| 철저한 점검이 기업정보 살린다 | 2015.11.27 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
기업정보보호 이야기... 수탁업체 보안점검이 필요한 이유
IT수탁사, 개인정보처리 시스템 ‘수준미달’ 80개 대행업체 대상 정부합동 현장점검 결과, 위반율 93.7% [시큐리티월드 이장우] 지난 2015년 6월 11일자 보안뉴스에 실린 기사 헤드라인과 부제목이다. 행정자치부가 2015년 5월 실시한 IT 수탁사 대상 실태점검 결과, 80개 중 75개 업체에서 403건의 법위반사항이 적발되었다는 것이다.
이들 IT 업체에 업무를 위탁하고 있는 사업자는 449,499개소나 된다. 약 45만에 달하는 업체가 법 위반율이 93.7%인 수탁업체들에게 개인정보 취급업무를 맡기고 있는 셈이다. 수탁사가 법을 어기면 개인정보 취급업무를 맡긴 사업자는 어떤 책임을 안게 되는가? 아래 개인정보보호법 제26조제6항에서 확인할 수 있듯이 법은 수탁자를 위탁자의 소속 직원으로 본다고 밝히고 있다.
“ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다” -개인정보보호법 제26조제6항 또한 개인정보보호법 제74조제2항에서는 소속직원이 법을 위반하면 개인정보처리자(위탁자)에게는 ‘양벌규정’에 따른 처벌 위험이 따른다. “ 법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 그 법인 또는 개인의 업무에 관하여 제71조부터 제73조까지의 어느 하나에 해당하는 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인에게도 해당 조문의 벌금형을 과(科)한다. 다만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 게을리하지 아니한 경우에는 그러하지 아니하다” - 개인정보보호법 제74조제2항 결국 법 위반사항이 나온 75개 업체와 위·수탁 계약을 맺은 많은 사업자는 ‘상당한 주의와 감독’을 게을리 하지 않았다는 것을 입증해야만 처벌을 피할 수 있는 상황이 되는 것이다. 여기서 위탁자가 수행해야 할 “상당한 주의와 감독”이란 용어의 뜻이나 업무 범위를 정리하기란 쉽지 않다. 그러나 반드시 충족해야 할 필수적인 사항에 대해서는 역시 법 조항을 통해 알 수 있다. ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다. 1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항 2. 개인정보의 기술적·관리적 보호조치에 관한 사항 3. 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항 ④ 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다. ▲ 개인정보보호법 제26조제1항,4항 정리하자면 개인정보 취급업무를 위탁할 경우 반드시 계약 단계에서 문서의 요건을 충족하도록 챙기고, 수탁자에 대해서 교육과 점검 등 감독을 지속적으로 이행해야 한다. 계약 문서는 1회로 끝날 수 있지만 교육과 점검은 반복적으로 이루어져야 하기에 위탁자 입장에서는 내부의 보안업무에 포함하여 완벽하게 수행하기가 어려울 수도 있다. 이런 경우엔 개인정보 중심의 보안 점검을 전문적으로 수행할 수 있는 보안업체를 통해 점검을 실시하는 것이 전문성과 객관성을 확보할 수 있다는 점에서 좋은 방안이 될 수 있을 것이다. 수탁업체 보안점검 항목과 점검방법 수탁사 보안 점검을 위해 우선 살펴야 할 사항은 개인정보보호법 제26조1항의 위수탁 계약 시 작성해야 할 문서 내용에 담겨 있다. 수탁사도 독립된 사업자이기 때문에 개인정보보호법의 규정 대부분을 준용하여 따르도록 하고 있지만 ‘수탁자’로서 각별히 유의해야 할 사항이기에 계약 시에 필수적으로 포함하도록 하고 있는 것이다. 문서에 포함해야 할 필수사항은 다음과 같다. 1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항 2. 