개인정보 영향평가라고 하면보통은 법령, 동의서, 약관 같은 “문서 일”을 떠올리는 경우가 많은데,실제로 해보면 인프라·보안 아키텍처를 보는 시간이 꽤 길다.특히 시스템 규모가 큰 조직에서는한 서비스 안에서도 온프레미스, 클라우드, 제3자 시스템이섞여 있는 경우가 많아서네트워크 구조를 이해하는 게 먼저일 때가 많았다.제가 평가 업무를 하면서개인적으로 자주 들여다보게 된 인프라 쪽 포인트들을간단히 정리해 본다.인터넷 구간과 내부망 구간이 어떻게 나뉘는지가장 먼저 보는 건“어디까지가 인터넷에서 바로 닿는 구간인지”였다.외부에서 직접 접근 가능한 웹·앱 서버그 뒤에 붙어 있는 WAS, API 서버내부 전용 시스템, 백오피스, DB, 로그 서버이 레이어들이 어떻게 나뉘어 있는지에 따라적용해야 할 보안 수준이 달라..