호스팅업체와의 계약서작성

계약서의 내용은 공개할 수 없지만 내용을 요약해서 적어보려고 한다.

 

호스팅업체와 호스팅업체를 이용하려는 고객사가 있다.

 

개인정보보호법에서는 고객사를 '갑', 호스팅업체를 '을'이라고 한다.

 

'갑'의 입장은 현재 전산실과 수십개의 웹서버와 데이터베이스 서버를 보유하고 있다.

 

서버관리자 및 CISO도 존재하며 수만건의 개인정보를 관리하고 있다.

 

※ 최근 과학기술정보통신부에 따르면 CISO의 겸직금지 및 기준강화에 관련된 정보통신망법 시행령 개정안이 19년 6월 13일 시행을 앞두고 있다.

 

위 개인정보에는 개인의 이름, 성별, 주소, 전화번호 등을 포함해 민감정보인 주민등록번호까지 포함되어 있다.

 

 

그러나 여기에 조그마한 부서가 신설되었다.

 

이 부서에서 사용할 서버, 서버 개발 및 관리자, 운영 및 유지보수까지 금전적인 부분이 많이들어가게 되었다.

 

그러나 '갑'은 소규모의 회사도 아니고, 관리하고 있는 개인정보가 워낙 많기 때문에 개인정보보호법을 준수하지 않을 수 없게 되었다.

 

이에 '갑'은 이 부서에서 사용할 서버를 월 5만원정도 되는 금액으로 호스팅업체에게 관리를 받으려고 한다.

 

'갑'은 '을'에게 개인정보보호법에 관한 계약서를 내밀지만 너무 상세하게 적은 나머지 '을'입장에서는 월 5만원 밖에 안되니까 계약을 안하려고 한다.

 

이 '갑'은 다른 호스팅업체를 이용해도 다들 기피할 것이 뻔하므로...

 

방법1) 금액을 올린다.

- 매 월 들어가는 비용을 줄이기 위해 호스팅업체를 이용하는데 회사에서는 돈을 더 안쓰려고 한다...

 

방법2) 자사의 전산실에 서버를 구축한다.

- 이 부분은 인건비에 서버구입비만해도 꽤 많은 비용이 나올 것으로 보인다.

 

 

보통 기업보안담당자가 이러한 법이나 정책과 관련된 업무를 맡아서 한다고 한다.

 

이 경우 기업보안담당자는 개인정보보호법은 최소한으로 지키면서, 호스팅업체인 '을'에게 최대한 부담이 덜 가도록 계약서를 작성하고 검토하여야 한다.

실제로 기업에서는 취약점 진단하고 발견된 패치할 때 가장 위험도(많은 개인정보가 유출 혹은 중요한 개인정보 유출)가 높은 것 순서대로 패치하는 것이 아니고, 취약한 상태로 두었을 때 법에서 가장 많은 과징금을 때리는 순서대로 패치를 한다..

그 다음 우선순위는 패치 시 돈이 가장 덜드는 쪽으로 패치하려고 한다...

가장 위험도가 높은 순서가 아니라는 점이 마음이 아프지만 이익창출이라는 기업의 본질을 생각해보면 어쩔 수 없는 것 같다.

 

참고로 필자는 학생지만, 기회가 생겨 계약서 검토 시에 최종 담당자와 함께 검토할 수 있게 되었다.