개인정보의 기술적·관리적 보호조치에 관한 사항 3. 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항 이에 따르자면 수탁자가 위탁받은 개인정보 취급 업무 과정에서 목적 외로 사용하거나 혹은 기술적으로 보호조치가 미흡해서 잘못 사용될 여지가 없는지 확인하는 것이 우선이다. 하나의 수탁자가 여러 위탁자의 업무를 맡는 경우는 흔하다 보니 A사 고객에게만 보내야 할 메시지가 B사, C사 고객에게도 실수로 발송되는 사고가 생길 수 있고 배송업체가 전달받은 고객 연락처를 다른 목적의 마케팅에 사용하다 적발된 경우도 있다. 수탁자의 데이터베이스에 여러 위탁자의 고객 정보가 뒤섞여 있다면 각각의 데이터 구분을 어떻게 하는지 접근 권한은 분리가 되는지 확인을 해야 한다. 그러려면 위탁한 업무 범위가 사전에 정리되어 있어야 하고 그 업무에 관계되는 수탁자의 직원과 시스템이 명확히 구분되어야 점검을 제대로 진행할 수 있다. 점검항목은 통상 ‘정보통신망법 이용촉진 정보보호 등에 관한 법(이후 정통망법)’과 ‘개인정보보호법’을 기준으로 설정하지만 위탁자의 사업 내용에 따라 다른 기준을 추가하거나 조정하곤 한다. 금융업이라면 ‘신용정보보호법’이나 ‘전자금융감독규정’을 고려해야 하고 자동차회사라면 ‘자동차관리법’에 따른 기준을 적용해야만 할 것이다. 만약 관련 법 규정을 모두 고려하기 힘든 상황에서 빠르게 점검하려 한다면 개인정보 내부관리계획 내용을 중심으로 체계 수립 여부와 이행 수준을 판단하는 것이 좋다. 개인정보 내부관리계획은 정통망법과 개인정보보호법에서 모두 요구하고 있으며 약간의 차이가 있어 통합한 내용을 아래 표와 같이 정리해 보았다. 1. 개인정보 보호책임자의 지정에 관한 사항 2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항 3. 개인정보의 안전성 확보에 필요한 조치에 관한 사항 4. 개인정보의 기술적·관리적 보호조치 이행 여부의 내부 점검에 관한 사항 5. 개인정보취급자에 대한 교육에 관한 사항 6. (개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항) 7. 개인정보의 분실·도난·누출·변조·훼손 등이 발생한 경우의 대응절차 및 방법에 관한 사항 8. 그 밖에 개인정보보호를 위해 필요한 사항 ※6번은 수탁자 입장에선 적용되지 않으나 업무를 ‘재위탁’하는 경우엔 고려해야 한다. 내부관리계획 자체는 문서만 갖춰지면 수립되었다고 확인할 수 있으나 실제 이행 상황은 문서와 다른 경우가 많다. 때문에 점검은 다음과 같은 단계와 방법을 통해 실상을 파악하도록 한다.
점검에서 보다 중요한 과정은 점검 이후 피점검자에 대한 피드백과 조치 단계일 것이다.
수탁업체 보안점검 시 유의점 수탁업체 보안점검을 수행할 때는 다음 두 가지 사항을 유의해야 한다. 이는 수탁업체 보안점검뿐만 아니라 내부의 보안점검이라 할지라도 똑같이 해당되는 사항이다. 1. 마이너스보다 플러스를 지향해야 한다. 2. 점검 기술보다 심리적 저항을 완화시키는 요령이 중요하다. 마이너스보다 플러스를 지향해야 한다 위탁자의 수탁자에 대한 점검은 대개 ‘갑’과 ‘을’의 관계에서 빚어지는 감사 성격을 띠기 쉽다. 수탁자가 잘 하고 있는지 못 하는지 감사해서 잘못하고 있으면 책임을 묻겠다는 느낌을 준다. 설령 위탁자가 그런 의도 없이 진행한다 하더라도 상대적 약자인 수탁자에게는 점검 결과로 인해 부정적인 타격(최악의 경우 계약 해지)을 입을 것이란 불안감을 주는 것이다. 점검 결과 후에 미치는 영향이 오직 부정적(마이너스)인 것뿐이라면 그런 점검을 수탁자가 적극적이고 호의적으로 대응할 가능성은 매우 적다. 더구나 점검을 진행하는 과정에서 점검자가 수사관이나 감사위원처럼 위압적이고, 문제점만 캐려 한다는 인상을 풍긴다면 그 점검은 절반 실패한 것이나 다름없다. 수탁업체가 딱 하나만 있는 게 아닌 다음에야 처음 점검에서 나온 반응은 거의 즉시로 다른 업체에 알려질 가능성이 높기 때문이다.
