ISMS-P 결함사례 고찰 #2.3. 외부자 보안

2.3.1 외부자 현황 관리

인증기준: 업무의 일부(개인정보취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부에 위탁하거나 외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비스, 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구사항 및 외부 조직·서비스로부터 발생되는 위험을 파악하여 적절한 보호대책을 마련하여야 한다.

 

결함사례#1

내부 규정에 따라 외부 위탁 및 외부 시설·서비스 현황을 목록으로 관리하고 있으나, 몇 개월 전에 변경된 위탁업체가 목록에 반영되어 있지 않은 등 현행화 관리가 미흡한 경우가 있다. 조직 내 직원, 자산보다도 등한시하게 되는 것이 외부 직원, 위탁업체 등이 될 것이다. 외부 요소도 변경이 있다면 그때그때 바로 반영해야 한다.

 

결함사례#2

관리체계 범위 내 일부 개인정보처리시스템을 외부 클라우드 서비스로 이전하였으나, 이에 대한 식별 및 위험평가가 수행되지 않은 경우가 있다. 항상 기억해야 한다. '변동 = 문서 갱신 및 평가' 클라우드 서비스도 그것만의 취약점이 분명 있기 마련이다.

 

2.3.2 외부자 계약 시 보안

인증기준: 외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시하여야 한다.

 

결함사례#1

IT 운영, 개발 및 개인정보 처리업무를 위탁하는 외주용역업체에 대한 위탁계약서가 존재하지 않는 경우가 있다. 외주용역업체와 계약을 맺을 때 위탁계약서가 없다는 것은 그냥 일을 하기 싫다는 것이 아닐까.. 보안서약서 누락도 이해하기 어렵지만, 계약서 자체를 쓰지 않는다는 것은 위험부담이 너무도 큰 일이다.

 

결함사례#2

개인정보 처리업무를 위탁하는 외부업체와의 위탁계약서상에 개인정보 보호법 등 법령에서 요구하는 일부 항목(관리·감독에 관한 사항 등)이 포함되어 있지 않은 경우가 있다. 이는 기존의 양식을 그대로 복붙하는 과정에서 많이 생길 수 있는 경우다. 당연히 법령에는 가끔이긴 해도 개정이 있기 마련이고, 그래서 기존의 양식을 이해하는 과정이 이뤄져야 한다. 그리고 그것을 토대로 직접 서류를 만들 수 있는 능력을 갖춰야 할 것이다. 새로 법령이 바뀌게 되면. 그에 따라 바로 업무에 변동을 주어야 할 수도 있는데, 그럴 때는 어디서 양식을 퍼올 수도 없으니 말이다.

 

결함사례#3

인프라 운영과 개인정보 처리업무 일부를 외부업체에 위탁하고 있으나, 계약서 등에는 위탁업무의 특성에 따른 보안 요구사항을 식별·반영하지 않고 비밀유지 및 손해배상에 관한 일반 사항만 규정하고 있는 경우가 있다. 위탁업무도 종류가 있을 것이고, 위탁업체마다 어떤 책임을 지는지, 어떤 업무를 맡는지도 제각각일 것이다. 이것도 똑같은 양식을 그저 가져오는 데에서 그치기 때문에 발생하는 문제가 될 것이다. 각 위탁업무의 특성을 파악하여, 각 필요한 사항을 알아내는 것이 요구된다.

 

2.3.3 외부자 보안 이행 관리

인증기준: 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항에 따라 외부자의 보호대책 이행 여부를 주기적인 점검 또는 감사 등 관리·감독하여야 한다.

 

결함사례#1

회사 내에 상주하여 IT 개발 및 운영 업무를 수행하는 외주업체에 대해서는 정기적으로 보안점검을 수행하고 있지 않은 경우가 있다. 심지어 아주 드물게 회사에서 보안과 관련된 업무를 수행하는 외주업체도 아니고, 회사 내에 상주하는 경우인데 보안점검을 수행하지 않는 것은 문제가 있다. 내부 직원 / 외주 이렇게 구분을 할 필요 자체가 없다. 핵심은 언제나 조직의 자산, 보안에 관여를 하는지의 여부로 판단해야 한다. 그렇기에 내부 직원이건, 외부 직원이건, 고객이건 그에 걸맞는 보안점검이 필요한 것이다.

