[CxO를 위한 정보보안] 개인정보 처리업무 위탁자의 관리·감독 책임
우리나라 산업 중에는 금융, 이동통신, 학습지 등 개인정보를 기반으로 하는 업종이 많다.
별로 눈에 띄지 않지만 미용실, PC방, 학원, 치킨집 등 소규모사업자, 병원, 약국 등 민감한 건강정보를 다루는 사업자, 포털, 소셜네트워크서비스(SNS), 쇼핑몰 등 인터넷 서비스를 위해 개인정보를 수집, 이용하는 기업을 포함하면 개인정보 처리사업자 수는 기하급수적으로 늘어난다. 행정자치부에 따르면 이러한 사업자가 71만개 정도 된다고 한다.
그 중 많은 사업자들이 회원 모집, 물품 배송, 이벤트, 콜센터, 결제, 홈페이지 및 인터넷 서비스의 개발과 운영 등 개인정보의 수집, 이용, 관리, 제공, 파기의 개인정보 생명주기 곳곳에서 개인정보를 협력업체(수탁자)에 맡겨 처리한다. 개인정보 사고가 수탁자를 통해 종종 발생하는 이유다.
법적으로 보면 개인정보 처리업무를 위탁한다고 해서 위탁자의 개인정보보호 의무가 없어지지 않는다. 고객은 수탁자가 아니라 위탁자에게 개인정보를 맡겼고, 위탁자는 자신의 서비스를 고객에게 제공하기 위해 고객의 개인정보 처리를 수탁자에게 맡겼기 때문이다.
개인정보보호법에서는 개인정보 처리업무를 위탁할 때 수탁자에 관한 위탁자의 의무를 다음과 같이 규정하고 있다.
(1) 수탁자 선정 시 의무(표준 개인정보보호 지침 제19조 제1항)
(2) 수탁자 교육 의무(제26조 제4항)
(3) 수탁자 관리·감독 의무(제26조 제4항)
(4) 손해배상 의무(제26조 제6항)
(정보통신망법에서도 개인정보보호법과 유사하게 개인정보 취급업무를 위탁할 때 수탁자에 관한 위탁자의 의무를 규정하고 있다(제25조 제4항, 제5항)).
먼저 수탁자 선정시 의무는 표준 개인정보보호 지침(행정자치부 고시)에서 규정하고 있다. 개인정보처리자가 개인정보 처리업무 수탁자를 선정할 때 ‘인력과 물적 시설, 재정 부담능력, 기술보유의 정도, 책임 능력’ 등을 고려해야 한다.
또한 방송통신위원회가 발간한 <온라인 개인정보 취급 가이드라인>(2014)에서는 ‘개인정보 취급을 위탁하고자 할 때에는 수탁자의 개인정보 보호조치 능력 등을 고려’해야 한다고 돼 있다.
컨설팅업체의 사전 점검을 통해 일정 점수 이상을 받아야 개인정보 처리업무 수탁자의 자격을 부여한다면 이 의무를 높은 수준으로 지키는 것이다.
수탁자 선정 시 정보보호 관련 인증 취득, 정보보호 전담조직의 구성과 정보보호최고책임자(CISO)의 지정 등도 이를 위해 고려할 수 있는 요소다. 어떤 경우든 개인정보 처리업무 수탁자를 선정할 때 비용만 고려한다면 위탁자의 의무를 다하지 못한 것이다. 수탁자 선정 시 고려사항은 이후 위탁계약을 갱신할 때에도 고려해야 한다.
위 (3)의 수탁자 관리·감독 의무는 그 동안 여러 자리에서 다뤄졌던 내용이지만 여기에서는 좀 다른 측면에서 검토하고자 한다.
2014년 1월 카드사 개인정보 유출사태가 수탁자 소속 직원에 의한 것으로 드러나면서 위탁자의 수탁자 관리·감독 책임이 크게 강화되었다. 대표적으로 같은 해 5월에 위탁자가 관리·감독을 소홀히 해 수탁자가 제4장(개인정보의 보호) 즉 제22조~제32조의2의 조항을 위반했을 때 위반 매출액의 3퍼센트 이하의 과징금을 부과할 수 있도록 정보통신망법이 개정되었다(제64조의3 제1항 제5의2호).
정부의 수탁자 점검→수탁자의 제4장 조항 위반 행위 발견→위탁자의 관리·감독 범위 내 행위 확인→위탁자의 관리·감독 소홀과의 인과 관계 확인으로 이어진다면 이 과징금 조항이 적용될 가능성이 있다.
정부 역시 개인정보 사고를 줄이기 위해 작년 한 해 동안 개인정보 수탁자 점검을 중점적으로 수행해 왔다.
특히 소규모 개인정보처리자의 경우 수탁자에 대한 의존도가 높으면서도 수탁자에 대한 관리·감독은 제대로 하기 어려울 것이고, 수탁자 중에는 수백개 기업의 개인정보 처리업무를 위탁받아 수행하는 기업도 적지 않기 때문에 수탁자의 개인정보보호 수준을 높이는 것이 위탁자를 포함한 전체 기업의 개인정보의 보호 수준을 높이는데 크게 기여한다는 데에는 이론의 여지가 없다.
구체적으로 살펴보면 수탁자에는 크게 3가지 종류가 있다.
첫째, 본인인증기관, 결제대행(PG)사, 택배사 등 인터넷 서비스를 한다면 업종과 관계없이 대부분 사용하면서 규모가 크고, 그 수는 매우 한정되어 있는 수탁자들이다.
둘째, IT서비스 개발·운영 사업자로서 개인정보를 대량으로 갖고 있는 회사이다. 규모가 그리 크지 않고, 업종별로 특화된 경우가 많다.