점검은 부드럽게 진행했는데 이후 그 결과에 대한 피드백이 마이너스라도 비슷한 상황이 된다. 즉, 분위기 좋게 점검하고 나서 점검 결과를 근거로 누군가를 문책하거나 인사상 불이익을 주거나 수탁업체 계약을 해지하는 등 마이너스적인 피드백을 주로 한다면 다음 점검 때는 모든 업체가 보안수준을 더높이고 잘 하기보다는 문제를 감추고 점검을 방해하는 마이너스적인 대응행태를 보일 가능성이 높은 것이다. 보안을 잘하지 못 하는 것은 의지가 부족해서라기보다 인력이든 지식이든 내부역량이 부족한 탓이 더 많은데 그 상황에서 점검 결과로 인한 피해를 최소화하려면 점검 자체를 회피하거나 부정하는것이 최선일 수 있기 때문이다. 따라서 수탁자에 대한 보안 점검은 점검 전이나 점검 중이나 점검 후에도 일관되게 위탁자와 수탁자 모두에게 필요하고 도움이 되는 일이며 발전적인 방향으로 개선하는 것만이 목적임으로 분명히 하고 그 기조를 유지할 필요가 있다. 경우에 따라 수탁업체 간 진단 결과에 따른 순위 평가나 다소의 불이익이 있다 하더라도 그것이 심각한 타격이 되거나 감정적 자극을 하기 보다는 일종의 게임처럼 다음번엔 더 잘 하도록 북돋아 주는 정도의 기능만 하도록 설정하는 것이 바람직하다. 점검 기술보다 심리적 저항을 완화시키는 요령이 중요하다 점검은 피점검자가 호의적이고 능동적으로 수검을 받아줘야만 효과를 거둘 수 있다. 그러기 위해서는 점검 기술보다 피점검자의 심리적 저항의 원인을 이해하고 그것을 해소함으로써 적극적인 협조를 유도하는 요령이 보다 중요하다. 피점검자가 심리적 저항을 느끼는 이유를 구분해 보면 대략 다음과 같다. 1) 무엇을, 왜, 어떻게 점검하려 하는지 모르는 것에서 오는 불안감 감사나 점검이란 피점검 당사자에겐 누군가 칼을 휘두르러 오는 느낌을 주기 마련이다. 그 방향과 강도를 전혀 예측하지 못할 때 두려움이 생길 수밖에 없고 심리적 저항도 커지게 된다. 따라서 사전에 본인이 맞닥뜨리게 될 모든 상황에 대해 설명하고 충분히 인지할 기회를 주어야 한다. 점검 진행 과정과 취하고자 하는 결과에 대해 자세히 설명하고 진행 중에 필요한 사항에 대해 최대한 예의 바르게 협조를 구한다. 2) 결과의 대처에 대한 두려움 대부분의 피점검자는 충분한 보안지식을 갖고 있지 않다. 보안보다는 현업에 충실할 따름이다. 그런데 보안 점검 후 본인에게 어떤 문책이 떨어진다고 생각하면 역시 두려움과 불만이 클 수밖에 없다. 따라서 점검이 끝난 후에는 발견된 이슈의 의미와 위험을 설명하고 방어할 논리를 함께 고민하며 만들어 줘야 한다. 즉 피점검자의 변호사 노릇을 충분히 해주고 나와야 한다. 기술적인 보완이 필요하다면 그것 역시 각자의 인력이나 재정적 여건을 감안하여 충고를 해줄 필요가 있다. 법 규정에 대한 설명이나 법의 예외 조항에 근거한 방어 방법을 알려 주는 것도 비싼 컨설팅을 받을 기회가 없는 피점검자에겐 큰 도움이 된다. 도와주겠다는 의도를 명백해 보이는 사람한테 적의를 보이는 경우는 거의 없다. 그러 므로 점검 과정 중에 계속 ‘이 곳 상황을 좀 더 나아지도록 도우려 한다’는 메시지를 자주 보내는 것이 좋다. 3) 도덕성을 의심받는데 대한 불만 보안점검 시 많은 피점검자가 느끼는 심리적 저항의 알맹이는 나쁜 일을 할 고의가 없는데 왜 뭔가 나쁜 짓을 한 듯이 느끼게 만드냐는 것이다. 