“협력사 뚫리면 우리도 뚫린다”…네이버가 ‘공급망 보안’을 지키는 비결

네이버 개인정보보호 전담조직 DPP
협력사 리스크, 새로운 전장
이메일 점검에서 시스템 통제로
생태계까지 확장된 보호 전략
‘프라이버시옵스’로 고도화

[이데일리 권하영 기자] 최근 국내 해킹 및 개인정보 유출 사고가 빈번해지는 가운데, 해커들의 공격 대상이 기업 본사에서 상대적으로 보안이 취약한 수탁사 및 협력사로 옮겨가고 있다. 강력하게 설계된 대기업의 자체 보안 시스템을 직접 뚫기보다, 관리가 부실한 외부 협력업체를 ‘우회로’로 삼는 방식이다.

최근 네이버 1784 사옥에서 만난 네이버 개인정보 보호 전담 조직 DPP(Data Protection & Privacy) 소속 (오른쪽부터) 최성준 리더, 이채영 씨, 이차연 씨. 사진=네이버

최근 네이버 1784 사옥에서 만난 네이버 개인정보 보호 전담 조직 DPP(Data Protection & Privacy)‘ 소속 최성준 리더, 이채영, 이차연 실무진은 “이제 보안의 핵심은 내부 방어를 강화하는 것을 넘어 외부 연결고리까지 통제하는 데 있다”고 입을 모았다.

대기업은 ’철통보안‘ 수탁사는 ’사각지대‘…개인정보 약한 고리

기업의 보안망이 견고해질수록 해커들은 수비가 허술한 연결고리를 노리곤 한다. 실제 지난해 LG전자는 광고 웹사이트 개발 협력사 서버 해킹으로 임직원 정보가 유출되는 피해를 입었으며, 삼성메디슨의 협력사 역시 해킹 피해로 직원 정보가 노출된 바 있다. 글로벌 기업도 예외는 아니다. 미국 스타벅스 본사는 국내 개인정보 수탁 업체에 대한 관리 감독을 소홀히 했다가, 해당 업체가 국내 고객 개인정보를 과도하게 수집해 외부 전송한 사실이 드러나 개인정보보호위원회로부터 시정명령을 받았다.

이처럼 대기업 본사의 자체 시스템은 강력하지만, 개인정보 처리를 맡긴 수탁사는 비용과 전문 인력의 한계로 인해 보안의 ’약한 고리‘로 전락하기 쉽다. 특히 서비스 고도화로 인해 하나의 서비스에 수많은 수탁사가 얽히고 재위탁이 빈번하게 발생하는 등 데이터 처리 방식이 복잡해진 점도 리스크를 키운다. DPP 실무진은 “기존처럼 연 1회 메일로 체크리스트를 받는 식의 이벤트성 점검만으로는 현재의 복잡한 개인정보 처리 환경을 통제하기 어려운 단계에 도달했다”고 진단했다.

연 1회 메일 점검은 끝…데이터 전주기 관리하는 ’PCM‘ 구축

네이버는 이러한 사각지대를 해소하기 위해 ’네이버 수탁사 점검 시스템(PCM)‘을 구축해 올해부터 본격 운영에 나섰다.

과거에는 수탁사 관리·감독은 담당자가 이메일로 점검표를 보내면 수탁사가 답변을 채워 보내는 수작업 방식이 주를 이뤘다. 이 과정에서 담당자가 바뀌면 점검 결과의 신뢰성이 떨어지거나 데이터 축적 및 활용이 어려워지는 등 업무 비효율이 발생했다.

새롭게 도입된 PCM은 위·수탁 계약 체결부터 업무 종료 후 데이터 파기까지의 전 과정을 시스템 안에서 상시 관리한다. 특히 상시 점검 체계를 도입하면서 연간 정기 점검 사이에 발생하는 단기 계약 수탁사가 관리 대상에서 누락되는 사각지대까지 차단했다. PCM 기획을 담당한 이채영 씨는 “재무 시스템을 통해 발생하는 모든 위탁 정보를 한곳에서 통합 관리하기 때문에 누락 없는 통제가 가능해졌다”고 설명했다.

