지원사업 선정 후 개인정보보호·보안 가이드: MVP 출시 전 창업팀 체크리스트 > 인사이트

본문 바로가기

인사이트

#정부지원사업

지원사업 선정 후 개인정보보호·보안 가이드: MVP 출시 전 창업팀 체크리스트

답부터 말하면, 정부지원사업에 선정된 뒤 MVP를 실제 사용자에게 공개하려는 팀은 개인정보처리방침 한 페이지를 복사해 붙이는 수준으로는 부족합니다. 최소한 ① 어떤 개인정보를 왜 받는지, ② 회원가입·로그인에서 무엇을 저장하는지, ③ 관리자와 외주개발사가 어디까지 볼 수 있는지, ④ DB·백업·로그를 얼마나 보관하고 언제 삭제하는지, ⑤ 개인정보 처리위탁과 산출물 검수 기준을 정해야 합니다. 이 글은 법률 자문서가 아니라 창업팀이 개발사·PM·마케터·대표가 함께 보는 실무 점검표에 가깝습니다.

정부지원사업 선정 후 MVP 개인정보보호와 보안 점검을 준비하는 창업팀의 업무 화면
지원사업 선정 후에는 기능 구현보다 먼저 사용자 데이터 흐름과 관리자 접근 구조를 확정해야 합니다.

1. 왜 선정 후에 개인정보 문제가 갑자기 커질까

예비창업패키지, 초기창업패키지, 창업중심대학, 지역 창업지원사업에서 사업계획서를 쓸 때는 보통 기능, 시장성, 실증 계획, 예산 산정에 집중합니다. 그러나 선정 후 협약과 집행 단계로 넘어가면 상황이 달라집니다. 랜딩페이지에 대기자 이메일을 받고, 앱 회원가입을 열고, 관리자 페이지에서 사용자 목록을 보고, 외주개발사가 운영 DB에 접속하는 순간 개인정보보호는 기획 문제가 아니라 출시 리스크가 됩니다.

2026년 초기창업패키지 일반형 공고를 예로 들면, 공고는 창업 후 3년 이내 초기창업기업을 대상으로 사업화 자금과 창업프로그램을 지원하는 구조였고, 신청도 K-Startup을 통한 온라인 접수로 안내되었습니다. 다만 지원사업의 신청기간, 지원금, 자격, 제출서류는 매년·사업별로 바뀌므로 항상 K-Startup과 해당 주관기관의 최신 공고문을 확인해야 합니다. K-Startup은 창업지원사업 공고, 일정, 최신 사업정보를 확인하는 공식 창구로 운영되고 있습니다. ([bizinfo.go.kr](https://www.bizinfo.go.kr/sii/siia/selectSIIA200Detail.do?pblancId=PBLN_000000000117819))

선정 전 질문은 ‘이 기능을 만들 수 있는가’입니다. 선정 후 질문은 ‘이 기능이 실제 사용자 데이터를 받아도 운영 가능한가’입니다.

특히 지원사업 예산으로 MVP를 만드는 팀은 시간이 짧습니다. 3개월 안에 웹·앱·관리자 페이지를 열어야 하는데, 개인정보처리방침, 이용약관, 로그인, 관리자 권한, 접속기록, 클라우드 보안, 외주개발 검수까지 한꺼번에 밀려옵니다. 따라서 개인정보보호는 개발 완료 후 붙이는 문서가 아니라, 요구사항 명세서와 견적 단계에서 같이 잡아야 합니다. 기능 범위를 먼저 정리해야 한다면 AgentMit의 요구사항 명세서 템플릿과 실전 예시도 함께 참고할 수 있습니다.

2. 첫 작업은 약관이 아니라 데이터 흐름도다

개인정보처리방침을 쓰기 전에 먼저 해야 할 일은 서비스 안에서 개인정보가 이동하는 경로를 그리는 것입니다. ‘이름, 이메일, 전화번호를 받는다’에서 끝나면 관리자 권한, 외주 접근, 삭제 요청, 백업 보관을 설계할 수 없습니다. 아래 질문에 답하지 못하면 처리방침 문구도 결국 추측으로 작성됩니다.