 

결함사례#2

개인정보 수탁자에 대하여 보안교육을 실시하라는 공문을 발송하고 있으나, 교육 수행 여부를 확인하고 있지 않은 경우가 있다. 교육=불필요한 것이라는 인식이 팽배한 탓도 있지 않을까 싶다. 교육이란 것을 귀찮고, 형식적인 것으로 치부하는 사람, 조직이 워낙 많으니 말이다. 그런데 교육이라는 것은 정기적으로 늘 수행되어야 하는 것이고, 조직 전체의 보안을 위해서라면 그것의 내용 측면에서 유의미해야 한다. 교육을 기획하는 것도 보안에서 큰 도움이 된다는 것을 인정해야 한다. 보안부서만 잘해서는 좋은 보안을 이뤄낼 수 없다.

 

결함사례#3

수탁자가 자체적으로 보안점검을 수행한 후 그 결과를 통지하도록 하고 있으나, 수탁자가 보안 점검을 충실히 수행하고 있는지 여부에 대하여 확인하는 절차가 존재하지 않아 보안점검 결과의 신뢰성이 매우 떨어지는 경우가 있다. 무엇이건 신뢰성이 무너진다면, 그것은 그자체로 의미가 퇴색되는 법이다. 그리고 그 확인하는 절차조차 너무 간단하게 수행된다면, 그것도 신뢰성을 지니지 못한다고 말할 수 있다. 확인하는 절차를 당연히 포함하는 것은 물론이거니와, 그것을 너무 단순하게 계획하여도 안 될 것이다.

 

결함사례#4

개인정보 처리업무 수탁자 중 일부가 위탁자의 동의 없이 해당 업무를 제3자에게 재위탁한 경우가 있다. 재위탁 여부를 알리지 않고 위탁업무의 연장선으로 생각하여 업무를 처리하는 경우는 법에 위반됨을 모르고 했을지가 궁금하다. 위탁 업무를 동의했다고 해서 재위탁도 동의했다는 것은 아님을 알아야 한다.

 

결함사례#5

영리 목적의 광고성 정보전송 업무를 타인에게 위탁하면서 수탁자에 대한 관리·감독을 수행하지 않고 있는 경우가 있다. 위탁 시에 관리 및 감독은 필수라고 할 수 있다. 단순 서류 하나 딸랑 작성한다고 해서 끝날 문제가 아니고, 그것은 일종의 책임 영역으로 받아들여야 한다.

 

2.3.4 외부자 계약 변경 및 만료 시 보안

인증기준: 외부자 계약만료, 업무종료, 담당자 변경 시에는 제공한 정보자산 반납, 정보시스템 접근계정 삭제, 중요정보 파기, 업무 수행 중 취득정보의 비밀유지 확약서 징구 등의 보호대책을 이행하여야 한다.

 

결함사례#1

일부 정보시스템에서 계약 만료된 외부자의 계정 및 권한이 삭제되지 않고 존재하는 경우가 있다. 이는 조직 내의 인사이동, 퇴사자 발생 시에 계정 및 권한을 유지하는 것과 연장선으로 보인다. 변동이 있을 때는 미루지 말고 즉각즉각 반영해야 할 것이다.

 

결함사례#2

외주용역사업 수행과정에서 일부 용역업체 담당자가 교체되거나 계약 만료로 퇴직하였으나, 관련 인력들에 대한 퇴사 시 보안서약서 등 내부 규정에 따른 조치가 이행되지 않은 경우가 있다. #1의 연장선으로 보이며, 조치를 이행하지 않는다면 서약서 자체가 무의미해진다. 끝까지 지침에 따라 업무를 진행해야 할 것이다.

 

결함사례#3

개인정보 처리 위탁한 업체와 계약 종료 이후 보유하고 있는 개인정보를 파기하였는지 여부를 확인·점검하지 않은 경우가 있다. 개인정보 제공 동의서를 작성할 때에 파기에 관한 사항도 명시하게 되어 있다. 따라서 처리자는 그 내용에 따라 실제로 진행이 되었는지 확인할 필요가 있으며, 그것을 확인 및 점검하지 않는다면 처리자로서의 의무를 위반한 것이다. 그저 서류를 작성했고, 업무가 완료되면 개인정보를 이러이러한 절차에 걸쳐 파기하기로 했으니 거기서 '그렇게 했겠지'로 끝날 것이 아니라, 끝까지 처리자로서의 의무를 지켜 결과를 확인해야 할 것이다.