수탁자는 왜 ISMS-P를 받을 수 없나 —공급망 보안의 빠진 퍼즐 조각

공급망보안 - 개인정보보호

수탁자는 왜 ISMS-P를 받을 수 없나 — 공급망 보안의 빠진 퍼즐 조각
정보보호 칼럼 · 공급망 보안

수탁자는 왜 ISMS-P를 받을 수 없나
—공급망 보안의 빠진 퍼즐 조각

개인정보 보호 인증 체계의 구조적 공백, 그리고 기업과 기관이 지금 할 수 있는 것들

2026. 06. 26 ISMS-P · ISO 27701 · 공급망 보안

2026년 6월, 서울 양재 aT센터에서 열린 공급망 보안 워크숍에서 불편한 진실 하나가 공론의 장으로 나왔다. 토스페이먼츠의 신용석 CISO는 "우리 회사는 수탁자로서 ISO/IEC 27701을 취득했지만, 국내 ISMS-P는 받고 싶어도 받을 수가 없었다"고 밝혔다. 자율적으로 보안 역량을 검증하려는 기업조차 제도가 막고 있다는 고백이었다.

📊 인증 체계 비교

✅ ISO/IEC 27701 (국제)

위탁자(Controller) 기준 포함
수탁자(Processor) 기준 포함
두 역할 동시 인증 가능
공급망 전체 신뢰 검증 가능

⚠️ ISMS-P (국내)

위탁자(개인정보 처리자) 기준 있음
수탁자 기준 없음
수탁자 자율 인증 불가
공급망 하위 보안 검증 공백

현행 개인정보보호법은 '개인정보 처리자', 즉 위탁자의 역할만 규정한다. 배송 정보를 수탁받아 처리하는 택배사나 결제 데이터를 위탁받는 PG사처럼 수탁자 포지션에 있는 기업들은 ISMS-P 인증 체계 밖에 존재한다. 업계에서는 이를 두고 "인증 받고 싶은데 받을 수 없는 상황"이라는 자조 섞인 표현이 나돈다.

"식물의 성장을 좌우하는 것은 넘치는 요소가 아니라 가장 부족한 요소다.
수탁 기업 하나만 뚫려도 연쇄 피해가 발생한다."

— 신용석, 토스페이먼츠 CISO · CPO, 공급망 보안 워크숍 2026

리비히의 나무통, 그리고 공급망 보안

신 CISO는 독일 식물학자 리비히(Justus Liebig)의 '최소량의 법칙'을 공급망 보안에 빗댔다. 나무통에 담긴 물의 양은 가장 긴 판자가 아니라 가장 짧은 판자에 의해 결정된다. 내부 보안이 아무리 철통같아도, 개인정보를 맡긴 수탁사 하나가 허술하면 전체가 무너진다.

🪣 리비히의 나무통: 공급망 보안의 최약 고리
위탁사 A
보안 우수
위탁사 B
양호
수탁사 C
⚠ 검증 불가
내부 시스템
우수
보안 솔루션
양호

실제 보안 수준은 가장 짧은 판(수탁사)에 맞춰진다

전문가들의 시각과 해법 논쟁

전문가들의 시각은 대체로 일치하지만, 해법을 둘러싼 논점은 다양하다. 일각에서는 ISMS-P 내에 수탁자 전용 인증 트랙을 추가하는 방식을 선호한다. 기존 인증 생태계를 유지하면서 보완할 수 있다는 이점이 있다.

반면 또 다른 시각은 수탁자 특성에 맞는 별도 독립 인증 체계 신설을 주장한다. 위탁자와 수탁자의 개인정보 처리 목적과 범위가 근본적으로 다른 만큼, 동일한 인증 프레임에 욱여넣는 것은 실효성을 떨어뜨린다는 논리다.

ISO/IEC 27701 표준 채택을 주도한 염흥열 순천향대 교수는 국제 표준이 이미 위탁자·수탁자 통제를 명확히 구분하고 있음을 강조한다. 사실상 완성된 모델이 이미 존재하는 셈으로, 국내 제도가 이를 빠르게 수용하는 방향이 가장 현실적이고 효율적인 경로라는 데는 큰 이견이 없다.

🗺️ 현실적 제도 개선 로드맵 (전문가 의견 종합)
1
단기 — ISO/IEC 27701 수탁자 트랙 국내 공인 인정

현재 국제 인증을 국내에서도 인정하여 수탁자 보안 검증의 공백을 즉시 해소. 입법 없이 고시·행정 조치 수준에서 가능.

2
중기 — 개인정보보호법 시행령·고시 개정으로 수탁자 기준 신설

ISMS-P 내 수탁자 인증 트랙 추가 또는 별도 인증 체계 마련. 개인정보보호위원회·KISA 협력 필요.

3
장기 — 공급망 보안 인증 연계 체계 구축

위탁자가 수탁자 인증 여부를 계약·입찰 요건으로 활용하는 시장 메커니즘 정착. 보안 수준의 시장 자율 견인.

기업·기관이 지금 당장 할 수 있는 것

제도 개선을 기다리는 동안에도 기업과 기관은 능동적으로 리스크를 관리할 수 있다. 핵심은 수동적 대기가 아닌 지금 가능한 것부터 실행하는 태도다.

✅ 기업·기관 실무 대응 체크리스트
📋
수탁사 ISO 27701 취득 계약 권고

신규 위탁 계약 시 ISO/IEC 27701 수탁자 트랙 인증을 우대 또는 권고 조건으로 반영

🔍
수탁사 자체 점검 표준화

개인정보보호위 가이드라인 기반 점검 체크리스트를 표준화해 연 1회 정기 점검 실시

🛡️
수탁자도 자율적으로 ISO 취득

ISMS-P 불가 상황에서 ISO/IEC 27701 수탁자 인증이 현재 유일한 국제 공인 대안

🤝
공급망 보안 협의체 참여

KISA, 개인정보보호위 운영 협의체 참여로 제도 개선 의견 반영 및 최신 정보 공유

공급망 보안은 결국 '가장 약한 고리' 문제다. 아무리 내부 보안이 철통같아도, 개인정보를 맡긴 수탁사 하나가 허술하면 전체가 무너진다. 이미 여러 대형 개인정보 침해 사고들이 이 경로로 발생했음을 우리는 알고 있다.

제도는 현실을 뒤따른다. 기업과 기관은 법 개정을 기다리기보다 지금 가능한 국제 표준을 적극 활용하고, 위탁·수탁 관계 전반에 실질적 보안 기준을 스스로 적용해야 한다. 수탁자가 ISMS-P를 받을 수 있는 날이 오기 전까지, 그 빈자리는 계약과 자율 인증과 협력으로 채워야 한다.

#ISMS-P #수탁자보안 #공급망보안 #ISO27701 #개인정보보호 #정보보안 #KISA #개인정보보호위원회