📄 2026.02.23 (Day 78) - 파이널 프로젝트 2차 팀 회의: 주제 확정 및 역할 분담
1. 핵심 개념 정리
개인정보 위·수탁 관리체계 — 핀테크 금융 도메인
| # | 핵심 개념 | 설명 | 실무/보안 관점 |
|---|---|---|---|
| 1 | 개인정보 처리 위탁 | 위탁사가 수탁사에게 개인정보 처리 업무를 맡기는 계약 관계 | 개인정보보호법 제26조에 따라 위탁사는 수탁사 관리·감독 의무를 가짐 |
| 2 | 위탁사 | 개인정보를 원래 수집·보유한 기업. 업무를 외부에 위탁하는 주체 | 법적 책임의 원천. 수탁사의 위반 행위에 대해 연대 책임 가능 |
| 3 | 수탁사 | 위탁사로부터 업무를 맡아 개인정보를 처리하는 기업 | 계약 범위 내에서만 처리 가능. 재위탁 시 위탁사 사전 동의 필수 |
| 4 | 고유식별정보 | 주민등록번호, 여권번호 등 개인을 고유하게 식별하는 정보 | 별도 동의 또는 법령 근거 없이 처리 불가 (법 제24조) |
| 5 | 민감정보 | 건강, 생체, 신념 등 개인의 사생활 침해 가능성이 높은 정보 | AI 안면인식, 생체인증 등이 해당. 별도 동의 필수 (법 제23조) |
금융 핀테크 수탁 구조 — 파트 A 담당 영역 (인증/AI + 클라우드/인프라)
| # | 핵심 개념 | 설명 | 실무/보안 관점 |
|---|---|---|---|
| 6 | 본인확인 서비스 (CI/DI) | 주민번호 기반으로 사용자 고유 연계정보를 생성·중계하는 서비스 | KCB, NICE 등이 수탁. 고유식별정보 처리이므로 최고 위험 등급 |
| 7 | e-KYC (비대면 실명확인) | OCR 신분증 판독, 안면인식 등 AI 기술 기반의 비대면 신원확인 | 생체정보 처리 시 법 제23조 적용. AI 자동화 결정 고지 의무도 추가 (법 제37조의2) |
| 8 | 전자인증 및 중계 | 공동인증서, 간편인증 등 전자서명 서비스를 중계하는 업무 | 인증 과정에서 개인정보 전달 경로가 다수 존재 → 각 구간 암호화 필수 |
| 9 | 클라우드 서비스 (CSP) | AWS, NHN Cloud 등 금융 시스템의 인프라를 제공하는 업체 | 전자금융거래법 제21조의2: 클라우드 이용 시 금융위 보고 의무 발생 |
| 10 | 망분리 의무 | 금융회사의 내부망과 인터넷망을 물리적/논리적으로 분리하는 규제 | 전자금융감독규정 제15조. 클라우드 환경에서도 동일하게 적용 |
컨설팅 프레임워크 — 단계별 구조
| # | 핵심 개념 | 설명 | 실무/보안 관점 |
|---|---|---|---|
| 11 | 착수/정의 (Define) | 프로젝트 범위, 대상 자산, 이해관계자, 목표 설정 단계 | 수탁사 목록 확정 및 위탁 업무 범위 정의가 여기서 결정됨 |
| 12 | 진단/측정 (Assess) | 현황 수집: 인터뷰, 문서 검토, 기술 스캔 등 실시 | 체크리스트 기반 점검 + 증적 수집이 핵심 |
| 13 | 분석/평가 (Analyze) | 리스크 = 영향 × 가능성으로 산출. 우선순위 도출 | 고유식별정보 처리 수탁사 = 고위험 우선 점검 대상 |
| 14 | 개선 설계 (Design) | To-Be 아키텍처, 개선 과제 백로그, 로드맵 작성 | 미흡 항목에 대한 개선 권고안 및 기한 명시 필수 |
| 15 | 검증/보고 (Validate) | 재점검, KPI 이행률 확인, 최종 보고서 작성 | 경영진 요약본 + 기술 부록 형태로 구성 권장 |
