“수탁사 보안 검증 실효성·효율 위해 보강 필요”
“국제표준처럼 위탁자·수탁자 기준 둘다 있어야”

[보안뉴스 강현주 기자] ‘수탁자’는 정보보호 및 개인정보관리체계(ISMS-P) 인증을 받을 수 없는 국내 제도에 보강이 필요하다는 목소리가 나왔다. 최근 정부가 공급망 보안 로드맵을 공개하면서 ‘협력사 보안’이 화두가 된 가운데 나온 지적이다.

개인정보 보호 전문가들은 수탁자에 해당하는 기업은 ISMS-P 인증을 자율적으로 받고자 해도 받을 수 없는 현 제도에 개선이 필요하다고 지적한다. 현재 개인정보보호법은 ‘개인정보 처리자’, 즉 위탁자의 역할은 규정하고 있다. 하지만 위탁자에게 개인정보를 위임 받아 처리하는 ‘수탁자’에 대한 기준은 없다.


▲신용석 토스페이먼츠 CISO가 발표하고 있다. [출처: 보안뉴스]

‘ISO/IEC 27701’엔 위탁자·수탁자 기준 모두 있어
국제 개인정보관리 표준인 ‘ISO/IEC 27701’에는 위탁자에 대한 통제와 수탁자에 대한 통제가 구분돼 있다. 위탁자 기업은 그에 해당되는 기준에, 수탁자 기업 역시 관련 기준에 맞게 인증을 받을 수 있다. 한 기업이 두 역할을 병행하고 있다면 위탁자와 수탁자로서 각각 ISO/IEC 27701 인증을 모두 받을 수 있다.

반면 국내 ISMS-P에는 수탁자 부분이 없어 국제 표준에 맞춰 보강이 필요한 셈이다. 가령 택배사는 직접 회원 가입을 받아 개인정보들을 보유하고 있다는 면에서 위탁사다. 또 쇼핑몰 등으로부터 배송 서비스를 받는 소비자들의 개인정보를 위탁받은 수탁사이기도 하다. 하지만 수탁사로서 ISMS-P를 받을 수는 없다.

수탁자 인증이 없는 것은 위탁자의 보안성과 효율 모두 떨어뜨린다는 지적이다. 위탁 기업 입장에서는 수탁 기업의 개인정보 보호 역량을 평가할 검증된 근거가 부족하다. 자사 인력이 직접 수탁 기업의 보안을 점검해야 하므로 인적 자원 소모가 더 크다. 수탁자 관련 보안 인증서를 확인할 수 있다면 일일이 점검해야 하는 부분들을 어느 정도 대체할 수 있을 것이라는 게 실무자들의 설명이다.

“받고 싶은데 못 받는 수탁자들... 위탁자도 점검 리소스 과도”
이 같은 문제는 24~25일 한국정보보호학회와 공급망보안연구회 주관으로 열린 ‘2026년도 공급망 보안 워크숍’에서 공론화됐다.

대통령실 사이버안보비서관을 지낸 신용석 토스페이먼츠 CISO·CPO는 ‘민간기업의 공급망보안 사례’를 주제로 기조연설을 하며 수탁자 보안 강화를 다뤘다.

신 CISO는 “토스페이먼츠는 수탁자로서 개인정보보호 표준인 ISO/IEC 27701을 취득하고 국내에서도 ISMS-P를 받고자 했으나 받을 수 없었다”며 “개인정보 보호 역량을 검증하고자 자율적으로 인증을 취득하길 원해도 받을 수 없는 점은 보강이 필요한 부분”이라고 말했다.

그는 ‘리비히의 나무통 원리’를 예로 들며 “식물 성장을 좌우하는 것은 넘치는 요소가 아니라 가장 부족한 요소”라며 “수많은 수탁 기업들 가운데 하나만 뚫려도 연쇄 피해가 발생하는 만큼 위탁자는 수탁자를 관리·감독해야 한다”고 했다.

이어 “수탁자에 특화된 ISMS-P 인증 또는 별도의 더 강화된 인증이 있다면, 담당자가 많은 시간을 쓰며 수많은 업체들의 기본적 보안 요건들을 일일이 점검하는 수고를 상당 부분 덜고 번아웃 해소에도 도움이 될 것”이라며 “이에 더하여 핵심적인 보안 업무에 집중할 수 있고 겉핥기식 점검도 방지해 보안 수준 향상에도 기여할 것으로 본다”고 설명했다. 위탁 기업 역시 수탁 기업의 보안 역량에 대한 신뢰를 높일 수 있을 것이란 기대다.

ISO/IEC 27701 제정에 프로젝트 리더로 참여한 염흥열 순천향대학교 교수는 “ISO/IEC 27701에는 위탁자와 수탁자의 통제를 구분하고 있는 반면 ISMS-P에는 위탁자에 대한 기준만 있다”며 “국내 수탁자도 개인정보 보호 인증을 받을 수 있다면 위탁자의 신뢰를 더 얻을 수 있고, 위탁사도 점검의 수고를 덜고 믿고 맡길 수 있는 만큼 정책적 고려가 필요하다”고 말했다.

[강현주 기자(jjoo@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>