수탁사의 부담은 줄이되 관리의 신뢰도는 높이는 ’점검 스코어 제도‘도 눈에 띈다. 단순히 점수를 매겨 페널티를 주는 방식이 아니라, 점검 항목별 중요도와 우선순위를 반영해 집중 관리가 필요한 고위험 수탁사를 식별하기 위한 장치다. 이 씨는 “부적합 항목이 발견되더라도 단순 제재보다는 해당 업체가 네이버 수준의 보안 체계를 갖출 수 있도록 맞춤형 컨설팅과 가이드를 제공해 동반 성장을 돕고 있다”고 덧붙였다.

“감시 대신 성장”…영세 파트너사 위한 보안 가이드라인 전수

네이버는 직접적인 수탁사뿐만 아니라 자사 생태계 내의 중소 파트너사와 스타트업을 대상으로 한 보안 역량 강화에도 공을 들이고 있다. 대기업과 중소 협력사 간 보안 역량 격차가 갈수록 심화되는 상황에서, 파트너사의 보안 공백이 결국 네이버 서비스의 리스크로 이어질 수 있다는 판단에서다. 최성준 리더는 “네이버 주변의 보안 수준까지 함께 올라가는 것이 곧 우리의 위협을 줄이는 일”이라며 지원 배경을 밝혔다.

지난해 7월 진행된 현장 컨설팅에서는 파트너사들이 공통적으로 겪는 고질적인 문제들이 여실히 드러났다. 많은 업체가 개인정보 처리 위탁 시 필수적인 법적 의무 사항인 수탁사 관리·감독이나 안전성 확보 조치를 제대로 이행하지 못하고 있었다. 네이버는 이를 해결하기 위해 복잡한 법령 해석 대신 즉시 실무에 적용할 수 있는 업무 서식과 가이드라인을 제작해 배포했다.

이를 통해 실제 홈페이지를 통해 사업 문의를 받으며 불필요하게 개인정보를 수집하던 한 파트너사는 네이버의 가이드에 따라 실제 업무가 이루어지는 이메일 접수 방식으로 전환해 관리 리소스를 획기적으로 줄였다. 이 같은 컨설팅은 만족도 조사 결과 5점 만점에 4.88점 높은 점수 기록할 정도로 큰 호응을 얻었다.

네이버는 올 한 해 동안 지원 대상을 20% 확대하고, 특히 정보보호 교육 혜택을 받기 어려운 비수도권 지역 파트너사를 우선 선정하여 지원의 폭을 넓힐 계획이다.

’프라이버시옵스‘로의 진화…정보보호 활동도 자동화

네이버는 이 밖에도 외부 전문가들이 참여하는 독립적인 개인정보보호위원회를 분기별로 운영 중이며, 개인정보 처리 관련 이용자 제보 프로그램 ’PER(Privacy Enhancement Reward)‘ 제도를 국내 기업 최초로 도입하는 등 선제적인 행보를 이어오고 있다.

다음 행보는 개인정보 보호 활동 전반을 자동화하는 ’프라이버시 옵스(Privacy-Ops)‘의 본격적인 구현이다. 반복적인 수작업 위주의 정보보호 업무를 시스템화해 효율성을 높이고, 전체 개인정보 처리 단계에서의 가시성을 확보하겠다는 구상이다.

이차연 씨는 “네이버는 2007년 조직 신설 때부터 서비스 기획 초기 단계에 보안을 반영하는 ’프라이버시 바이 디자인(Privacy by Design, PbD)‘ 원칙을 지켜왔다”며 “매년 발간하는 개인정보보호 리포트 역시 투명한 정보 공개를 통해 플랫폼 기업으로서 사회적 책임을 다하기 위한 노력”이라고 강조했다.

이어 “개인정보 보호 우수 기업이라는 타이틀에 부끄럽지 않도록 베스트 프랙티스를 지속적으로 만들어 가겠다”고 밝혔다.

권하영 (kwonhy@edaily.co.kr)