수탁자는 ISMS-P 인증을 받을 수 없다 — 이 허점이 공급망 보안을 위협한다
국내 ISMS-P 인증 제도에는 수탁자를 위한 기준이 없다. 수탁 기업이 스스로 역량을 증명하고 싶어도 받을 수 없는 이 구조적 공백이 공급망 보안 전체를 위협하고 있다.
https://privacynews.kr/s/53dc5e
들어가며 — 가장 약한 고리가 전체를 무너뜨린다
개인정보 보호 논의에서 '수탁사 관리'는 언제나 중요하게 다뤄지지만, 정작 제도적 뒷받침은 여전히 허술하다. 필자가 주목하는 것은 바로 이 지점이다. 국내 정보보호 및 개인정보관리체계(ISMS-P) 인증 제도에는 '수탁자'를 위한 자리가 없다. 수탁 기업이 스스로 개인정보 보호 역량을 증명하고 싶어도, 제도가 그 길을 막고 있는 것이다.
최근 정부가 공급망 보안 로드맵을 공개하면서 협력사 보안이 핵심 화두로 떠오른 상황에서, 이 문제는 더 이상 실무자들만의 고민으로 남겨둘 수 없다. 19세기 농화학자 리비히가 제안한 '나무통 원리'처럼, 수많은 수탁 기업 중 단 하나의 약한 고리만 뚫려도 연쇄 피해는 걷잡을 수 없이 번진다.
본론
국제 표준은 위탁자·수탁자를 구분한다 — 우리는?
국제 개인정보 보호 표준인 'ISO/IEC 27701'은 위탁자(PII Controller)와 수탁자(PII Processor)에 대한 통제 기준을 명확히 구분하고 있다. 위탁자는 위탁자 기준에 맞게, 수탁자는 수탁자 기준에 맞게 각각 인증을 받을 수 있으며, 두 역할을 병행하는 기업이라면 양쪽 인증을 모두 취득할 수 있다.
반면 국내 ISMS-P는 '개인정보 처리자', 즉 위탁자에 대한 기준만 존재한다. 위탁자로부터 개인정보를 받아 처리하는 수탁자에 대한 독립적인 인증 기준은 없다. 이는 글로벌 스탠더드와 명백히 어긋나는 구조다.
사실 ISO/IEC 27701은 한국이 먼저 국제 무대에 제안하고, 프로젝트 리더로서 이끌어 채택을 주도한 표준이다. 그 표준을 만든 나라가 정작 국내 제도에는 수탁자 기준을 반영하지 못하고 있다는 점은, 자기모순에 가깝다.
'받고 싶어도 받을 수 없는' 수탁자들
2026년도 공급망 보안 워크숍(한국정보보호학회·공급망보안연구회 공동 주관)에서 이 문제가 공론화됐다. 현장에서 나온 사례는 제도의 공백을 적나라하게 보여준다.
한 발표자는 수탁자로서 ISO/IEC 27701을 취득하고 국내에서도 ISMS-P를 받고자 했으나 받을 수 없었다고 밝혔다. 자율적으로 개인정보 보호 역량을 검증하고 싶어도, 제도가 그 의지를 가로막은 것이다. 이는 단순히 한 기업의 불편함이 아니다. 수탁 기업이 인증을 받을 수 없다면, 위탁 기업은 수탁사의 보안 수준을 검증할 공식적인 근거를 가질 수 없다.
결국 위탁 기업은 수탁사의 보안 점검을 위해 자사 인력을 직접 투입해야 한다. 수탁사가 수십, 수백 곳에 달하는 경우, 이 과정에서 소모되는 인적 자원은 막대하다. 담당자들이 번아웃에 시달리고, 점검은 깊이 없는 '겉핥기'로 전락하기 쉽다. 보안 수준은 높아지지 않으면서, 행정 부담만 쌓이는 구조다.
택배사 사례로 보는 이중적 지위의 현실
현실에서 많은 기업은 위탁자와 수탁자의 역할을 동시에 수행한다. 대표적인 예가 택배사다. 택배사는 직접 회원 가입을 받아 개인정보를 보유한다는 점에서 위탁자이지만, 쇼핑몰 등으로부터 소비자의 배송 정보를 받아 처리한다는 점에서는 수탁자이기도 하다. 현재 제도에서 이 택배사는 위탁자로서의 ISMS-P 인증은 받을 수 있어도, 수탁자로서의 역량을 공식적으로 증명할 방법이 없다.
이처럼 공급망이 복잡하게 얽힌 현대 비즈니스 환경에서, 수탁자 인증 부재는 개인정보 보호의 실질적 공백을 만들어낸다.
맺음말 — 제도가 의지를 따라가야 한다
ISO/IEC 27701 국제 표준 채택을 주도한 염흥열 순천향대학교 교수는 "국내 수탁자도 개인정보 보호 인증을 받을 수 있다면 위탁자의 신뢰를 더 얻을 수 있고, 위탁사도 점검의 수고를 덜고 믿고 맡길 수 있는 만큼 정책적 고려가 필요하다"고 명확히 지적했다. 이는 단순한 제도 개선 요청이 아니라, 현장과 학계가 함께 보내는 경고다.
수탁사 관리는 개인정보 보호에서 가장 중요한 영역 중 하나다. 개인정보는 위탁자의 경계 안에서만 머물지 않는다. 수탁사를 거쳐 흐르고, 그 과정에서 유출 위험이 발생한다. 그렇다면 제도도 그 흐름을 따라가야 한다.
필자는 다음을 제언한다. 첫째, ISMS-P에 수탁자 전용 인증 기준을 신설하거나, 별도의 수탁자 특화 인증 체계를 마련해야 한다. 둘째, 수탁자 인증을 위탁자의 공급망 보안 점검 과정에서 공식 근거로 활용할 수 있도록 제도화해야 한다. 셋째, 이미 국제 표준인 ISO/IEC 27701과의 정합성을 높여, 국내외 기업 모두가 일관된 기준 아래 인증을 받을 수 있는 환경을 조성해야 한다.
공급망 보안의 시대, 가장 약한 고리를 강화하는 것이 전체 보안 수준을 끌어올리는 첫걸음이다. 제도가 현장의 의지를 막아서는 안 된다.
공학박사 백남정 기자
ISMS-P 선임심사원(30회) · 공학박사 · 숭실대 기업재난관리학과 석사 · 재해경감 인증심사원 · 개인정보보호 및 재해복구 전문 컨설턴트. LH공사 재해경감우수기업 인증심사 수행. 마이데이터 심사원(개인정보 지정기관 심사원)
![[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리](https://jrwrbsncqyzmjnehprhl.supabase.co/storage/v1/object/public/pn-images/articles/1780466504673-hq35er.jpg)
