[보안맨] 개인 정보 처리 수탁사 점검 방안

안녕하세요,

이번 주제는 "외국계 IT 기업의 개인 정보 처리 수탁사 점검 방안"입니다.

한국을 비롯한 다양한 나라에서 비즈니스를 영위하는 외국계(또는 글로벌) 기업의 경우, 여러 정보 보안 및 개인 정보보호 관련 규제를 준수해야 합니다. 대표적으로, 유럽 EU 연방의 개인 정보보호 규정인 GDPR (General Data Protection Regulation), 국내 개인정보보호법 등 이 있습니다.

기업에서 여러 유형의 개인 정보를 자체적으로도 처리하지만 비용, 회사 계획 등 다양한 사유에 따라 협력업체에 개인 정보 처리 업무를 위탁하기도 합니다. 예를 들어 고객 콜센터의 경우, 많은 금융회사들이 자체 전담반보다는 아웃소싱 형태의 서비스를 구성합니다. 이때 위탁을 요청하는 기업을 '위탁사', 위탁을 요청받은 협력업체를 '수탁사'로 지칭합니다.

필자의 경험을 토대로, 외국계 기업에서 수탁사 점검 절차 진행 시 발견한 이슈점 및 개선 방안, 본사의 요구사항 반영 등 제반 업무에 대해 아래 세 가지 단계로 정리해 보겠습니다.

● 현황 파악

● 벤더(incl. 수탁사) 보안성 검토 프로세스 개선/통합

● 점검 실시

Step1. 현황 파악

작년, 재작년 개인 정보 처리 수탁사 점검 현황 파악 시, 주로 다음과 같은 문제점을 확인할 수 있었습니다.

● 일부 대고객 서비스 관련 '개인 정보 처리 방침' 내 기재된 국내 수탁사만 점검 실시

● 해외 수탁사 (e.g. AWS)의 경우, 관리/감독(점검)의 어려움 등으로 수탁사 점검을 실시하지 않음

● 회사 내 공식적인 수탁사 점검 지침 또는 절차가 존재하지 않음

● 국내 수탁사 점검에 따른 개선사항에 대한 이행 점검이 시행되지 않음 등

위 내용 중 특히 점검해야 할 수탁사 범위가 불분명한 점, 공식적인 절차가 부재한 점에 대해 빠른 개선이 필요했습니다. 작년, 재작년 점검을 실시한 보안 담당자가 개인 정보보호 법령 등 지식이 부족한 상황이었으므로, 필자는 개인 정보보호 법령 및 KISA에 발간한 '개인 정보 처리 위/수탁 안내서'를 근간으로 개선방안을 제시했습니다.

결과적으로, 법률 부서 및 이전 담당자와 최종 협의를 통해, 위 문제점을 개선하는 방향으로 업무 계획을 수립할 수 있었습니다.

Step2. 벤더(incl. 수탁사) 보안성 검토 프로세스 개선/통합

위 Step1 관련 현황 파악 중인 시기와 맞물려, 본사에서 vendor management에 대한 체크리스트 기반 관리를 수행하라는 요구가 있었습니다. 대략 아래와 같은 categories로 구분되었습니다.

● 공급업체 기본 정보

● 개인 정보 / 비 개인정보 공유 현황

● 데이터 보안

● 정보보호 실천사항

당시, 본사에서 요구하는 벤더 관리의 배경/목적 및 벤더에 대한 정의가 불분명해 본사 담당자와 지속적인 커뮤니케이션을 진행했습니다. 결론적으로, 개인 정보 처리 수탁업체보다 광의의 개념으로 해석했습니다. 이에 따라 국내 개인 정보보호법령 및 관련 고시 등에서 요구하는 개인 정보 안전성 보호 조치(가칭)와 본사 체크리스트를 통합한 벤더 보안성 체크리스트를 마련했습니다. 본사 담당자 측에 국내 개인 정보보호 법령의 이해를 돕기 위해, 국가법령정보센터 (www.law.go.kr) 내 개인 정보보호법 관련 주요 내용을 영문화해 전달했습니다. 최종 논의 후, 상대적으로 국내 법령 내 빈약한 데이터 보안은 본사의 요구사항을 반영하고, 정보보호 실천사항 영역은 국내 개인정보 안전성 보호 조치 기준을 채택하는 것으로 의견을 모았습니다.

Figure 1. 벤더 보안성 체크리스트 (예)

통합된 체크리스트 마련과 병행해, 내부 공식 절차서를 수립했습니다.  특히, 수탁사 점검 방식/절차 관련 법률부서와 여러 차례 회의를 진행했습니다. 수탁사 점검이 유명무실해지지 않도록 벤더 (incl. 수탁사) 계약 체결 전후 반드시 위 체크리스트에 기반한 점검이 실시되도록 내규화했습니다. 또한 연 1회 이상 정기적인  벤더 점검이 진행되고, 미진한 부분에 대해서는 업체에 적절한 개선대책을 요청하도록 규정을 마련했습니다.

Step3. 점검 실시

최근 코로나의 연이은 확산세로 인해, 현장 실사는 어려운 상황이었습니다. 마침, 본사에서 vendor management를 위해 Onetrust라는 privacy 관련 솔루션을 사용해야 한다는 요청이 있었습니다. 처음에는 사용이 익숙하지 않아 어려움이 있었지만, 단점보다는 장점을 더 많이 확인할 수 있었던 솔루션이었습니다. 특히,

1) 업체에 체크리스트를 전산 형태로 제공해, 지속적으로 업데이트/확인 요청

2) 문서의 분실 없이 쉽게 접근해 과거 이력을 확인

3) 벤더 보안성 체크리스트 진척 현황에 대한 가시성  제공

등 이 기대 이상이었습니다.

Figure 2. Onetrust 점검 화면 (예)