2. 회의 내용 정리
회의 2-1: 프로젝트 주제 선정 과정
목표: 파이널 프로젝트 대상 업종 및 위탁사 확정
검토한 후보 업종:
후보 1 — 온라인 뱅킹 (토스, 카카오뱅크):
- 장점: 위·수탁 관계가 다양하고 풍부함
- 특징: 결제, 인증, CS, 클라우드 등 모든 카테고리를 포괄 가능
후보 2 — 항공사:
- 연결 가능 수탁사: 공항, 택배사, 얼리체크인, 마케팅, 렌트카, 호텔, 클룩
- AI 수탁 가능: 챗봇, 여행일정 추천, 고객 세그먼트 분석, 탑승 얼굴인식
- 검토 결과: 흥미롭지만 금융 도메인 대비 법령 체계가 분산됨
최종 결정:
→ 금융(핀테크) 도메인으로 확정
근거:
- 위·수탁 관계가 명확하고 구조화되어 있음
- 개인정보보호법, 전자금융거래법, 전자금융감독규정 등 적용 법령이 명확하게 체계화되어 있음
- 실제 사고 사례 및 처분 사례가 풍부함
- AI를 수탁자로 포함 가능 (e-KYC, 안면인식, 챗봇 등)
회의 2-2: 파트 구성 및 역할 분담
목표: 6개 카테고리를 3개 파트로 나누어 역할 분담 확정
파트 A — IT & 인프라 조 (4명):
- 멤버: 최호준, 임xx, 김xx, 강xx
- 담당: 카테고리 1 (인증/AI) + 카테고리 3 (클라우드/보안 인프라)
- 핵심 영역: 시스템 아키텍처, 암호화, 클라우드 접근 통제
파트 B — CS & 마케팅 조 (3명):
- 멤버: 정xx, 박xx, 서xx
- 담당: 카테고리 4 (고객접점/메시징) + 카테고리 2 (결제/API 중계)
- 핵심 영역: 녹취 암호화, 망분리, 마케팅 동의 데이터 파기
- 비고: 조장은 연장자 기준으로 결정
파트 C — 물리 & 사후관리 조 (4명):
- 멤버: 원xx, 명xx, 오x, 안xx
- 담당: 카테고리 5 (물류/오프라인) + 카테고리 6 (신용정보/법률)
- 핵심 영역: PDA 단말기 분실, 종이 서류 파기, 채권 추심원 접근 통제
특이사항:
- 김선아 — 건강 이슈로 금일 회의 미참석 → 회의 내용 별도 공유 필요
3. 파트별 담당 카테고리 비교
6개 카테고리 전체 구조
| 카테고리 | 명칭 | 위험 등급 | 담당 파트 | 핵심 수탁사 예시 |
|---|---|---|---|---|
| 1 | 금융 코어 및 인증 서비스 | High-Risk | 파트 A | KCB, NICE, 알체라, 드림시큐리티 |
| 2 | 금융 및 결제 프로세싱 | Transaction | 파트 B | 토스페이먼츠, KG이니시스, 쿠콘 |
| 3 | IT 인프라 및 보안·데이터 분석 | Governance | 파트 A | AWS, SK쉴더스, 안랩 |
| 4 | 고객접점 및 운영 지원 | CS & Marketing | 파트 B | 효성ITX, 유베이스, 비즈톡 |
| 5 | 물류 및 오프라인 보안 | Physical | 파트 C | CJ대한통운, 모세시큐리티, 아이언마운틴 |
| 6 | 신용정보 및 사후관리 | Recovery | 파트 C | NICE신용정보, 더치트, 김앤장 |
파트별 보안 점검 포인트 비교
| 파트 | 주요 보안 이슈 | 적용 법령 | 난이도 |
|---|---|---|---|
| 파트 A | 고유식별정보 암호화, e-KYC 생체정보 처리, 클라우드 망분리, AI 자동화 결정 고지 | 개인정보보호법 제23·24조, 전자금융거래법 제21조의2, 전자금융감독규정 제15조 | 높음 |