MVP 서비스의 개인정보 데이터 흐름을 보드에 정리하는 장면
개인정보보호의 출발점은 약관 문구가 아니라 데이터 흐름도입니다.
질문창업팀이 적어야 할 답개발 요구사항으로 바뀌는 지점
누가 입력하는가회원, 리드, 관리자, 파트너사 담당자, 상담 신청자가입폼, 문의폼, 초대 기능, 관리자 등록 화면
무엇을 입력하는가이메일, 전화번호, 이름, 회사명, 결제정보, 첨부파일, 프롬프트DB 컬럼, 필수·선택 항목, 파일 저장소, 로그 마스킹
누가 보는가대표, 운영자, CS 담당자, 외주개발사, 클라우드 운영자관리자 역할, 접근권한, 다운로드 제한, 접속기록
어디에 저장되는가운영 DB, 백업 DB, 이메일 도구, CRM, 클라우드 스토리지, AI API 로그처리위탁, 제3자 제공 여부, 보관기간, 삭제 자동화
언제 삭제하는가회원 탈퇴, 상담 종료, 지원사업 실증 종료, 법정 보관기간 경과삭제 배치, 백업 보관정책, 관리자 수동 삭제 기능

개인정보 보호법은 개인정보처리자가 개인정보 처리방침을 정하고 공개하도록 하고, 개인정보가 분실·도난·유출·위조·변조·훼손되지 않도록 안전성 확보에 필요한 조치를 하도록 규정합니다. 즉, 문서와 시스템이 따로 놀면 안 됩니다. ‘처리방침에는 탈퇴 즉시 삭제라고 쓰고 실제 DB에는 계속 남는’ 구조가 가장 위험합니다. ([law.go.kr](https://law.go.kr/LSW/lsInfoP.do?lsiSeq=270351&utm_source=openai))

3. MVP 단계에서 준비할 문서와 화면

MVP라고 해서 모든 법무 문서를 대기업 수준으로 만들 필요는 없습니다. 하지만 사용자가 자신의 정보가 어떻게 처리되는지 알 수 있어야 하고, 팀 내부도 같은 기준으로 운영해야 합니다. 개인정보보호위원회는 2026년 개인정보 처리방침 표준안을 게시했고, 같은 해 작성지침 개정 설명회에서 생성형 AI, 수탁자, 행태정보, 가명정보 등 복잡한 처리환경에 대한 작성 기준을 안내했습니다. ([pipc.go.kr](https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS217&mCode=G010030000&nttId=11838))

준비물MVP 최소 기준주의할 점
개인정보 수집·이용 동의수집 목적, 항목, 보유기간, 동의 거부 시 불이익을 폼 근처에 표시필수와 선택을 섞지 말고, 마케팅 동의는 별도로 분리
개인정보처리방침처리 목적, 항목, 보유기간, 위탁, 파기, 권리행사, 책임자 또는 문의처 공개실제 쓰는 도구와 수탁자를 반영. 복사 템플릿만 사용 금지
이용약관계정, 서비스 이용 제한, 콘텐츠 권리, 환불·해지, 책임 범위 정의개인정보보호 문서는 아니지만 회원제·유료 서비스라면 분쟁 예방에 중요
관리자 운영정책누가 어떤 데이터를 볼 수 있는지, 다운로드·삭제 권한은 누구에게 있는지 정의대표 계정 하나를 모두가 공유하는 방식은 피해야 함
외주개발 보안 요구사항실데이터 접근 금지 또는 승인 절차, 계정 회수, 산출물 인계, 취약점 수정 범위 명시계약서보다 작업범위서와 검수표에 구체적으로 써야 작동함

마케팅팀은 ‘나중에 필요할 수도 있으니 전화번호도 받자’고 말하기 쉽고, 개발팀은 ‘일단 관리자에서 전체 목록 다운로드를 열어두자’고 말하기 쉽습니다. 그러나 MVP에서는 안 쓰는 개인정보를 받지 않는 것이 가장 강한 보안입니다. 기능을 줄이면 수집 항목, 동의 문구, DB 암호화, 관리자 권한, 삭제 요청 대응까지 함께 줄어듭니다.

