넌스 프레임워크 관계

COBIT (IT 거버넌스/관리)
  ├─ 목표 중심, 40개 관리목표
  └─ EDM + APO/BAI/DSS/MEA

ISO 38500 (IT 거버넌스 원칙)
  └─ 평가(Evaluate) → 지시(Direct) → 모니터(Monitor)

ITIL (IT 서비스 관리/ITSM)
  ├─ 서비스 가치 시스템(SVS)
  └─ 34개 실무 관행

ISO 20000 (ITSM 인증 표준)
  └─ ITIL 기반 인증

TOGAF (엔터프라이즈 아키텍처)
  └─ ADM 방법론

ISO 22301 (업무 연속성/BCMS)
  └─ BIA, BCP, DRP

ISO 31000 (리스크 관리)
  └─ 식별 → 분석 → 평가 → 대응

PRINCE2 (프로젝트 관리)
  └─ 7원칙 × 7테마 × 7프로세스

통신 표준화 기관 체계

국제 기구
  ├─ ITU (유엔 산하, 전파/통신 표준)
  │   ├─ ITU-T (통신표준화)
  │   ├─ ITU-R (전파통신)
  │   └─ ITU-D (개발)
  ├─ IEEE (전기전자 기술 표준)
  │   └─ 802.3(이더넷), 802.11(WiFi), 754(부동소수점)
  ├─ IETF (인터넷 표준, RFC)
  │   └─ TCP/IP, HTTP, TLS, DNS
  └─ 3GPP (이동통신 표준)
      └─ LTE, 5G NR

국내 기구
  └─ TTA (한국정보통신기술협회)

보안 프레임워크 계층

NIST CSF (사이버보안 프레임워크)
  └─ Govern → Identify → Protect → Detect → Respond → Recover

NIST SP 800-53 (보안/프라이버시 통제 카탈로그)
  └─ 20개 통제 패밀리, 1000+ 통제항목

제로 트러스트 (ZTA)
  └─ Never Trust, Always Verify

CIS Controls (기술 통제 우선순위)
  └─ 18개 통제 그룹, IG1/IG2/IG3

OWASP (웹 보안)
  └─ Top 10, ASVS, SAMM, ZAP

PCI DSS vs SOX

PCI DSS (카드 결제 보안)
  └─ 12가지 요구사항, Level 1~4

SOX (재무 보고 투명성)
  ├─ 302조: 경영진 인증
  ├─ 404조: 내부통제 평가
  └─ IT-SOX: IT 일반 통제(ITGC)

차세대 보안 표준

PQC (양자내성암호)
  ├─ NIST 표준화 (CRYSTALS-Kyber, CRYSTALS-Dilithium 등)
  ├─ 양자컴퓨터 위협 대비
  └─ KCMVP 연계 (국내 암호모듈 검증)

제로 트러스트
  ├─ NIST SP 800-207
  └─ 경계 보안 → 신원 기반 보안

디지털 콘텐츠/도시 법제도

디지털콘텐츠법 (콘텐츠산업진흥법)
  └─ 콘텐츠 산업 진흥, 유통 질서

스마트도시법
  └─ 스마트시티 조성, 데이터 활용

디지털세
  └─ OECD Pillar 1/2, 글로벌 최저세율 15%

학습 순서 추천

1단계: 정보보호 기본법

1. 개인정보보호법

2. 개인정보 영향평가(PIA)

