Q. 협력업체에게 보안서약서만으로 보안사고 발생 시 법적 대응이 가능할까요? 외주인력들이 사내 보안규정을 준수하도록 가이드할 수 있는 법적 근거가 명시화되어 있는 게 있나요? 특히 2011년 KISA의 외주인력관리 가이드라인 외에 발전된 가이드라인이 없는데 개선 가능성이 있는지, 외주 인력 채용 및 퇴사 시 내부정보 유출 방지에 대한 방지책이 있을까요?

A-1. 법의 기본 정신은 회사가 나름대로 부단한 노력을 기울였냐는 것과 이 부단한 노력이라는 것이 객관적으로 증명할 수 있느냐에 있습니다. 경험에 비추어보면 외주인력들이 정직원들보다는 사내 보안규정을 훨씬 더 잘 준수하는 것이 정상이며(정직원보다 훨씬 쉽게 퇴직 등이 발생할 수 있으므로) 따라서 왜 법적인 근거가 명시화되어야만 사내 보안규정을 잘 지킬 수 있다고 생각하는지가 오히려 궁금합니다.

(박태완 한국뷰로베리타스 선임심사원/jstwpark@daum.net)

A-2. 보안서약서 뿐만 아니라 협력업체와의 계약서상에 관련 내용을 명시하는 것이 필요합니다. 단, 고용회사는 주기적인 보안교육 등 관리 의무는 성실히 수행할 필요가 있습니다.
(강정훈 11번가 / jhkang@sk.com)

A-3. 먼저 보안서약서만으로는 법적 대응이 불가하며, 모든 법적 대응은 계약서에 입각해서 진행해야 합니다. 따라서 계약서에는 외주인력관리를 위한 모든 부분에 대해 명확한 내용이 포함돼 있어야 합니다. 내부정보 유출에 대한 방지책은 관리적인 보안만으론 한계가 있어 기술적, 물리적 보안이 동반돼야 합니다.

매체제어와 암호화, 출입통제시스템, 퇴사 시에는 즉시 계정 삭제 및 에스코트/기관에서 개인정보를 처리하는 업무를 위탁하는 경우, 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 수탁자를 교육하고 수탁자의 개인정보 처리현황 및 실태, 목적 외 이용·제공 여부, 재위탁 여부, 안전성 확보 조치 여부 등을 정기적으로 관리·감독하도록 해야 합니다(개인정보보호법 제26조, 시행령 제28조).

또한, 개인정보 처리 업무를 위탁하는 경우에 위탁자는 아래의 내용이 포함된 문서에 의하여야 합니다(법 제26조, 시행령 제28조). ①위탁업무 수행목적외 개인정보의 처리 금지에 관한 사항 ②개인정보의 기술적·관리적 보호조치 에 관한 사항 ③위탁업무의 목적 및 범위 ④재위탁 제한에 관한 사항 ⑤개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항 ⑥위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항 ⑦수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등에 관한 사항

따라서 협력업체와의 개인정보처리에 대한 위탁계약을 통해 외주인력이 기관의 개인정보처리시스템 을 관리하는 경우에도 법제26조에서 정한 사항에 대하여 문서화하고 이를 날인하여 보관해야 합니다. 또한 위탁계약에 의한 외주 인력에 대하여 사고 발생시 기관의 인력으로 처리되므로 수탁자에 대한 교육 및 관리·감독을 철저히 해야 합니다.

(조우진 한국CISSP협회/wustyle78@gmail.com)

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>