4. 회원가입·로그인: 최소 기능처럼 보이지만 보안의 중심이다

회원가입 기능은 단순한 화면이 아닙니다. 이메일 중복 확인, 비밀번호 저장, 비밀번호 재설정, 소셜 로그인, 세션 유지, 탈퇴, 휴면 또는 미사용 계정 정리까지 연결됩니다. KISA 암호이용 FAQ는 비밀번호를 해시함수 적용 대상으로 설명하고, SHA-1은 취약점으로 인해 사용을 권고하지 않는다고 안내합니다. MVP 구현에서는 평문 저장은 당연히 금지하고, 단순 SHA-256만 직접 적용하기보다 salt가 포함된 bcrypt, Argon2, PBKDF2 같은 비밀번호 저장용 방식을 검토하는 것이 안전합니다. ([seed.kisa.or.kr](https://seed.kisa.or.kr/kisa/bbs/faq.do?utm_source=openai))

항목출시 전 확인현실적인 MVP 기준
비밀번호평문 저장 여부, 재설정 토큰 만료 여부비밀번호 전용 해시, 재설정 링크 10~30분 만료, 재사용 제한
소셜 로그인제공자에서 받는 프로필 항목이메일·이름 등 필요한 항목만 요청, 탈퇴 시 연결 해제 안내
세션·쿠키로그인 유지 방식, 쿠키 옵션HTTPS, HttpOnly, Secure, SameSite 적용 검토
관리자 로그인일반 회원 로그인과 분리 여부관리자 URL 보호, 2단계 인증 또는 IP 제한, 실패 횟수 제한
탈퇴탈퇴 시 어떤 데이터가 즉시 삭제·분리·보관되는지서비스 운영 데이터와 법정·정산 보관 데이터를 구분

휴대폰 본인확인, 주민등록번호, 운전면허번호, 여권번호 같은 고유식별정보는 초기 MVP에서 가급적 직접 수집하지 않는 편이 좋습니다. 정말 필요한 경우에는 본인확인기관, PG, 인증 서비스 등 전문 사업자 연동을 검토하고, 우리 DB에는 최소한의 식별키만 남기는 구조를 우선 고려해야 합니다. ‘확실한 인증’이라는 이유로 과도한 정보를 직접 저장하면 MVP의 보안·법무 난이도가 급격히 올라갑니다.

5. 관리자 권한과 접속기록: 대표도 예외가 아니다

개인정보 사고는 해킹만으로 발생하지 않습니다. 운영자가 필요 이상으로 사용자 정보를 열람하거나, 외주개발사가 장애 대응 중 운영 DB를 내려받거나, 퇴사자 계정이 남아 있는 상황도 사고의 출발점이 됩니다. 개인정보의 안전성 확보조치 기준은 접근권한을 업무 수행에 필요한 최소 범위로 차등 부여하도록 하고, 개인정보처리시스템 접속기록을 보관·관리하도록 정하고 있습니다. 접속기록은 원칙적으로 1년 이상, 5만 명 이상 정보주체 또는 고유식별정보·민감정보 처리 시스템 등은 2년 이상 보관이 요구됩니다. ([law.go.kr](https://www.law.go.kr/LSW/admRulInfoP.do?admRulSeq=2100000229672&chrClsCd=010201&utm_source=openai))

MVP 관리자 페이지는 기능보다 권한 구조가 먼저입니다. 초기에는 운영자가 2~3명뿐이라도 아래처럼 역할을 나눠두면 추후 B2B 고객사, CS 인력, 외주 운영자가 늘어날 때 구조를 갈아엎지 않아도 됩니다.

