개인정보보호 업무를 하다 보면 가장 골치 아픈 순간 중 하나가 바로 '위탁 계약'입니다. 우리 회사의 보안을 아무리 철저히 구축해도, 우리 데이터를 가져가는 수탁사가 뚫리면 결국 책임과 비난의 화살은 우리를 향하기 때문입니다.
오늘은 개인정보 처리 위탁 시 계약서에 반드시 포함해야 할 법적 사항과 함께, 보안담당자로서 현장에서 느끼는 뼈아픈 현실과 고충을 공유해보려 합니다.
1. 법이 정한 '필수 6가지'는 기본 중의 기본
개인정보보호법 제26조에 따라 위탁 계약 시 아래 내용은 반드시 문서(계약서 등)에 포함되어야 합니다. 이는 선택이 아닌 의무입니다.
- 위탁업무 수행 목적 외 개인정보 처리 금지
- 개인정보의 기술적·관리적 보호조치에 관한 사항
- 위탁업무의 목적 및 범위
- 재위탁 제한에 관한 사항
- 개인정보에 대한 접근 권한 확인 등 안전성 확보 조치 현황 점검에 관한 사항
- 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항
2. 하지만 현실은 법전보다 훨씬 가혹합니다
법에는 '실태점검'을 하라고 되어 있지만, 현장에서 느끼는 온도 차는 극명합니다.
- "배 째라"는 수탁사: 규모가 작은 업체는 "이런 요구까지 하면 계약 못 한다"고 나오고, 신용평가사나 PG사 같은 거대 기업은 "우리는 원래 실태점검 안 받으니 싫으면 계약하지 마세요"라는 태도로 일관합니다. 스타트업 담당자 입장에서는 서비스 운영을 위해 울며 겨자 먹기로 도장을 찍을 수밖에 없는 '갑을 역전'의 상황이 비일비재하죠.
- DPA의 함정: 글로벌 기업들은 자신들의 DPA(Data Processing Addendum)를 내밀며 수정 불가 방침을 고수합니다. 하지만 꼼꼼히 뜯어보면 국내법이 요구하는 필수 항목이 누락된 경우가 수두룩합니다.
3. ISMS 인증서가 면죄부는 아닙니다
많은 수탁사가 "우리 ISMS 인증 받았으니 현장 점검은 생략하겠다"고 주장합니다. 하지만 개인정보보호위원회는 분명히 밝히고 있습니다. ISMS 인증서 확인만으로는 위탁 점검 의무를 다했다고 볼 수 없다는 점을요.
백신조차 제대로 설치되지 않은 영세 업체, 접근제어와 권한분리가 남의 나라 이야기인 곳들이 여전히 많습니다. 이런 곳에서 사고가 터지면 수탁사는 "돈이 없어서 어쩔 수 없었다"고 하지만, 우리 회사가 입을 이미지 타격과 과징금은 누가 보상해줄까요?
4. 현업 부서에 전하고 싶은 간곡한 메시지
보안팀에서 "위탁사 선정 전에 보안 검토 받아라", "현황 파악해달라"고 외치는 건 여러분을 괴롭히기 위해서가 아닙니다.
- 보안은 '우리 모두'의 책임: 현업 부서에서 독단적으로 계약한 수탁사가 사고를 치면, 그 책임은 고스란히 우리 회사 전체의 몫이 됩니다.
- 보안팀은 '방어막': 계약 체결 전 보안 검토는 나중에 발생할지 모를 거대한 리스크를 미리 차단하는 가장 저렴하고 효율적인 방법입니다.
마치며
위탁 관리, 정말 어렵습니다. 인력은 없고 수탁사는 비협조적이며 내부 소통도 쉽지 않죠. 하지만 이 포스팅을 보시는 보안 담당자님들, 우리가 포기하면 회사의 데이터는 무방비로 노출됩니다.
비록 현실은 '계약서 쪼가리 하나 넣기도 벅찬' 상황일지라도, 끊임없이 현업을 설득하고 수탁사를 압박하는 그 과정 자체가 우리 회사를 지키는 가장 실질적인 보안 활동임을 잊지 맙시다.
'보안 이야기 > 매일 지식 한스푼' 카테고리의 다른 글
| [Security Deep Dive] APT 공격의 라이프사이클 분석과 스타트업의 현실적 방어 프레임워크 (0) | 2026.01.27 |
|---|---|
| 보안담당자의 고충: 데이터 암호화, 기술보다 '운영'과 '현실'이 어려운 이유 (1) | 2026.01.22 |
| [보안 인사이트] "비밀번호는 이미 털렸다" : MFA가 선택이 아닌 필수인 이유 (1) | 2026.01.21 |
| [보안 Insight] 개인정보 유출, '입증' 못 하면 책임도 없다? 손해배상 기준과 실무자의 고찰 (0) | 2026.01.19 |
| [보안담당자의 시선] 가장 강력한 방화벽은 '사람'입니다: 피싱·스미싱 교육 방안 (1) | 2026.01.13 |
ligilo
행복한 하루 되세요~