3. 가명정보 처리 / 비식별화 기법

4. 정보통신망법

5. 데이터3법

6. GDPR, DPO, DPIA, 데이터 이동권

2단계: 금융보안 및 국제이전

7. 전자서명법

8. 전자금융거래법

9. 전자금융감독규정

10. 신용정보법, 마이데이터

11. 개인정보 안심구역, CBPR/개인정보 국제이전

3단계: 전자정부/공공

12. 전자정부법

13. 공공데이터법

14. 소프트웨어진흥법

15. 클라우드컴퓨팅법

16. 오픈소스 라이선스, SBOM, SW 공급망 보안

4단계: 디지털 신기술

17. AI 기본법, EU AI Act

18. 특정 금융정보법, MiCA, 디지털자산기본법

19. EU DSA, EU DMA

20. 자율주행차법, 드론법, 디지털세

21. 디지털콘텐츠법, 스마트도시법

5단계: 보안 인증

22. ISMS, ISMS-P, CISO

23. ISO 27001, ISO 27002, ISO 27005, ISO 27701

24. CC인증, KCMVP

25. CSAP, SOC 보고서, PCI DSS

26. 정보보호 위험관리 방법론

6단계: SW공학 표준

27. ISO 12207, ISO 15504

28. ISO 25010, ISO 9001

29. IEEE 830, IEEE 1471

30. GS인증, SP인증, 기능점수

31. 디지털서비스 전문계약제도

7단계: IT 거버넌스

32. COBIT, ISO 38500

33. ITIL, ISO 20000

34. TOGAF

35. ISO 22301, ISO 31000, PRINCE2

8단계: 통신 표준/보안 프레임워크

36. ITU, IEEE, IETF, 3GPP

37. NIST CSF, NIST SP 800-53

38. 제로 트러스트, CIS Controls, OWASP

9단계: AI 규제 및 차세대 보안

39. AI 윤리 원칙, 적합성 평가

40. ISO/IEC 42001, AI RMF, AI 신뢰성 검인증

41. PQC(양자내성암호)

시험 출제 포인트

고빈도 주제

  • 개인정보보호법: 처리 원칙, 정보주체 권리, 안전조치, 과징금
  • GDPR: 역외 적용, 정보주체 8대 권리, DPO, DPIA
  • 데이터3법: 가명정보, 개인정보위 일원화, 마이데이터
  • ISMS vs ISMS-P: 인증기준 수, 대상, 차이점
  • ISO 27001: PDCA, Annex A 93개 통제, 인증 절차
  • ISO 25010: 8가지 품질 특성
  • COBIT vs ITIL: 거버넌스 vs 서비스 관리
  • 기능점수: 5가지 기능 유형 (EI, EO, EQ, ILF, EIF)
  • AI 기본법/EU AI Act: 위험 기반 분류, 고위험 AI 의무

중요 개념

  • 전자금융감독규정: 망분리, 취약점 분석, 암호화
  • 마이데이터: 전송요구권, 표준 API, 금융 선도
  • EU AI Act: 4단계 위험 분류, 고위험 AI 의무
  • AI 기본법: 위험 기반 접근, 영향평가
  • CC인증: PP, ST, TOE, EAL1~7
  • KCMVP: ARIA, SEED, LEA, HIGHT
  • CSAP: 상/중/하 등급, 117개 통제항목
  • SOC 보고서: SOC 1(재무)/SOC 2(보안)/SOC 3(공개)
  • PCI DSS: 12가지 요구사항
  • NIST CSF: 6가지 기능 (Govern 포함)
  • CISO: 선임 의무, 겸직 제한, 역할과 책임
  • PIA: 개인정보 영향평가 절차, 대상 기관
  • SBOM: SW 구성요소 목록, 공급망 투명성
  • ISO/IEC 42001: AI 관리체계 인증, AIMS
  • PQC: NIST 표준화 알고리즘, 양자 위협 대응

비교 출제 포인트

  • 개인정보보호법 vs GDPR: 적용범위, 과징금, 정보주체 권리
  • ISMS vs ISMS-P vs ISO 27001: 기준 수, 적용 대상, 국내/국제
  • COBIT vs ITIL vs ISO 38500: 거버넌스/서비스/원칙
  • GS인증 vs SP인증 vs CMMI: 제품품질/프로세스/성숙도
  • ISO 12207 vs ISO 15504 vs CMMI: 생명주기/평가/성숙도
  • FP방식 vs MM방식: 기능기반 vs 투입기반
  • CC인증 vs KCMVP vs GS인증: 보안제품/암호모듈/SW품질
  • NIST CSF vs CIS Controls vs ISO 27001: 프레임워크/통제/ISMS
  • EU DSA vs DMA vs GDPR: 콘텐츠/시장/개인정보
  • ISO 27001 vs ISO 27002 vs ISO 27005: ISMS/통제지침/위험관리
  • AI 기본법 vs EU AI Act: 한국/EU AI 규제 비교
  • NIST CSF vs NIST SP 800-53: 프레임워크 vs 통제 카탈로그
  • PQC vs KCMVP: 양자내성암호 vs 기존 암호모듈 검증