MVP 유형별 개인정보보호 준비 수준을 비교하는 SaaS 대시보드 화면
모든 MVP에 같은 보안 예산을 쓰기보다 수집 데이터와 관리자 권한 수준으로 우선순위를 정합니다.
역할볼 수 있는 정보가능한 작업금지하거나 제한할 작업
Owner결제·계정·운영 지표관리자 초대, 권한 변경, 요금제 설정일상 CS용 개인정보 열람은 최소화
Operator회원 상태, 문의, 예약·주문 처리 정보상태 변경, 답변, 제한적 수정전체 다운로드, 대량 삭제
Support문의 처리에 필요한 최소 정보문의 답변, 티켓 상태 변경비밀번호, 결제 상세, 내부 메모 전체 열람
Developer원칙적으로 운영 개인정보 접근 없음로그·에러 확인, 배포, 모니터링운영 DB 직접 조회. 필요 시 승인·기록
Auditor 또는 Read-only변경 없이 조회만검수, 정산 증빙 확인수정·삭제·다운로드

접속기록에는 최소한 누가, 언제, 어디서, 어떤 정보에 접근해, 어떤 작업을 했는지가 남아야 합니다. 더 중요한 것은 로그를 남기는 것보다 ‘로그를 보는 운영 절차’입니다. 예를 들어 매월 1회 관리자 다운로드 이력을 확인하고, 대량 조회·심야 접속·퇴사자 계정 사용을 점검하는 식입니다. 로그가 있어도 아무도 보지 않으면 사고 후 해명 자료일 뿐 예방 장치가 되지 않습니다.

6. 데이터 보관·삭제·백업은 출시 전에 결정해야 한다

창업팀이 자주 놓치는 부분은 백업입니다. 운영 DB에서 회원을 삭제해도 백업 파일, 검색 인덱스, 로그 저장소, 외부 이메일 도구, 고객상담 도구에 정보가 남을 수 있습니다. 개인정보처리방침에 ‘탈퇴 즉시 파기’라고 쓰려면 실제로 어떤 저장소에서 언제 삭제되는지 개발자가 설명할 수 있어야 합니다.

데이터 유형예시권장 판단
계정 식별정보이메일, 이름, 휴대폰 번호회원 유지 기간 동안 보관. 탈퇴 시 삭제 또는 비식별 처리 원칙
인증정보비밀번호 해시, 재설정 토큰, 로그인 세션비밀번호는 복호화 불가 저장, 토큰은 짧은 만료와 사용 후 폐기
거래·정산 정보주문번호, 결제 승인번호, 세금계산서 관련 정보상법·전자상거래 등 별도 보관 의무가 있을 수 있어 서비스별 확인
상담·문의문의 내용, 첨부파일, 상담 메모목적 달성 후 보관기간을 명확히 정하고 민감정보 입력을 제한
행동 로그접속 IP, 기기정보, 이벤트 로그보안·분석 목적과 보관기간을 구분. 식별 가능성 검토
AI 입력값프롬프트, 첨부문서, 생성 결과학습 활용 여부, 외부 API 이전 구조, 삭제 방법을 별도로 검토

AI 기능을 붙이는 경우에는 한 단계 더 봐야 합니다. 개인정보보호위원회는 생성형 AI 서비스에서 프롬프트 정보 수집 여부, AI 학습 활용 및 거부 방법, 민감정보 입력 주의, 외부 AI 모델 또는 API 연계 데이터 이전 구조 등을 처리방침에 반영할 사항으로 안내했습니다. KISA도 AI 프라이버시 리스크 관리 모델 자료를 공개해 AI 생애주기별 위험 식별과 경감 필요성을 제시하고 있습니다. ([eiec.kdi.re.kr](https://eiec.kdi.re.kr/policy/materialView.do?depth1=D0000&depth2=D0500&device=&num=282046&pg=&pp=&search_txt=&topic=&type=J&utm_source=openai))

지원사업 MVP에서 AI 챗봇, 문서 요약, 추천, 자동분류를 구현한다면 ‘AI를 붙인다’가 아니라 ‘사용자 입력이 어느 모델로 가고, 저장되는지, 학습에 쓰이는지, 삭제할 수 있는지’를 먼저 결정해야 합니다. AgentMit가 AI 기능을 설계할 때도 프롬프트 성능보다 데이터 흐름, 관리자 검수, 비용, 로그 보관 정책을 먼저 확인하는 이유가 여기에 있습니다.