| 파트 B | 녹취 파일 암호화, 마케팅 동의 파기, 결제 API 전송 암호화, 재위탁 통제 | 개인정보보호법 제26조, 전자금융거래법 제21조 | 중간 |
| 파트 C | PDA 단말기 분실, 종이 파기 증적, 채권 추심원 접근 통제, 신용정보법 준수 | 개인정보보호법 제21·29조, 신용정보법 | 중간 |
4. 심화 분석
파트 A 수탁사 리스크 레지스터 (예시)
| 수탁사 | 위탁 업무 | 핵심 위험 | 적용 법령 | 위반 시 제재 |
|---|---|---|---|---|
| (주)케어인증 | 본인확인/CI·DI 생성 | 주민번호 평문 저장 | 법 제24조, 제29조 | 과태료 3,000만원 이하 |
| (주)알체라 | AI 안면인식 | 생체정보 별도 동의 미확보 | 법 제23조 | 과징금 전년도 매출 3% |
| AWS | 클라우드 인프라 | 금융위 사전 보고 누락 | 전금법 제21조의2 | 시정명령, 과태료 |
| (주)시큐리티가드 | 보안 관제 | 72시간 내 침해신고 미이행 | 법 제34조 | 과태료 3,000만원 이하 |
| (주)테크솔루션 | 블록체인 인증 | 불변성으로 인한 파기 불가 | 법 제21조 | 과태료 3,000만원 이하 |
컨설팅 산출물 구조 (예정)
산출물 목록:
-
수탁사 현황 관리 대장
- 수탁사명, 위탁 업무, 처리 개인정보, 계약 기간, ISMS 인증 여부
-
개인정보 처리 위탁 계약서 (표준 템플릿)
- 위탁 목적, 재위탁 제한, 파기 절차, 손해배상, 침해신고 조항
-
수탁사 보안 진단 체크리스트
- 계약/법적 근거, 기술적 보호조치, 관리적 보호조치
-
수탁사 보안 진단 결과 보고서
- 진단 개요, 미흡 사항, 개선 권고, 차기 점검 일정
-
리스크 레지스터
- 자산/위협/취약점/영향/가능성/등급/대응방안/담당/기한
5. 보안 적용
보안 전문가 관점 — 위·수탁 관리체계 점검 포인트
| 단계 | 점검 포인트 | 주요 확인 항목 | 대응 방안 |
|---|---|---|---|
| 계약 단계 | 위탁 계약서 필수 기재사항 완비 여부 | 위탁 목적, 재위탁 제한, 파기 절차, 손해배상 | 표준 계약서 템플릿 적용 + 법령 기반 조항 체크 |
| 운영 단계 | 수탁사의 기술적/관리적 보호조치 이행 여부 | 암호화, 접근 통제, 접속 기록, 교육 실시 | 연 1회 이상 정기 점검 (법 제26조 제4항) |
| 사고 단계 | 침해사고 발생 시 위탁사 즉시 통보 여부 | 통보 절차 문서화, 72시간 신고 이행 | 침해사고 대응 매뉴얼 수립 및 담당자 지정 |
다음 회의 준비 체크리스트
파트 A 준비 사항:
계약 / 법적 검토:
- 카테고리 1, 3 수탁사별 적용 법령 매핑 완료
- 고유식별정보 처리 수탁사 별도 동의 요건 확인
- 클라우드 이용 시 금융위 보고 절차 파악
- AI 자동화 결정 고지 의무 (법 제37조의2) 내용 정리
수탁사 조사:
- 파트 A 담당 수탁사 6~7개 최종 선정
- 각 수탁사 주요 위탁 업무 및 처리 개인정보 항목 정리
- ISMS-P 인증 여부 확인
산출물 준비:
- WBS 초안 작성 참여
- 수탁사 현황 관리 대장 초안 작성
6. 배운 점 및 인사이트
오늘 논의에서 새로 확인한 점
- 항공사 vs 금융 도메인 선택: 항공사도 위·수탁 관계가 풍부하지만, 금융은 법령 체계가 명확하게 정비되어 있어 컨설팅 결과물의 완성도를 높이기 유리하다는 판단이 설득력 있었다.
