고객사 개인정보보호법 보안 요구사항에 대한 대응. Part 1

안녕하세요,

본 글에서는 국내 소규모 플랫폼 기업에서 보안담당자로서 고객 개인정보 요구사항을 검토한 사례에 대해 말씀 드리겠습니다.

당시 회사는 B2B (Business to Business) 형태의 서비스를 제공했습니다. 여러 고객사를 중 Enterprise 급¹ 고객의 보안 요구사항은 매우 까다로웠습니다.

국내 정보보호 관리체계에서 다루는 위 관련 인증 기준은 아래일 것으로 생각합니다. ²

• ●2.3.2 외부자 계약 시 보안: 외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시하여야 한다.

보안팀에서 위 내용을 최초 인지한 시점부터, 유관 부서와 어떻게 커뮤니케이션을 진행했는지, 고려사항은 무엇인지 등에 대해 개략적으로 다루겠습니다. 업무 특성상 구체적 내용을 다룰 수 없는 점은 양해 부탁 드리겠습니다.

• ●영업(+ 기획 부서)로부터 검토 요청

국내 고객사로부터 “개인정보보호법령 > 개인정보처리시스템” 관련 기술적으로 function 을 추가해 달라는 요구사항이 있었습니다. 이때 보안팀에서 관련 요구사항을 직접적으로 고객과 소통하지 않고, 최초 영업 부서를 통해 접수된 고객 요구사항은 기획부서가 1차 검토를 마친 후, IT 컴플라이언스 측면에서 보안팀에 질의 및 검토를 요청하는 방식으로 업무가 진행되었습니다.

다소 인상깊었던 점은 기획부서 담당자가 고객 요구사항을 이해해 제품에 적용하는 측면을 넘어서, 법령적인 부분까지도 심도있게 검토한 부분 입니다. 소규모 회사 특성 상, 업무를 맡은 담당자가 빠르게 일을 진행시켜야 합니다. 또한 부서간 업무 R&R 측면에서 다소 holes 이 있는 것은 사실이지만 그럼에도 불구하고 타 부서의 업무를 이해하려고 노력한 부분에서 배울점이 있다고 생각합니다.

• ●보안팀 검토 (+ 관련 부서 회의)

기획팀에서 기 검토한 내용을 바탕으로 실무 회의를 한 차례 가졌습니다. 이때 개인정보보호 측면에서 다음과 같은 주안점을 두고 검토 했습니다.

• ●해당 회사에만 적용되는 법령인가? 또는 다른 고객사에도 적용되는 내용인가?

• ●각 회사 관련법령에 위반되는 사항인가? 또는 단순 보안 기능 개선인 사항인가?

• ●타 사 적용사례가 존재하는가?

• ●일정은 어떻게 되는가? 등

¹ 쉽게 예를 들면, 1000명 이상 대규모 직원을 보유한 기업

  ² 고객사 입장에서 필자 회사를 외부자로 보았을 때, 최우선적으로 적용되는 인증기준이라고 판단

기획 부서 담당자가 잘 검토해준 덕분에 시간이 절약되었지만 그럼에도 중요하게 확정지어야 할 사항이 존재했습니다. 주로 아래와 같습니다.

• ●용어적 측면: 예를 들어, 요구사항 내 ‘개인정보처리자’에 대한 정의를 필자의 회사로 보고 검토하는 것이 맞는가, 혹은 고객사를 개인정보처리자로 보고 검토하는 것이 맞는가?

• ●법령 적확성 측면: 실무자 간 해석한 법령 내용이 정확한가? 법에 위반되지는 않는가?

Figure 1. 기획 부서 요청 및 질의사항(예시)

필자 회사 특성 상, 사내 법무팀이 존재하지 않았습니다. 회의 당시 이해 관계자들끼리는 만장일치로 합의된 부분이었으나, 회의가 끝나고 회의 내용을 정리하며 재 검토한 결과, business impact 이 큰 사항이고, 향후 법령 준수 측면에서 문제가 제기될 가능성도 있으므로 유권해석이 필요했습니다. 따라서, 개인정보보호법령 해석을 위해 “국민신문고 > 온라인 민원”³을 통해 질의하기로 결정했습니다.

• ●그 외

³ 기업 및 공공기관의 개인정보보호 관련 법령질의 및 유권해석은 개인정보보호위원회로 문의 가능 바로가기: 개인정보보호위원회(www.pipc.go.kr) > 국민참여 > 민원마당 > 온라인 민원 > 민원신청

필자 회사 특성 상 회의에 따른 별도 회의록 작성 등 형식적 절차 없이, 협업툴을 통해 실무자간에 빠르게 업무관련 추가 F/U 사항을 공유하고 소통하는 시간을 가졌습니다. 특히 F/U 사항은 업무카드를 생성해 누락이 없도록 했습니다.

Figure 2. 담당자 간 협업 메시지(DM) (예시)

다만, 두 가지 아쉬운 점이 있었습니다.

첫번째는 최초 고객사와 요구사항에 대해 협의하는 과정에 대한 아쉬움 입니다. 보안팀에 비해 상대적으로 영업 부서와 기획 부서는 전문성이 떨어질 수 밖에 없다고 생각합니다. 앞서 보안팀은 기획/영업부서에서 정리한 배경, 요구사항만 접할 수밖에 없었으나, 만약 최초 고객사와 협의하는 시점에 involvement 되었다면 배경을 좀더 디테일하게 이해하거나, 필요하다면 추가 질의를 함으로써 요건을 좀더 명확히 할 수 있었을 것 입니다.

두번째는 사내 법무팀의 부재 입니다. 보안팀 내부적으로 개인정보보호법령 등 정보보호 관련 법령을 실무측면에서 다룰 수는 있으나, 법조인과 비교했을 때 관련 법률지식에 대한 이해도, 범위, 유권해석 등 제약이 따를 수 밖에 없습니다. 중요한 유권해석이 필요한 경우, 개인정보보호위원회(또는 한국인터넷진흥원) 등 정부기관에 문의하게 되는데 이때 회사 법인 정보 등이 공개되므로 관련 리스크를 완전히 배제할 순 없다고 생각합니다.

필자의 경험에 비추어 판단해 보면, 이용자 수, 매출 규모 등이 점점 커져가거나 또는 일정 규모의 중견/대기업의 경우, 사내 법무팀의 존재는 회사 영속성과도 직결되는 중요한 부분이라고 생각합니다.