7. 외주개발 보안 요구사항: 계약서보다 작업범위서가 더 중요하다

외주개발사를 쓰면 개인정보 책임이 개발사로 넘어간다고 생각하는 경우가 있습니다. 그렇지 않습니다. 개인정보 처리 업무를 제3자에게 위탁하는 경우에는 목적 외 처리 금지, 기술적·관리적 보호조치 등 필요한 사항을 문서로 정해야 하며, 위탁 업무 내용과 수탁자를 정보주체가 쉽게 확인할 수 있도록 공개해야 합니다. ([law.go.kr](https://law.go.kr/lsLawLinkInfo.do?chrClsCd=010202&lsJoLnkSeq=900079876&utm_source=openai))

다만 모든 개발 계약이 똑같은 위탁은 아닙니다. 개발사가 실사용자 개인정보가 없는 더미데이터로만 작업하고, 운영 DB와 관리자 페이지에 접근하지 않는다면 위험도는 낮습니다. 반대로 장애 대응, 운영 유지보수, DB 마이그레이션, CS 데이터 확인, 로그 분석을 맡는다면 개인정보 처리위탁 관점에서 계약·권한·기록을 설계해야 합니다.

외주개발 요구사항작업범위서에 넣을 문장 예시검수 방법
실데이터 접근 제한개발·테스트는 익명화 또는 더미데이터로 수행하며 운영 DB 접근은 발주사 승인 시에만 허용개발 DB와 운영 DB 분리 확인
계정 관리개발자별 개별 계정을 사용하고 공유 계정을 금지하며 계약 종료 시 즉시 회수클라우드 IAM, Git, 관리자 계정 목록 확인
로그와 다운로드관리자 개인정보 조회·다운로드 기능은 접속자, 일시, 대상, 작업 유형을 기록관리자 로그 화면 또는 DB 로그 샘플 확인
비밀정보 처리API Key, DB 비밀번호, 환경변수는 소스코드에 하드코딩하지 않고 비밀관리 도구 또는 환경변수로 관리Git 저장소 검색, 배포 환경 점검
취약점 수정출시 전 발견된 인증 우회, 권한 상승, 개인정보 노출 취약점은 무상 하자보수 범위에 포함검수 체크리스트와 이슈 티켓 기록
산출물 인계소스코드, 배포 문서, DB 스키마, 관리자 계정, 클라우드 권한, 백업·복구 절차를 인계외주개발 인수인계 체크리스트로 대조

지원사업비로 외주개발을 집행한다면 견적서·계약서·작업범위서·검수확인서가 서로 맞아야 합니다. ‘보안 포함’이라고 한 줄 쓰는 것보다 관리자 권한, 접속기록, 암호화, 백업, 개인정보처리방침 반영 범위를 항목별로 나누는 편이 정산과 검수 모두에 유리합니다. 사업비 증빙과 집행 구조는 지원사업 사업비 집행·정산 가이드에서 별도로 확인할 수 있습니다.

8. MVP 위험도별로 어디까지 준비할까

초기 팀은 모든 보안 항목을 한 번에 완성하기 어렵습니다. 그래서 서비스 유형별로 최소 기준과 고도화 항목을 나눠야 합니다.

MVP 유형예시최소 준비고도화가 필요한 시점
0단계: 개인정보 없음정적 소개 페이지, 다운로드 없는 포트폴리오개인정보 수집 폼 제거, 분석도구 설정 확인문의폼·뉴스레터 추가 시 1단계로 이동
1단계: 리드 수집대기자 이메일, 상담 신청, 데모 요청수집·이용 동의, 처리방침, 보유기간, 삭제 요청 채널CRM·메일툴 연동, 광고 리타게팅 시작 시 위탁·행태정보 검토
2단계: 회원제 서비스로그인, 프로필, 예약, 콘텐츠 저장비밀번호 보호, 세션 보안, 탈퇴, 관리자 권한, 접속기록결제, 고객지원, 앱 푸시, 소셜 로그인 확대 시 재점검
3단계: B2B SaaS고객사별 워크스페이스, 팀원 초대, 관리자 대시보드고객사별 데이터 분리, 역할 기반 권한, 감사 로그, 백업·복구엔터프라이즈 고객 계약, ISMS-P 요구, API 제공 시 고도화
4단계: 고위험 데이터의료, 금융, 위치, 아동, 생체, 민감정보, AI 학습 데이터출시 전 법률·보안 검토, 최소수집, 별도 동의·보호조치전문 컨설팅, 영향평가 수준 점검, 보안 인증 검토