- AI를 수탁자로 포함: 단순 SW 벤더가 아닌 e-KYC, 안면인식, 챗봇 등 AI 처리를 수행하는 업체를 수탁사로 편입시키면 법 제37조의2(AI 자동화 결정)까지 점검 범위가 확장된다.
- 블록체인 수탁사의 특수성: 불변성(immutability) 속성으로 인해 법 제21조의 파기 의무를 이행하기 어려운 구조적 리스크가 존재한다. 기술적 특성과 법적 의무 간의 충돌 사례로 심화 분석할 가치가 있다.
- 파트 구성의 논리: 단순히 인원을 나눈 게 아니라, 기술적 전문성과 업무 성격에 따라 파트를 구분한 점이 향후 체크리스트 품질에도 영향을 줄 것이다.
이전 학습과의 연결고리
- ISMS-P 인증 학습과 연계: 이전에 학습한 ISMS-P 통제 항목이 수탁사 체크리스트의 기반이 된다. 특히 접근 통제, 암호화, 로그 관리 항목은 그대로 적용 가능하다.
- SQL Injection → 개인정보 유출 경로: 웹 취약점 실습에서 다룬 DB 접근 취약점이 수탁사 시스템에서 발생할 경우 개인정보보호법 위반으로 이어지는 연결 구조가 명확해졌다.
- Wazuh SIEM → 수탁사 접속 기록 모니터링: SIEM 구축 실습 경험이 수탁사의 접속 기록 위변조 방지 점검 항목과 직결된다.
실무 적용 아이디어
보안 전문가 관점:
- 수탁사 위험 등급 분류: 처리하는 개인정보의 민감도에 따라 수탁사를 High/Medium/Low로 분류하고, 점검 주기와 깊이를 차등 적용하는 리스크 기반 관리 체계를 설계할 수 있다.
- AI 수탁사 특화 체크리스트: 일반 수탁사 점검 항목 외에 AI 학습 데이터 파기 가능 여부, 자동화 결정 고지 절차, 모델 재학습 시 데이터 범위 등 AI 특화 항목을 별도로 구성하면 차별화된 산출물이 된다.
- 블록체인 파기 불가 리스크 대응: 개인정보 자체를 체인에 올리지 않고 해시값이나 암호화 키만 저장하는 설계 방식을 개선 권고안으로 제시하는 것이 현실적이다.
컨설턴트 관점:
- 계약서 표준 템플릿화: 6개 카테고리별로 위탁 업무 성격이 다르므로, 각 파트가 담당 카테고리에 맞는 계약서 조항을 별도로 설계하면 산출물의 완성도가 올라간다.
- 처분 사례 기반 근거 강화: 개인정보위원회 처분 사례를 체크리스트 항목과 1:1로 매핑하면 “이 항목을 왜 점검해야 하는가"에 대한 설득력이 높아진다.
