'2025/12/23'에 해당되는 글 1건

최근 국내외 보안 사고의 상당수는 기업 내부가 아닌 외부 협력사, 위탁사, 서비스 제공자를 경유해 발생하고 있다. 클라우드 서비스, SaaS, 외주 개발, 운영 위탁 등 공급망 구조가 복잡해지면서 서드파티(Third Party)는 기업 보안 수준을 결정하는 핵심 요소가 되었다. 이에 따라 정보보안 및 개인정보보호 관점에서 체계적인 서드파티 리스크 관리가 필수적인 관리 영역으로 자리 잡고 있다.

서드파티 리스크 관리란 기업이 거래·계약 관계에 있는 외부 조직이 보유·처리·접근하는 정보자산으로 인해 발생할 수 있는 보안 및 개인정보 침해 위험을 식별, 평가, 통제하는 일련의 관리 활동을 의미한다. 이는 단순한 계약 관리가 아니라 정보보호 관리체계(ISMS) 및 개인정보 보호 관리체계(ISMS-P)의 핵심 통제 요소 중 하나로 다뤄진다.

ISMS 및 ISMS-P에서는 외부자 및 외부위탁 관리에 대해 명시적으로 요구사항을 제시하고 있다. ISMS 기준에서는 외부자 보안, 외부위탁 시 정보보호 요구사항 정의 및 이행 점검을 요구하며, ISMS-P에서는 개인정보 처리 위탁 시 수탁자 관리·감독, 재위탁 통제, 안전성 확보 조치를 필수적으로 요구한다.

실무적으로 서드파티 리스크 관리는 다음 단계로 수행된다.

• 서드파티 식별 및 분류
  모든 외부 협력사를 동일하게 관리하는 것은 현실적으로 불가능하다. 개인정보 처리 여부, 중요 정보 접근 여부, 시스템 연계 수준 등을 기준으로 고위험·중위험·저위험 서드파티로 분류하는 것이 일반적이다.
  이는 개인정보 보호법 제26조의 위탁 개념 및 ISMS 위험 기반 접근 방식과 일치한다.
• 사전 보안성 검토 및 평가
  신규 계약 또는 시스템 연계 이전에 보안성 평가를 수행한다. 보안 정책 보유 여부, 접근통제, 로그 관리, 암호화 적용 여부, 침해사고 대응 체계 등을 체크리스트 또는 설문 방식으로 확인한다.
  공공기관의 경우 KISA 개인정보 영향평가 가이드와 보안성 검토 지침을 참고하는 사례가 많다.
• 계약 및 법적 통제 수단 확보
  보안 및 개인정보 보호 요구사항은 반드시 계약서에 명시되어야 하며, 기술적·관리적 보호조치, 사고 발생 시 책임, 재위탁 제한, 점검 권한 등을 포함해야 한다.
  개인정보 보호법 시행령 제28조의 위탁 관련 조항은 계약서 반영의 법적 근거가 된다.
• 운영 중 모니터링 및 정기 점검
  계약 체결 이후에도 정기적인 보안 점검, 증적 제출 요구, 현장 점검 또는 서면 점검을 통해 통제를 유지해야 한다. 고위험 서드파티의 경우 연 1회 이상 점검이 권장된다.
  이는 ISMS-P 심사 시 주요 확인 항목으로 활용된다.
• 사고 대응 및 종료 관리
  서드파티에서 보안 사고 또는 개인정보 유출이 발생할 경우 보고 체계, 공동 대응 절차, 계약 해지 및 접근권한 회수까지 포함한 종료 프로세스가 사전에 정의되어 있어야 한다.

실무 가이드

서드파티 리스크 관리는 단순히 심사 대응을 위한 형식적 문서 관리가 아니라, 실제 사고 예방과 책임 최소화를 위한 실질적 통제 수단이다. 특히 개인정보 유출 사고 발생 시 위탁 여부, 관리·감독의 적정성은 기업의 법적 책임 판단에 직접적인 영향을 미친다.

최근 ISMS-P 심사에서는 서드파티 목록의 완전성, 위험 기반 분류의 타당성, 점검 결과에 따른 후속 조치 여부까지 종합적으로 확인하는 경향이 강화되고 있다. 따라서 보안 담당자와 개인정보보호 담당자는 계약·구매·사업 부서와의 협업 체계를 구축하고, 전사 관점의 서드파티 관리 프로세스를 수립할 필요가 있다.

정리

공급망 보안 환경에서 서드파티 리스크 관리는 선택이 아닌 필수 관리 영역이다. 위험 기반 분류, 사전 평가, 계약 통제, 운영 중 점검, 사고 대응까지 전 주기를 포괄하는 관리 체계를 구축해야 한다. 이는 ISMS-P 준수뿐 아니라 실제 보안 사고 예방과 기업 신뢰도 유지를 위한 핵심 기반이 된다.