협력업체 보안수준, 상생의 측면에서 같이 높일 필요

[보안뉴스=김경곤 딜로이트 매니저] 최근 기업의 전사 리스크 측면에서 보면 협력업체와 관련된 정보보안 위험이 과거에 비해 상당히 높아졌다. 협력업체 직원에 의한 대량의 개인정보 유출 사고가 빈번히 발생하면서 개인정보보호법 및 정보통신망법이 보다 강화된 것이다.

그 뿐만 아니라 한국수력원자력 또한 내부 협력직원 및 협력업체를 통해 민감한 기밀정보 유출이 발생했다. 과거에는 기업 자체의 보안수준을 높이기 위해 방화벽, IPS, IDS와 같은 수많은 보안 솔루션을 구입하고, 이후에 구입한 보안 솔루션을 운영하기 위한 보안 솔루션 운영 및 관리 직원을 채용해 기업 자체의 보안수준을 향상시키는 작업을 진행했다.

그러나 이제는 기업의 비즈니스에 있어서 외부 협력업체와의 협업은 필수적이 됐다. 하지만 협력업체에 대한 보안을 신경 쓰는 기업은 많지 않다. 대기업조차 협력업체에 대한 보안관리 소홀로 기업의 중요정보가 유출되는 사례를 뉴스에서 간간히 접할 수 있다.

협력업체 보안관리를 효과적으로 수행하기 위해서는 협력업체와 비즈니스를 수행하는 전체적인 과정에서 보안의 요소들이 스며들도록 해야 한다. 협력업체와 계약하기 전, 계약 시, 계약 중, 계약 종료시 등 각 단계마다 기본적으로 협력업체에서 자사의 중요 정보 및 개인정보를 적절히 관리하고 있는지 확인해야 한다.

계약 전 단계에서는 해당 협력업체가 기본적인 보안수준을 갖추고 있는지 사전 체크리스트를 통해 확인해야 한다. 계약 시에는 계약서상에 협력업체에 대한 보안점검을 실시할 수 있다는 것 등과 같이 문구를 넣어 정기적으로 협력업체에 대한 보안현황을 파악할 수 있는 근거를 마련해야 한다. 계약 중에는 회사에서 제공된 개인정보, 기업정보를 안전히 관리하고 있는지 확인해야 한다.

예로 정기적으로 협력업체의 중요성에 따라 1년에 한두 번 또는 수시로 협력업체로부터 보안수준에 대한 정보를 받는 방법과, 회사의 보안담당자가 협력업체에 방문해 보안수준을 확인하는 방법을 병행할 수 있다. 또한, 계약 종료 시에도 파기 확인서와 같은 문서를 통해 회사에서 제공된 정보가 적절히 파기됐는지에 대해 계약 주체 간의 정보 파기를 확인해야 한다.

앞으로 기업은 비용에 대한 효율성보다 정보보안 사고를 예방하고, 대응하기 위한 효과적인 측면에서 기업 리스크를 관리할 필요가 있다. 과거에는 느슨하게 관리했던 협력업체에 대해 이제는 보다 강력하게 관리할 필요가 있다.

다만, 협력업체의 보안수준을 점검하는 것은 어디까지나 비즈니스를 원활하고 안전하게 운영될 수 있도록 하기 위한 측면이기 때문에 협력업체에 대해 감사 수준까지 진행하면서 비즈니스 관계를 악화시킬 필요는 없다.

협력업체의 보안수준을 같이 높이자는 상생 측면에서 협력업체의 보안을 바라볼 때 협력업체 역시 보다 적극적으로 자사의 보안수준을 높이기 위해 노력할 것이고, 궁극적으로 기업의 보안수준도 향상될 수 있다고 본다.

[글_김경곤 딜로이트  Cyber Rise Services Senior Manager(anesra@gmail.com)] 

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>