7. Quick Reference
다음 회의 안건 및 준비 사항
다음 회의 안건:
- WBS 작성
- 파트별 수탁사 확정 (각 6~7개)
- 프레임워크 구성 방향 논의
개인 준비 사항 (파트 A):
- 카테고리 1, 3 수탁사 조사 (업무, 처리 정보, 사고 사례)
- 적용 법령 매핑 (개인정보보호법, 전자금융거래법, 전자금융감독규정)
- ISMS-P 적용 여부 검토
핵심 적용 법령 요약표
| 구분 | 법령 | 주요 조항 | 핵심 내용 | 위반 제재 |
|---|---|---|---|---|
| 위탁 관리 | 개인정보보호법 | 제26조 | 위탁 계약서 필수 기재, 수탁사 관리·감독 의무, 재위탁 제한 | 과태료 |
| 고유식별정보 | 개인정보보호법 | 제24조 | 주민번호 등 처리 시 별도 동의 또는 법령 근거 필수 | 과징금, 과태료 |
| 민감정보 | 개인정보보호법 | 제23조 | 생체정보·건강정보 처리 시 별도 동의 필수 | 과징금, 과태료 |
| AI 자동화 | 개인정보보호법 | 제37조의2 | 자동화 결정 고지 및 정보주체 거부권 보장 | 과태료 |
| 안전조치 | 개인정보보호법 | 제29조 | 암호화, 접근 통제, 접속 기록 등 기술적·관리적 조치 | 과징금 |
| 클라우드 | 전자금융거래법 | 제21조의2 | 금융회사 클라우드 이용 시 금융위 보고 의무 | 시정명령 |
| 망분리 | 전자금융감독규정 | 제15조 | 내부망-인터넷망 물리적/논리적 분리 의무 | 시정명령 |
수탁사 점검 체크리스트 (기본 프레임)
계약 및 법적 근거:
- 위탁 계약서 체결 및 필수 기재사항 완비 여부
- 위탁 업무 목적 외 개인정보 이용 금지 조항 포함 여부
- 재위탁 제한 및 사전 동의 조항 포함 여부
- 고유식별정보 처리 시 별도 동의 확보 여부
기술적 보호조치:
- 개인정보 전송 구간 암호화 (TLS) 적용 여부
- 고유식별정보 저장 시 AES-256 이상 암호화 여부
- 접근 권한 최소화 및 권한 관리 이력 보관 여부
- 접속 기록 보관 및 위변조 방지 조치 여부
관리적 보호조치:
- 개인정보 취급자 교육 실시 및 이력 보관 여부
- 개인정보보호 책임자 지정 여부
- 침해사고 대응 매뉴얼 수립 및 담당자 지정 여부
- 계약 종료 시 개인정보 파기 절차 및 확인 방법 명시 여부
8. 트러블슈팅
| 문제 | 원인 | 해결 방법 |
|---|---|---|
| 항공사 vs 금융 도메인 결정 지연 | 두 후보 모두 장점이 뚜렷하여 방향이 갈렸음 | 법령 체계 명확성과 처분 사례 풍부성을 기준으로 금융으로 확정 |
| 블록체인 수탁사의 파기 의무 충돌 | 불변성이 핵심 속성인 블록체인과 법 제21조 파기 의무 간 구조적 충돌 | 개인정보 자체 대신 해시값/암호화 키만 체인에 저장하는 설계로 개선 권고 |
| 김xx 회의 미참석으로 인한 파트 A 공백 | 건강 이슈로 불가피한 결석 | 회의 내용 공유 및 다음 회의 전 개인 준비 사항 전달로 보완 |
| 수탁사 범위 너무 광범위 | 6개 카테고리 전체를 한 번에 다루면 깊이가 낮아질 우려 | 파트별 6~7개로 수탁사 수를 제한하고, 다음 회의에서 최종 확정 예정 |
Today’s Insight:
오늘 회의에서 “항공사냐, 금융이냐"를 두고 잠깐 흔들렸지만, 결국 법령 체계의 명확성이 결정적인 기준이 됐다. 컨설팅 프로젝트에서 “왜 이걸 점검하는가"에 대한 근거는 결국 법령에서 나오기 때문이다. AI를 수탁자로 편입하는 발상도 단순한 아이디어가 아니라, 법 제37조의2라는 구체적인 조항과 연결되면서 실제 점검 범위를 넓혀주는 논리가 됐다. 파트를 기술 성격에 따라 구분한 것도 마찬가지다. 누가 어떤 영역을 깊게 파야 하는지가 명확해지면, 각자의 산출물 품질이 달라진다. 지금은 범위를 확정하고 구조를 세우는 단계인데, 이 기반이 탄탄할수록 이후 체크리스트와 보고서의 완성도가 결정된다는 걸 다시 한번 느꼈다.