서비스를 운영하다 보면
필연적으로 외부 수탁사나 협력사와 일을 하게 됩니다.
개발, 운영, 콜센터, 마케팅, 클라우드, 장비 유지보수까지
조직이 직접 다 할 수는 없기 때문에
외부와 일을 나눠서 하는 구조가 자연스럽게 생깁니다.
그런데 개인정보나 주요 정보를 다루는 영역까지
수탁사·협력사에 맡기기 시작하면
보안·개인정보 담당자 입장에서는
신경 써야 할 지점이 몇 가지 추가됩니다.
어떤 일을 맡기고 있는지 먼저 명확히 하기
처음에는 보안 항목부터 보고 싶지만,
실제로는 “무엇을 맡긴 일인지”를 먼저 정리하는 게 더 중요했습니다.
- 개발만 해주는지
- 운영도 같이 하는지
- 시스템 접근 권한이 있는지
- 데이터 자체를 넘겨받는지
이걸 정확히 알아야
어떤 수준의 보안 요구사항을 걸어야 할지
감이 잡힙니다.
예를 들어 단순 컨설팅과
실제 시스템에 접근해서 개발·운영을 하는 회사에
같은 수준의 요구를 할 수는 없습니다.
접근 권한과 데이터 범위 줄이기
업무 범위가 정리되면
그 다음에는 “어디까지 보여줄 것인지”를 고민하게 됩니다.
- 꼭 필요한 시스템에만 계정을 발급하는지
- 공용 계정을 쓰고 있지는 않은지
- 개발·운영·조회 권한을 적절히 나누고 있는지
- 불필요한 데이터까지 통으로 넘겨주고 있지는 않은지
특히 수탁사 측 계정은
“일단 권한 넉넉하게 주고 시작하자”는 분위기가 생기기 쉬운데,
사고가 나면 그 부분을 설명해야 하는 쪽은 결국 원청입니다.
그래서 처음 계약 단계나
계정 발급 요청을 받을 때부터
가능한 범위 안에서 최대한 권한과 데이터 범위를 줄이는 방향을
계속 제안하는 편이 좋았습니다.
계약서와 보안 서약, 그리고 실제 운영
수탁사 보안 점검을 준비하다 보면
계약서와 보안 서약서부터 꺼내보게 됩니다.
- 개인정보 처리 목적과 범위가 명시되어 있는지
- 재위탁 금지나 제한 조건이 있는지
- 사고 발생 시 통보 의무나 책임 범위가 어떻게 되어 있는지
문구도 중요하지만
더 중요한 것은 “실제 운영이 계약과 맞게 돌아가는지”입니다.
예를 들어 재위탁 금지로 되어 있는데
실제로는 하청 구조가 더 있다거나,
접근 권한을 계약 범위보다 넓게 쓰고 있다면
계약서만으로는 방어가 어렵습니다.
가능하다면 정기적으로
- 계정 현황
- 작업 로그
- 재위탁 여부
등을 한 번씩 확인해 보는 절차가 있으면
나중에 점검이나 사고 상황에서 도움이 됐습니다.
점검 체크리스트는 현실적인 수준으로
수탁사 보안 점검 체크리스트를 만들다 보면
적으면 불안하고, 많으면 상대가 부담스럽습니다.
그래서 보통 저는
- 우리 조직에서 꼭 필요하다고 생각하는 항목
- 이미 계약서나 법령에서 요구하고 있는 항목
- 수탁사 입장에서도 현실적으로 답변 가능한 항목
이 세 가지 사이에서
겹치는 부분 위주로 정리하려고 했습니다.
모든 걸 다 확인하려고 하기보다는,
중요한 몇 가지를 꾸준히 보는 편이
현실적으로 유지하기에도 수월했고,
수탁사와의 관계도 덜 소모적이었습니다.
“믿고 맡긴다”와 “검증한다” 사이의 균형
결국 수탁사·협력사 보안 관리는
신뢰와 검증 사이의 균형을 맞추는 일인 것 같습니다.
너무 불신을 전제로 접근하면
관계가 빠르게 소모되고,
너무 믿고만 있으면
막상 문제가 생겼을 때 대응이 어려워집니다.
저도 아직 그 적당한 선을 찾는 과정에 있고,
프로젝트마다 답이 조금씩 다르다고 느낍니다.
다만 적어도
- 어떤 일을 맡기고 있는지
- 어디까지 접근할 수 있는지
- 어떤 약속을 서로 주고받았는지
이 세 가지는
한 번은 분명하게 짚고 가는 게 좋다는 생각입니다.
'개인정보·프라이버시' 카테고리의 다른 글
| 21. 가명정보를 도입하기 전에 조직 안에서 반드시 정리해야 할 세 가지 합의 (0) | 2025.12.08 |
|---|---|
| 19. 문서와 파일, 어떻게 다뤄야 나중에 덜 곤란할까 (0) | 2025.12.08 |
| 8. 개인정보 영향평가(PIA), 쉽게 말해 서비스의 건강검진 (0) | 2025.12.08 |
| 7. 개인정보처리방침, 길어도 이 네 부분만은 꼭 봅니다 (0) | 2025.12.08 |
| 6. 업무 자료를 개인 메일·클라우드에 올리면 왜 위험할까 (0) | 2025.12.08 |