강은성의 보안 아키텍트ㅣ개인정보 처리 위탁에서의 재위탁과 수탁자 및 위탁자 관리

인터넷 쇼핑몰에서 물품을 하나 사는 과정을 살펴보면, 판매자, 고객센터, 결제대행업체(PG), 택배회사 등 여러 개인정보 처리업무 위탁업체를 거쳐서 구매자의 배송지로 전달된다. 금융, 게임, 포털 등의 서비스에서도 개인정보 처리 위탁 없는 것을 찾기가 쉽지 않을 정도다.

대규모 인터넷 쇼핑몰을 운영하는 기업이 ‘사이버 장터’를 열고, 여기에서 많은 소규모 판매자가 물품을 판매하는 구조는 개인정보 관점에서 보면, 개인정보를 직접 수집한 대형 쇼핑몰과 이를 이용하는 다수의 판매자가 위탁자-수탁자로 연결된 개인정보 처리 위탁 관계다.
 

개인정보보호법에서는 소형 수탁자가 개인정보를 보호할 역량이나 사고 발생 시 배상 능력이 부족할 수 있다고 보고, 위탁자에 강력한 의무를 부과한다. 개인정보 보호 규정이 오늘의 모양새를 처음 갖춘 정보통신망법(2001.7.1 시행, 전부개정)에서 단 두 항으로 이뤄진 제25조(개인정보 처리의 위탁)의 제2항에 수탁자의 법 위반으로 발생할 수 있는 정보주체에 대한 손해배상을 위탁자의 책임으로 규정하였다.

현 개인정보보호법의 개인정보 처리위탁 규정은 다음 8개로 구성되어 있다.
 

제26조(업무위탁에 따른 개인정보의 처리 제한)     •  문서로 계약(제1항)     •  위탁 업무 내용과 수탁자(재수탁자 포함)를 개인정보 처리방침에 공개(제2항)     •  홍보, 판매 권유 업무 위탁은 위탁 업무 내용과 수탁자를 정보주체에게 개별 통지(제3항)     •  개인정보 사고가 나지 않도록 수탁자를 교육, 감독(제4항)     •  수탁자는 위탁받은 개인정보를 목적 외로 이용하거나 제3자 제공 금지(제5항)     •  수탁자가 위탁받은 개인정보 처리 업무를 재위탁하려면 위탁자의 동의 취득(제6항)     •  수탁자의 법 위반으로 발생한 손해배상은 위탁자의 책임(제7항)     •  수탁자에 적용하는 개인정보보호법 규정 나열(제8항)

법 제26조는 2023년 3월 개정 때 별로 주목받지 못했으나, 수탁자의 정의에 재수탁자를 포함함으로써 기업에는 상당히 영향이 많을 것으로 예상된다. 위탁업무 범위 내에서 재위탁한 것에 한정되긴 하지만 위탁자가 관리해야 할 수탁자의 범위에 수탁자(1차 수탁자), 재수탁자(2차 수탁자)…N차 수탁자까지 포함된 것이다.

법 제26조 제1항~제4항, 제7항이 위탁자의 의무를 규정한다. 수탁자에 재수탁자가 포함됨으로써 제2항, 제4항, 제7항은 위탁자가 책임 범위가 N차 수탁자까지 확대된 것에 유의하여야 한다. 특히 제4항(수탁자 교육, 감독의 의무)은 대다수 위탁자와 수탁자가 해당 의무를 수행했다는 ‘증빙’을 갖추기 위해 매년 챙기는 규정이다. 이제 위탁자는 자신의 위탁업무에 관해 N차 수탁자까지 수탁자 목록을 모두 파악하고, 그에 대해 교육, 감독의 의무 준수 방안을 수립해야 한다.

이러한 상황에서 위에서 언급한 쇼핑몰의 예와 같이 소수 대형 위탁자-다수 소형 수탁자로 구성된 전통적인 위·수탁 모델도 여전히 많지만, 그렇지 않은 모델도 있다는 점에 주목할 필요가 있다. 통신사와 금융회사, 신용평가기관 등 ‘본인확인기관’이나 전자금융업자인 결제대행회사(PG사), 대기업인 택배회사 등 소수 대형 수탁자와 이들 회사에 개인정보 처리업무를 위탁하는 다수 위탁자가 있는 모델이다.
 

수많은 위탁자가 개인정보 처리 위탁을 하지만, 이러한 대형 수탁자를 교육, 감독하기가 쉽지 않고, 이들 수탁자가 자체적으로 하는 것보다 더 잘한다고 말하기도 어렵다. 손해배상 능력 역시 대형 수탁자가 위탁자보다 더 나을 수 있다. 역으로, 대형 수탁자 측면에는, 수많은 위탁자가 직접 교육, 감독한다고 하면, 본업에 지장을 받을 수도 있을 것이다.

이러한 현실을 고려하여 규제기관에서도 수탁자가 자체 수행한 교육과 감독의 ‘증빙’으로 제4항의 의무 이행을 인정해 주기도 한다(개인정보위, 「개인정보 처리 위·수탁 안내서」, 2020.12.). 실제로 사용자 인증 시 본인 인증을 하는 수많은 기업이 이용하는 본인확인기관에 교육, 감독의 증빙을 요청해서 받기도 한다.