예를 들어 소규모 인터넷 쇼핑몰, 자영업자, 병의원, 약국 등의 IT업무를 위탁받아 개발·운영하는 업체들이 있다.
셋째, 소규모 사업자들이다. 인터넷 쇼핑몰의 판매자(seller)들이 대표적인데, 이들은 규모가 천차만별이고 심지어 시골에서 쇼핑몰에 계정 하나 열어서 제공하는 곳도 있다.
먼저 첫 번째 종류의 수탁자가 ‘개인정보를 안전하게 처리하는지’(개인정보보호법), 또는 ‘제4장의 조항을 위반하지 아니하도록’(정보통신망법) 위탁자가 관리·감독하는 것은 현실적이지 않다.
이러한 대형 수탁자가 웬만한 위탁자보다 개인정보를 보호할 역량이 더 좋을 수 있고, 수탁자 입장에서 보면 위탁자가 너무 많아서 점검에 대응하는 데 인력과 시간이 상당히 들기 때문에 점검을 모두 수용하기도 어렵다. 이러한 경우 위탁자는 해당 법규를 준수했다는 것을 입증할 적절한 ‘증적’을 확보하기 위한 관리·감독 행위를 하게 된다.
이에 관해 이미 방통위에서 만든 규정이 있다.
‘해당 수탁자가 정보통신망법 또는 다른 법률에 따라 개인정보 보호조치 등에 대한 별도의 관리・감독을 받고 있는 경우’에는 위탁자가 관리・감독할 필요가 없다고 하면서 그 예로 본인확인기관과 통신과금서비스제공자(이상 정보통신망법), 공인인증기관(전자서명법), PG사(전자금융법)을 들고 있다. (방송통신위, 온라인 개인정보 취급 가이드라인, 2014)
전문가 입장에서 볼 때 효율적이고도 효과적인 규정이다. 다만 이것이 현실화되기 위해서는 이 규정을 법적 효력이 있는 법규에 포함시킬 필요가 있다.
두 번째 종류에 포함되는 한 수탁자의 정보보호최고책임자 겸 개인정보보호책임자(CPO)에 따르면, 한 주일에 두세 번은 관리·감독을 위한 위탁자의 방문이 있어서 그들에게 설명하고 요구하는 데이터를 제공하고 수정사항을 반영하는 것에 상당한 노력이 들어간다고 한다.
문서를 미리 만들어 설명하며 업무를 효율적으로 처리하려고 하지만, 위탁자가 한 마디씩 하면 그걸 모두 챙겨야 한다. 관련 사업을 하기 위해서는 당연한 일이라고 할 수도 있지만 중소규모의 수탁자에서 관련 법규를 준수하기 위해 상당한 비용이 들어간다는 점은 분명해 보인다.
이러한 문제를 해결하는 방식의 하나로 <그림 2>와 같은 ‘공동 점검’을 시행해 보면 어떨까 한다.
여러 위탁자가 공통 점검목록을 만들고, 공동팀을 꾸리거나 컨설팅업체에 위탁해 수탁자를 점검하는 방식이다. 위탁자로서는 (1) 다른 업체들과 공동으로 점검팀을 구성하므로 투입 비용을 줄일 수 있고 (2) 역량 있는 점검팀을 구성해 점검의 실효성을 높일 수 있으며, 수탁자 역시 (3) 받아야 할 점검 횟수와 시간을 줄일 수 있고 (4) 점검 받은 수탁자는 다른 위탁자의 개인정보 처리업무를 위한 기본 요건을 갖추게 되므로, 위탁자와 수탁자에게 모두 이익이 된다. 수탁자가 많은 업종에서 먼저 시작해 볼 수 있지 않을까 싶다.
앞에서 언급했던 방통위 가이드라인의 내용을 좀 더 확대하는 것도 좋은 방안이 될 것 같다. 현 가이드라인에서는 법률에 따라 관리·감독을 받고 있는 수탁자는 위탁자가 관리·감독할 필요가 없다고 되어 있는데, 이를 법률에 따른 정보보호 관련 인증을 받은 수탁자들에게까지 확대하는 것이다.
법에서 규정한 정보보호 관련 인증으로는 정보보호 관리체계(ISMS) 인증(정보통신망법)나 개인정보보호 관리체계(PIMS) 인증(정보통신망법, 개인정보보호법), 정보보호준비도 평가(정보보호산업법)가 있다.
이러한 인증을 갱신하기 위해서는 1년에 한두 번 현장 심사를 하는데, 법에 규정한 정보보호 인증의 심사기관이 위탁자보다 대상 업체를 더 체계적이고 상세하게 점검할 것이므로 위탁자의 관리·감독을 갈음하거나 보완할 수 있을 것으로 보인다. 담당 부처에서 심도있게 검토해 주면 좋겠다.
개인정보 보호에 관한 법적 의무가 강화되면 기업 입장에서는 법규 준수를 위한 최소한의 방안을 찾게 되고, 이의 문제점이 지적되면서 다시 법의 강화로 이어지곤 한다. 이러한 악순환의 고리를 끊고 이용자의 개인정보 보호수준 향상이란 법의 취지를 달성할 수 있는 현실적인 방안을 업계와 관련 부처가 함께 찾을 수 있기를 바란다.
<강은성(CISO Lab 대표, 정보보호포럼 부의장)>
[IT백과] 생성형AI의 진화 ‘AI 에이전트’, 기존 AI 비서와 뭐가 다를까?
2024-12-21 13:27:59[종합] AI 초격차 확보 공고히 한 오픈AI…12일간 여정 끝엔 ‘쩐의전쟁’ 남았다
2024-12-21 11:15:25오픈AI, o1보다 더 강력한 o3 예고…개발자·연구자 대상 사전 테스트 실시
2024-12-21 08:02:48