지원사업 MVP의 현실적인 목표는 ‘대기업 수준 보안’이 아니라 ‘수집하는 데이터에 맞는 설명 가능하고 검수 가능한 구조’입니다. 심사위원이나 주관기관, 투자자, B2B 고객이 물었을 때 대표가 데이터 흐름과 보호조치를 설명할 수 있어야 합니다.

9. 4주 안에 출시해야 한다면 이렇게 정리하자

지원사업 일정상 한 달 안에 MVP를 열어야 한다면 다음 순서가 현실적입니다.

MVP 출시 전 개인정보보호와 보안 체크리스트를 검수하는 PM의 작업 화면
출시 전 마지막 주에는 기능 QA와 개인정보·보안 QA를 분리해서 점검하는 것이 좋습니다.
  1. 1주차: 데이터 맵 작성 — 수집 항목, 화면, DB, 관리자, 외부 도구, 보관기간을 표로 정리합니다.
  2. 2주차: 문서와 화면 반영 — 수집·이용 동의, 개인정보처리방침, 이용약관, 마케팅 선택동의, 탈퇴·문의 채널을 구현합니다.
  3. 3주차: 로그인·관리자·DB 보안 — 비밀번호 저장, 세션, 관리자 권한, 접속기록, 다운로드 제한, 백업 정책을 확인합니다.
  4. 4주차: 외주 산출물과 운영 리허설 — 운영 DB 접근권한, 클라우드 계정, 배포문서, 장애 대응, 삭제 요청 처리, 로그 점검 절차를 검수합니다.

이 과정에서 가장 많이 나오는 실수는 ‘개발 완료 후 개인정보처리방침을 써달라’는 요청입니다. 처리방침은 문서 작성자가 혼자 만들 수 없습니다. 개발자가 DB와 로그 구조를 설명하고, 대표가 보유기간을 결정하고, 마케터가 광고·CRM 도구를 알려줘야 정확해집니다.

10. 출시 전 반드시 피해야 할 7가지

  • 실제 고객 개인정보가 들어 있는 엑셀을 카카오톡, 개인 메일, 외주개발사 개인 노트북으로 공유하는 것
  • 관리자 계정을 하나만 만들어 대표, 직원, 외주개발사가 함께 쓰는 것
  • 비밀번호를 평문 또는 복호화 가능한 방식으로 저장하는 것
  • 주민등록번호, 신분증, 건강정보, 위치정보를 ‘나중에 쓸 수도 있다’는 이유로 먼저 받는 것
  • 개인정보처리방침에 없는 CRM, 이메일 발송, 채팅 상담, AI API 도구를 실제로 쓰는 것
  • 회원 탈퇴 기능은 만들었지만 백업·첨부파일·외부 도구에 남은 데이터를 관리하지 않는 것
  • 외주개발 종료 후 Git, 클라우드, DB, 관리자 계정 회수를 하지 않는 것

개인정보보호위원회의 개인정보배움터에는 개인정보 처리자 대상 온라인 교육 과정도 운영되고 있으므로, 대표나 PM이 최소한의 제도 이해를 갖추는 데 활용할 수 있습니다. ([edu.privacy.go.kr](https://edu.privacy.go.kr/?utm_source=openai))

AgentMit는 어디에서 도울 수 있나

AgentMit는 정부지원사업 신청을 대행하거나 선정 가능성을 보장하는 기관이 아닙니다. 대신 선정 전후의 창업팀이 MVP 기능 범위, 견적서, 작업범위서, 개인정보 수집 구조, 관리자 권한, 클라우드·DB 보안, AI 기능 데이터 흐름을 실제 개발 가능한 형태로 정리하도록 돕는 구현 파트너입니다.