물론 직접 대놓고 그리 말하지는 않는다. 예를 들어 업무 시스템과 인터넷을 함께 쓰는 상황에 대해 자신은 인터넷으로 정보를 유출한 일이 없다고 항변하는 식이다. 본인은 컴퓨터를 잘 몰라서 보안 솔루션을 우회할 줄 모른다고도 강변한다. 이런 경우엔 위협의 주체를 점검지 직원으로 보는 것이 아니라고 우선 선을 그어 안심시켜야 한다(물론 실제로는 내부자도 위협 대상에 포함된다). 인터넷이 연결된 상황이면 중국과 같은 곳의 해커가 악성코드를 통해 이 곳 컴퓨터에 들어올 수도 있는데 해커들은 전문가들이라 우리가 파악한 이런저런 우회기술을 다 알아낼 수 있다. 그러므로 이런 위험은 보완해서 이 곳 직원들이 억울한 오해를 받는 일이 없도록 하는 게 좋지 않겠느냐는 스토리로 설명하면 결국 자신들이 받게 될 오해와 피해를 막는 것이점검의 초점이란 것을 이해한다. 점검은 문제를 찾아내는 기술적 싸움이 아니며 피점검자의 심리적 저항을 완화시키며 협조를 받아야 제대로 수행할 수 있다. 점검 후엔 법 기준이 하나일지라도 그것을 충족시키는 과정에서 각각의 여건과 상황을 감안하여 적절한 대책을 선별하고 우선순위를 조정하여 제시해야 한다. 무엇보다도 보안점검이란 위탁자와 수탁자 모두의 이익을 위해 개선 노력을 함께 하는 과정이라는 공감을 갖도록 하는 것이 제일 중요한 일이라 본다. AhnLab 개인정보 수탁업체 보안 진단 서비스 안랩은 2012년부터 현재까지 4년간 H사의 개인정보 수탁업체를 대상으로 보안진단 서비스를 진행하고 있으며 최근에는 G그룹 쇼핑몰과 마케팅 제휴를 맺은 보험사 TM 센터를 대상으로 보안 진단 프로젝트를 성공적으로 수행했다. 안랩의 ‘개인정보 수탁업체 보안 진단 서비스’는 아래와 같이 세 가지로 요약해 볼 수 있다. 첫째, 개인정보보호 분야에 뛰어난 현장 경험 및 노하우를 보유하고 있는 분야별 전문가 조직을 통하여 개인정보 수탁업체에 특화된 고품질의 서비스를 제공한다. 둘째, 침해사고/포렌식 전문가들로 구성된 A-FIRST(AhnLab Forensics & Incident Response Service Team)가 악성코드 위협 분석을 통해 개인정보 유출 사고에 대한 징후 파악이 가능하다. 마지막으로, 고객사 맞춤형 보안 위협 파악 및 해결책을 제시한다. 정형화된 체크리스트 외에 수탁업체의 업무 및 운영 시스템 분석을 통하여 발생 가능한 개인정보 유출 유형 및 위협 시나리오를 제시한다. 이를 통해 수탁업체별로 실질적인 위험을 파악하고 해결책 제시가 가능하다. [글 시큐리티월드 이장우 안랩 관리컨설팅팀 이사(sw@infothe.com)] [월간 시큐리티월드 통권 225호 (jangwoo.lee@ahnlab.com)] <저작권자 : (http://www.securityworldmag.co.kr) 무단전재-재배포금지> |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
 |
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)