최신 트렌드

  • AI 기본법: 한국 최초 AI 법률 (2026년 시행)
  • EU AI Act: 세계 최초 포괄적 AI 규제 (2024년 발효)
  • ISO/IEC 42001: AI 관리체계 국제 표준 (2023년 발표)
  • AI RMF: NIST AI 리스크 관리 프레임워크
  • AI 신뢰성 검인증: 한국 AI 신뢰성 인증 체계
  • PQC: NIST 양자내성암호 표준화 (2024년 최종 표준)
  • 제로 트러스트: 차세대 보안 아키텍처
  • NIST SP 800-53: Rev.5 프라이버시 통제 통합
  • MiCA: EU 가상자산 통합 규제
  • EU DSA/DMA: 디지털 플랫폼 규제
  • 디지털플랫폼정부법: 데이터 기반 행정
  • 저작권법과 AI: AI 생성물 저작권 논의
  • NIST CSF 2.0: Govern 기능 추가
  • SBOM/SW 공급망 보안: 공급망 투명성 강화
  • 디지털자산기본법: 가상자산 투자자 보호 법제화
  • 디지털세: OECD 글로벌 최저세율

IT 거버넌스/표준 체계

  • TOGAF ADM: 아키텍처 개발 단계
  • ISO 22301: BIA, BCP, DRP
  • ISO 31000: 리스크 관리 프로세스
  • PRINCE2: 7원칙 x 7테마 x 7프로세스
  • ITIL 4: SVS, 7가지 원칙, 서비스 가치 사슬

통신 표준

  • ITU-T vs ITU-R: 통신표준 vs 전파통신
  • IEEE 802 시리즈: 802.3(이더넷), 802.11(WiFi)
  • IETF RFC: TCP(793), HTTP(2616), QUIC(9000)
  • 3GPP: LTE(4G), 5G NR
  • 망중립성: 차단 금지, 차별 금지, 투명성

마인드맵 활용 팁:

  • 법률은 "일반법(개인정보보호법) → 특별법(정보통신망법/신용정보법)" 구조로 이해
  • 데이터3법은 2020년 개정 취지(가명정보, 일원화, 마이데이터)로 연결
  • 보안 인증은 국내(ISMS/ISMS-P/CSAP/KCMVP) vs 국제(ISO 27001/CC/SOC) 구분
  • EU 규제는 GDPR(개인정보) → AI Act(AI) → DSA/DMA(플랫폼) 진화 관점
  • IT 거버넌스는 COBIT(거버넌스) → ITIL(서비스) → ISO 20000(인증) 흐름
  • SW표준은 프로세스(12207/15504) vs 품질(25010/9001) vs 문서(830/1471) 3축
  • 기능점수는 5가지 유형(EI/EO/EQ/ILF/EIF)과 산정 공식 암기
  • 통신 표준 기관은 범위별 구분: ITU(국제) > IEEE(LAN) > IETF(인터넷) > 3GPP(이동통신)
  • ISO 27001 시리즈는 27001(요구사항) → 27002(통제지침) → 27005(위험관리) → 27701(개인정보) 체계
  • AI 규제는 AI 기본법/EU AI Act(법률) → ISO 42001/AI RMF(관리체계) → AI 신뢰성 검인증(인증) 흐름
  • 차세대 보안은 제로 트러스트(아키텍처) + PQC(암호) + NIST SP 800-53(통제) 3축
목록신기술동향 관계도과정 완료!