예를 들어 웹서비스·SaaS·관리자 대시보드·AI 자동화 기능을 만들 때, 처음부터 모든 보안 인증을 목표로 하기보다 지원사업 예산과 일정 안에서 출시 가능한 최소 준수 범위를 정하고, 이후 고객 수·데이터 민감도·B2B 요구에 맞춰 고도화 로드맵을 잡을 수 있습니다. 내부 운영 자동화나 관리자 업무 흐름이 함께 필요하다면 BizMit 같은 업무 시스템 관점으로도 설계를 확장할 수 있습니다.

지원사업 선정 후 MVP 개발을 앞두고 있다면, 개발 견적을 받기 전에 먼저 ‘우리가 어떤 개인정보를 왜 받고, 누가 보고, 언제 지우는가’를 한 장으로 정리해 보세요. 그 표가 있어야 개인정보처리방침도, 외주개발 보안 요구사항도, 관리자 페이지도 흔들리지 않습니다. AgentMit 상담이 필요한 경우 제작 문의를 통해 MVP 범위와 개인정보·보안 체크리스트를 함께 검토할 수 있습니다.

FAQ

Q1. 정부지원사업 MVP도 개인정보처리방침이 꼭 필요한가요?

회원가입, 문의, 예약, 결제, 대기자 신청처럼 개인을 알아볼 수 있는 정보를 처리한다면 MVP라도 개인정보 처리방침을 준비해야 합니다. 개인정보 보호법은 개인정보처리자가 처리방침을 정하고 공개하도록 규정하고 있습니다. ([law.go.kr](https://law.go.kr/LSW/lsInfoP.do?lsiSeq=270351&utm_source=openai))

Q2. 회원가입 없이 이메일 대기자만 받으면 어느 정도만 준비하면 되나요?

이메일만 받더라도 수집 목적, 수집 항목, 보유기간, 삭제 요청 방법을 안내해야 합니다. 대기자 모집 종료 후 실제로 더 보관할 이유가 없다면 파기 기준도 정해야 하며, 이메일 발송 도구를 쓰면 처리위탁 여부도 확인해야 합니다.

Q3. MVP에서 비밀번호와 전화번호는 어떻게 암호화해야 하나요?

비밀번호는 복호화할 수 없는 방식으로 저장해야 하며, 전화번호는 업무상 복호화가 필요한 경우가 많아 접근권한 제한, 전송구간 암호화, 저장 암호화 여부를 함께 판단해야 합니다. KISA는 비밀번호를 해시함수 적용 대상으로 설명하고 SHA-1 사용을 권고하지 않는다고 안내합니다. ([seed.kisa.or.kr](https://seed.kisa.or.kr/kisa/bbs/faq.do?utm_source=openai))

Q4. 외주개발사도 개인정보 처리위탁 대상인가요?

개발사가 운영 DB, 관리자 화면, 사용자 문의 데이터, 로그에 접근한다면 처리위탁으로 보는 것이 안전합니다. 이 경우 위탁업무 목적 외 처리 금지, 보호조치, 수탁자 공개 등을 계약과 처리방침에 반영해야 합니다. ([law.go.kr](https://law.go.kr/lsLawLinkInfo.do?chrClsCd=010202&lsJoLnkSeq=900079876&utm_source=openai))

Q5. 지원사업 예산 안에서 보안까지 어디까지 해야 하나요?

초기 MVP는 데이터 흐름 정리, 동의·처리방침, 안전한 로그인, 관리자 권한, 접속기록, 백업·삭제, 외주 보안 요구사항을 우선 구현하는 것이 현실적입니다. 민감정보, 아동, 의료, 금융, 위치, AI 학습 데이터가 포함되면 별도 법률·보안 검토를 예산과 일정에 반영하는 편이 좋습니다.

