2024-03-29 13:55 (금)
아웃소싱 업체 개인정보보호 강화 위한 롤모델
상태바
아웃소싱 업체 개인정보보호 강화 위한 롤모델
  • 길민권
  • 승인 2014.04.17 15:43
이 기사를 공유합니다

다음 “제휴사 개인정보보호 종합관리 프로세스 도입해 운영중”
최근 계속해서 발생하는 대량 개인정보 유출 사건이 지속적으로 터져 나오면서 개인정보보호에 대한 사회적 요구도 크게 증가했다. 4월 17일 한국인터넷진흥원이 주최하고 한국CPO포럼이 주관, 안전행정부가 후원하는 ‘프라이버시 글로벌 엣지 2014’가 코엑스 그랜드볼룸에서 개최됐다.
 
이 자리에서 다음 커뮤니케이션 이진화 부장은 ‘개인정보보호와 아웃소싱 관리’라는 주제로 세션발표를 진행했다.

 
이진화 부장은 “위탁업체를 우리 회사처럼 관리하는 것은 현실적으로 힘들다. 하지만 법률적인 의무는 있다. 어느 정도 수준으로 관리를 해야 할지는 담당자가 판단해야 할 문제지만 제휴사를 통해 정보가 유출되더라도 실질적인 피해는 우리 기업이 책임을 져야 하기 때문에 최소한의 관리는 필요한 상황”이라며 “위탁업체 및 제휴사 개인정보보호 강화 방안에 대해 적절한 관리 체계를 마련해야 한다”고 강조했다.
 
현실적으로 모든 제휴사에 본사와 동등한 보안체계 구축을 요구하는 것은 힘들다. 차별화된 정책이 필요할 것이다. 최소한의 안전장치 마련은 어떻게 해야 할까.
 
이 부장은 “일정 수준 조건을 제시해 기준 수립 달성 여부에 따라 계약을 결정하고 있다. 개인정보 유출 가능성을 최소한으로 줄이자는 차원”이라며 “제휴사 보안 수준을 높이는 것은 우리 회사 보안 수준을 높이는 것과 같다는 생각으로 아웃소싱 관리 체계를 만들어 적용하고 있다”고 말했다.
 
영세한 제휴사들에게 ISO나, PIMS, ISMS 등과 같은 규정들을 준수하라고 요구하기는 힘들다. 자체 점검 및 조치를 할 수 있는 전담인력과 예산도 부족하고 최소 500만원이 넘는 외부 컨설팅 비용도 부담스러워한다. 사이트 개편시 유지보수도 힘들어하고 정보보안에 대한 이해와 경험도 부족한 상황이다.
 
이에 다음은 개인정보 아웃소싱에 대한 관리체계를 도입하고 고객정보 유출로 인한 회사의 위험을 최소화해 개인정보 관리 수준을 향상할 수 있는 상생 모델을 구축했다.
 
이 부장은 “2012년 3월 제휴사 사전점검체계 구축 작업을 시작했고 7월 정보보호점검제도를 시행하면서 1년간 점검제도 고도화 작업을 진행했다”며 “우선 먼저 제휴 신청이 들어오면 컨설팅이 시작된다. 제휴사가 부담을 갖지 않도록 비용도 부담해 주고 있다. 그리고 강압적인 감사 분위기로 하는 것이 아니라 동반자라는 입장으로 접근한다. 그래서 필요한 양식도 전해주고 쉬운 말로 표현된 가이드라인과 체크리스트도 제공한다. 또 문제점이 무엇이고 어떤 항목들을 개선해야 하는지 세부적으로 이해할 수 있는 결과물도 제공한다. 특히 개인정보보호법과 관련 꼭 준수해야 할 사항들을 중점적으로 체크한다”고 설명했다.
 
이어 “이런 사전 컨설팅 작업이 종료되면 일정조건을 달성할 수 있도록 유예기간을 준다. 이렇게 하면 대부분 업체들이 1~2년 안에 요구수준을 이행한다. 이러한 요구조건이 충족되면 계약은 빠르게 진행된다”고 전했다.
 
특히 아웃소싱 업체 관리 체계를 구축할 때, 현실성 없는 조치들을 제거하고 제휴업체에서 현실적으로 적용 가능한 통제항목을 만드는 것이 중요하다고 강조했다. 다음은 현실성 있고 중요한 체크리스트 14개 영역 50개 점검항목을 선별해 실제 업무에 반영될 수 있는 항목들로 구성한 것이다.
 
제휴사 점검 체크리스트를 살펴보면, 관리적 보호조치 11개 항목, 개인정보 생명주기 9개 항목, 기술적 보호조치 30개 항목으로 범주를 정하고 개인정보보호 정책, 개인정보보호 조직, 개인정보취급자 관리 감독, 물리적 보안, 개인정보 수립, 개인정보 이용 및 제공, 개인정보 파기, 접근권한, 접속 기록 관리, 비밀번호 관리, 네트워크 접근관리, 단말기 보안, 개인정보 암호화, 개인정보 출력복사 보호 등으로 점검 영역을 구분하고 있다. 즉 제휴사의 개인정보보호에 최척화된 체크리스트 개발에 주력한 것이다.
 
또 다음은 점검가이드도 개발해 제공했다. 지속적 관리가 가능한 점검 가이드를 만드는데 중점을 둔 것이다. 단순 적발을 위한 점검이 아닌 제휴사의 개인정보보호 관리 체계 수립 및 강화를 위한 적용 방안 등 상세 가이드를 제공해 제휴사들에게 도움을 주고 있다.
 
이 부장은 “제휴사 점검 수행에 있어 온, 오프라인을 변행해 점검을 수행하고 있으며 점검 이후 제휴사 점검결과서를 토대로 제휴사 담당자와의 커뮤니케이션을 통해 발견된 취약점에 대해 명확히 인지할 수 있도록 설명하고 향후 개선과제 이행을 독려하고 있다”고 설명했다.
 
다음은 현재 게임사, 미디어랩사, 광고대행사, 이벤트 대행사 등 다양한 제휴사의 라이프 사이클에 맞는 종합관리 프로세스를 정립해 활용하고 있다.
 
이 부장은 “제휴사 종합관리 프로세스를 도입한 후 초기에 비해 정보보호 수준이 상당히 향상됐다. 또 다음과 계약을 하려면 정보보호 수준을 향상시켜야 한다는 인식도 정착시켰다”며 “향후 개인정보 제공 최소화와 관리 수준의 정기적 확인 및 개선조치의 병행, 정보보호 인식 확산으로 점검 한게를 극복해 나가려고 노력하고 있다. 우리 기업과 제휴사의 상호 연계된 개인정보 관리체계 강화를 통한 개인정보 위험관리 수준을 동반 향상 시키기 위해 지속적으로 노력할 것”이라고 밝혔다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com 
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★