개인정보 수탁사업자에 대한 관리·감독 중요

개인정보 유출 방지 위한 최소한의 대책 

[보안뉴스=이용진 금융보안연구원 보안관리팀 주임연구원] 최근 몇 년간 개인정보 유출사고의 발생빈도 및 피해규모가 갈수록 심각해짐에 따라 2011년 9월 개인정보보호법이 제정돼 개인정보보호에 대한 책임이 무거워지고 법적 처벌이 상당히 강화되는 등 ‘개인정보보호’는 사회 전반의 뜨거운 관심사항이다.

금융회사의 개인정보 유출사고 유형을 분석해 보면 외부 해킹으로 인한 정보유출사고와 내부자에 의한 정보유출 사고로 크게 나뉠 수 있다. 이중 외부 해킹에 의한 개인정보 유출사고는 고도화된 해킹방지 대책과 개인정보 암호화를 통해 상당한 수준의 대응책이 마련됐다고 볼 수 있다.

하지만 대규모 개인정보 유출사고의 이면을 살펴보면 내부자의 고의 또는 부주의로 인한 정보유출이 가장 심각한 문제로 분석되고 있으나, 이를 예방하고 대응하는 것은 매우 어려운 과제이다.

특히, 업무 위탁 시 수탁 사업자에 제공되는 개인정보의 경우, 금융회사의 관리영역을 벗어난다는 점에서 개인정보를 제공하는 금융회사의 가장 큰 고민이다. 금융회사의 경우 본질적인 금융업무 이외에 고객관리 및 정보제공을 위한 서비스 업무를 비롯해 각종 상담 및 만족도 조사 등 마케팅적 차원에서 다양한 업무를 수행한다.

이를 위해 고객의 개인정보 일부를 타 금융회사나 다수의 협력회사에 위탁하게 된다. 하지만, 업무 위탁 시 개인정보와 같은 민감한 정보가 제공됨으로써 정보유출의 위험에 노출된다는 것은 금융회사의 딜레마라고 할 수 있다.

현재 많은 금융회사들은 다양한 금융관련 업무를 수탁사업자에게 위탁하고 있으며, 평균적으로 상당히 많은 업체가 금융회사의 업무에 참여하고 있다. 이와 같은 다양한 위탁업무들은 금융회사가 자체적으로 수행하기에는 비용구조상 비효율적이기 때문에 금융회사의 입장에서는 위탁업무 수행은 불가피한 선택일 것이다. 또한, 금융회사는 업무 위탁자인 동시에 수탁자도 될 수 있다.

위탁업무를 수행하기 위해서는 고객의 정보 즉, 개인정보 제공이 반드시 필요하다. 개인정보를 수집하고 수탁사업자에게 제공한 금융회사는 개인정보가 합의된 범위 내에서 수탁사업자가 안전하게 처리함 을 관리·감독해야 한다. 이와 같은 관리·감독의 의무는 ‘개인정보보호법’ 뿐만 아니라 ‘신용정보법’, ‘금융기관의 업무위수탁 등에 관한 규정 등에서 정의하고 있다.

수탁사업자에 대한 관리·감독을 위해서 금융회사가 고려해야할 사항들은 다소 복잡하다. 수탁사업자들은 금융회사와 달리 통신, 유통, 서비스, 제조, 아웃소싱 등 다양한 업종에 속하기 때문에 사업자들이 준수해야 할 법규 또한 다양하며, 그 적용기준 또한 업체에 따라 차별적으로 적용될 수 있기 때문이다.

그리고 위탁업무의 규모에 따라 소규모 업체에서 대기업까지 사업자의 규모 또한 다양하기 때문에 관리·감독을 수행함에 있어 여러 가지 사항이 고려되어야 한다.

따라서 수탁사업자에 대한 관리·감독을 위해서 고려해야 하는 사항은 수탁사업자에 공평하게 적용할 수 있는 법규와 위탁사업자가 수탁사업자를 관리·감독할 시 준수해야 할 법규를 명확하게 선별하는 데서 시작할 수 있다.

따라서 금융관련 개인정보보호 법규를 기준으로 금융회사가 수탁사업자를 관리·감독해야 할 법규를 고려해 다음의 그림 같이 점검항목을 구성할 수 있다.

      ▲ 수탁업자 개인정보보호 점검항목

금융회사는 수탁사업자와 체결한 업무위탁계약서를 기초로 수탁사업자가 ‘개인정보 안전성 확보 조치 기준 고시’에 따른 관리적·기술적·물리적 보호조치를 성실하게 수행하고 있는지를 위와 같은 점검 항목에 따라 관리·감독해야 한다.

이 점검항목은 현재까지의 제정된 법규를 참조하여 구성했기 때문에 보편적인 수탁사업자 관리·감독 항목으로 볼 수 있을 것이다. 하지만 향후 금융 감독기관 및 관계부처에서 준비 중인 ‘금융권 개인정보보호 매뉴얼(가칭)’과 금융위원회의 ‘금융회사의 정보처리 및 전산설비 위탁에 관한 규정(안)’을 반영하여 개선될 수 있을 것이다.

이 점검항목을 활용한 점검은 사전 점검 고지, 점검 범위 및 대상 선정, 점검 수행, 점검결과 확인, 미비한 항목에 대한 이행계획서 접수, 이행 점검 등으로 진행될 수 있다. 이 중 쉽게 간과될 수 있는 단계는 ‘이행 점검’ 단계인데, 컴플라이언스 준수에 급급하여 단순 점검 행위로 그쳐서는 안 된다.

점검 후 미비한 사항에 대한 수탁사업자의 이행계획을 받고 수행이 제대로 이루어졌는지 ‘이행점검을 수행’하는 것이 중요하다. 이행점검 단계를 통해 수탁사업자가 수행하는 위탁 업무 및 정보에 대한 실질적인 안전성을 향상시킬 수 있다.

수탁사업자에 대한 관리·감독과 더불어 금융회사의 또 다른 중요한 의무는 수탁사업자에 대한 교육의 의무이다. 수탁사업자에 대한 교육이 중요한 이유는 위탁 개인정보에 대한 보호의 중요성을 수탁사업자가 인식하고 미숙한 정보보호 조치를 교육을 통해 개선할 수 있기 때문이다. 하지만 다수의 수탁 사업자에 대한 개별 교육의 시행은 해결하기 어려운 과제이다.

특히, 금융회사의 경우 업무 특성상 다수의 사업자와 위탁 계약을 맺기 때문에 모든 수탁사업자에 대한 교육을 수행한다는 것은 쉽지 않다. 또한, 수탁사업자는 여러 금융회사와 계약을 맺고 있어 각각의 금융회사로부터 교육을 받는 것은 현실적으로 불가능하다.

개인정보보호법에서 정한 교육에 대한 금융회사들의 애로사항을 고려하고 문제해결을 위해서 최근 감독당국은 안전행정부와 함께 ‘금융권 수탁업무 관련 개인정보보호’ 교육과정을 개설했으며, 금융보안연구원에서 회원사를 대상으로 교육을 진행한 바 있다.

개인정보 수탁사업자에 대한 관리·감독과 교육 수행은 개인정보유출 방지를 위한 최소의 예방책이라 할 수 있으며 이와 같은 보호조치를 마련함으로써 금융회사는 더욱 더 높은 수준의 금융서비스를 고객에 제공함과 동시에 신뢰받는 금융 파트너로서의 역할을 수행할 수 있을 것이다.

[글 _ 이 용 진 금융보안연구원 보안관리팀 주임연구원(yjlee@fsa.or.kr)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>