참고한 공식 자료

  • K-Startup 창업지원포털: 창업지원사업 공고와 일정 확인 기준으로 참고했습니다. ([k-startup.go.kr](https://www.k-startup.go.kr/web/main/index.do))
  • 2026년 초기창업패키지 일반형 모집 공고: 지원사업 선정 후 MVP 개발 맥락을 설명하기 위한 사례로 참고했습니다. ([bizinfo.go.kr](https://www.bizinfo.go.kr/sii/siia/selectSIIA200Detail.do?pblancId=PBLN_000000000117819))
  • 개인정보보호위원회 개인정보 처리방침 표준안 및 작성지침 설명회 자료: 처리방침, 생성형 AI, 수탁자, 행태정보 관련 설명에 참고했습니다. ([pipc.go.kr](https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS217&mCode=G010030000&nttId=11838))
  • 개인정보 보호법 및 개인정보의 안전성 확보조치 기준: 처리방침, 안전조치, 접근권한, 접속기록, 위탁 요구사항 정리에 참고했습니다. ([law.go.kr](https://law.go.kr/LSW/lsInfoP.do?lsiSeq=270351&utm_source=openai))
  • KISA 암호이용활성화 FAQ와 AI 프라이버시 리스크 관리 모델: 비밀번호·암호화와 AI 기능의 개인정보 위험 점검에 참고했습니다. ([seed.kisa.or.kr](https://seed.kisa.or.kr/kisa/bbs/faq.do?utm_source=openai))

자주 묻는 질문

정부지원사업 MVP도 개인정보처리방침이 꼭 필요한가요?
회원가입, 문의, 예약, 결제, 대기자 신청처럼 개인을 알아볼 수 있는 정보를 처리한다면 MVP라도 개인정보 처리방침을 준비해야 합니다. 단순 소개 페이지라도 이메일 문의폼을 받는 순간 수집 목적, 항목, 보유기간을 정리하는 것이 안전합니다.
회원가입 없이 이메일 대기자만 받으면 어느 정도만 준비하면 되나요?
이메일만 받더라도 수집·이용 동의 문구, 개인정보처리방침 또는 간이 안내, 보유기간, 삭제 요청 방법은 필요합니다. 대기자 모집이 끝났는데 계속 보관할 이유가 없다면 파기 기준도 정해야 합니다.
MVP에서 비밀번호와 전화번호는 어떻게 암호화해야 하나요?
비밀번호는 복호화할 수 없게 저장해야 하며, 실무적으로는 salt가 포함된 bcrypt, Argon2, PBKDF2 같은 비밀번호 전용 해시 방식을 검토합니다. 전화번호는 업무상 검색·알림에 쓰이는 경우가 많아 전송구간 암호화, 접근권한 제한, 필요 시 저장 암호화를 함께 판단해야 합니다.
외주개발사도 개인정보 처리위탁 대상인가요?
개발사가 운영 DB, 관리자 화면, 사용자 문의 데이터, 로그에 접근한다면 처리위탁으로 보는 것이 안전합니다. 반대로 더미데이터로만 개발하고 실제 개인정보 접근이 없다면 위탁 범위가 달라질 수 있으므로 계약서와 작업범위서에 접근 범위를 명확히 써야 합니다.
지원사업 예산 안에서 보안까지 어디까지 해야 하나요?
초기 MVP는 고가 컨설팅보다 데이터 흐름 정리, 동의·처리방침, 안전한 로그인, 관리자 권한, 접속기록, 백업·삭제, 외주 보안 요구사항을 먼저 구현하는 것이 현실적입니다. 민감정보, 아동, 의료, 금융, 위치, AI 학습 데이터가 포함되면 별도 법률·보안 검토를 예산에 반영하는 편이 좋습니다.
  • Company. 주식회사 에이전트밋
  • Addr.부산광역시 부산진구 서전로 8, 8층 101호 DD-33,34호(부전동) CEO. 윤성훈 Email. agentmit@naver.com
  • BR. 333-87-04232 TEL. 0507-1314-2790
Copyright © 2026 ~ 에이전트밋. All rights reserved.