이러한 문제에 대한 대안이 이미 거의 10년 전에 제시된 적이 있다. 당시 정보통신망법 개인정보보호 규정의 소관부처였던 방송통신위원회에서 발간한 「온라인 개인정보 취급 가이드라인」(2015.2.)의 Q&A에서다. (아쉽게도 이 ‘가이드라인’의 공식 버전은 ‘4. Q&A’가 제외된 채 배포되어, 지금은 이 내용을 찾을 수가 없는데, 필자가 이 문서를 블로그에 올려놓은 게 남아 있다.)
 

Q: [수탁자 관리·감독] 온라인 쇼핑몰을 운영하면서 PG사에 결제 과정에서 개인정보 취급을 위탁하고 있습니다. 영세사업자인 위탁자가 수탁자인 대규모 PG사를 대상으로 관리·감독하는 것은 현실적으로 매우 어렵습니다. 이러한 경우 위탁자가 어디까지 관리·감독 의무를 이행해야 하나요? A: (상략) 다만, 해당 수탁자가 정보통신망법 또는 다른 법률에 따라 개인정보 보호조치 등에 대한 별도의 관리·감독을 받고 있는 경우에는 위탁자가 주기적 확인을 하지 않을 수 있습니다.  * 예: 정보통신망법에 따라 방송통신위원회가 지정한 본인확인기관, 전자서명법에 따라 미래창조과학부 장관이 지정한 공인인증기관, 정보통신망법에 따라 미래창조과학부에 등록한 통신과금서비스제공자, 전자금융거래법에 따라 금융위원회에 등록한 PG사 등

‘가이드라인’의 답변 취지는 “법률에 따라 개인정보 보호조치에 관한 관리·감독을 받는” 수탁자는 위탁자의 교육, 감독 의무에서 제외하자는 말이다. 위탁자가 개별적으로 교육, 감독하는 것보다 정보통신망법이나 전자금융거래법 등 법률의 요건에 따라 하는 것이 그 객관성과 전문성을 갖췄다고 볼 수 있고, 수탁자의 범위가 크게 늘어난 환경에서 충분히 의미 있는 대안이 아닐까 한다. 여기에 추가한다면, 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증이나 개인정보보호 경영시스템(ISO/IEC 27701) 인증과 같은 개인정보보호 인증을 받아 인증에 따른 교육·감독을 받는 수탁자 역시 제4항의 의무에서 제외하는 것도 고려해 보는 것이 좋겠다.(단, 현재 ISMS-P는 위탁자가 없는 상태에서 수탁자에 독립적인 인증을 부여하지 않는다. 이것도 재검토할 필요가 있어 보인다.)

법 제26조 제6항은 재위탁(N차 위탁 포함) 시 최초 위탁자의 동의를 의무화한 규정으로 2023년 3월 개정 때 신설되었다. 불필요한 재위탁이 발생하지 않도록 하고, 불가피한 재위탁 시 최초 위탁자의 동의를 받게 함으로써 침해사고 발생 시 최초 위탁자의 손해배상 책임을 명확히 하겠다는 취지다. 이 역시 소수 대형 위탁자-다수 소형 위탁자 모델에는 의미가 있지만, 다수 소형 위탁자-소수 대형 수탁자 모델에도 적합한지 검토할 필요가 있다.

예를 들어 A사 → 수탁자(B택배회사) → 재수탁자(B사의 수탁자) 구조에서 B택배회사에 2,000개 이상의 수탁자가 있다면, 일부 수탁자가 변경될 경우 A사를 비롯한 수많은 위탁자의 동의를 받아야 한다. A사를 비롯한 위탁자가 B사에 ‘비동의’의 권한을 행사할 수 있는 여지도 거의 없다. 이런 규제가 개인정보의 안전한 관리나 정보주체의 권리 보장 관점에서 어떤 의미가 있고, 실효성 있는 방안인지 살펴볼 필요가 있다. 여기에도 앞에서 제시한 관련 법률과 인증을 통해 관리·감독을 받고 있는 수탁자에 한해서 ‘통지’로 ‘동의’를 갈음하게 한다든지 하는 등의 대안이 있을 수 있다.

정보주체가 개인정보처리자를 신뢰하여 제공한 개인정보가 해당 처리자의 통제 범위를 벗어나서 제3자나 수탁자에게 이전되는 것은 해당 개인정보나 정보주체의 권리 보장에 위험이 증가하는 일임이 틀림없다. 이런 상황에 대한 적절한 법적 규제가 필요하다는 점에 대한 공감대는 넓으리라 생각된다. 다만, 재위탁의 대책으로 ‘수탁자’의 범위 자체를 (이론적으로) 무한 확대함으로써 규제가 과도하지 않은지, 실효성이 있는지는 살펴봐야 하지 않을까 싶다.

* 강은성 교수는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 서울여자대학교 정보보호학과 조교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「팀장부터 CEO까지 알아야 할 기업 정보보안 가이드」(한빛미디어, 2022) 등이 있다.
ciokr@idg.co.kr