Week 16 — 파이널 프로젝트 준비: 개인정보 위·수탁 관리체계 컨설팅
프로젝트 전체 자료는 GitHub에서 확인할 수 있습니다. hojjang98 / skshielders-rookies-28 — projects/week_16
파이널 프로젝트 개요
SK쉴더스 루키즈 28기 과정의 마지막 프로젝트다. 그동안 개인 솔로로 진행했던 기술 실습에서 팀 단위 실무 수준 컨설팅 으로 무게중심이 이동한다.
| 항목 | 내용 |
|---|---|
| 프로젝트 주제 | 개인정보 위·수탁 관리체계 컨설팅 |
| 핵심 역할 | 위탁사 관점에서 수탁사를 관리/감독하는 일련의 절차 수행 |
| 산출물 | 수탁사별 진단 보고서 + 최종 통합 보고서 |
| 참고 모델 | 전기수: S카드 (위탁자) + 18개 업체 (수탁사, 7개 업종) |
멘토링 5차 계획:
1차 : 프로젝트 방향 설정 + 수행계획서(WBS) 작성
2차 : 보안요구사항 수립 + 진단 체크리스트 개발
(근거: 개인정보보호법, 안전성 확보조치 기준, ISMS-P)
3차 : 현황관리 + 보안수준 진단 실습 (인터뷰, 증적 검토)
4차 : 수탁사별 진단결과 보고서 작성
5차 : 최종 보고서 완성 + 발표 준비
핵심 개념 — 위탁 vs 제3자 제공
개인정보 컨설팅에서 가장 먼저 명확히 해야 할 개념이다.
위탁 (처리위탁):
- 위탁자의 업무를 처리하기 위해 수탁자에게 개인정보 처리를 맡기는 것
- 예: 쇼핑몰 → 배송업체 (쇼핑몰의 배송 업무를 대신)
- 규율: 개인정보보호법 제26조
제3자 제공:
- 제3자가 자신의 목적으로 개인정보를 이용하도록 제공하는 것
- 예: 마일리지 제휴사 연동 (제휴사가 자사 서비스에 활용)
- 규율: 개인정보보호법 제17조
핵심 구분 기준: 개인정보 처리의 주체가 누구인가?
- 위탁자 목적 + 수탁자 대행 => 위탁
- 수탁사 자체 목적 사용 => 제3자 제공
위탁자 후보 검토
팀 내 브레인스토밍에서 나온 후보 카테고리:
이커머스 : 마켓컬리, 쿠팡, 알리/테무
금융 : 카드사, 토스, 카카오뱅크/페이
AI 기업 : 뤼튼, 이루다, 업스테이지
의료 : 삼성헬스, 의료기기 업체
항공 : 아시아나항공, 트립닷컴
기타 : NICE (공공), 에어비앤비, 교육기관
AI 기업 시나리오 사전 조사
팀원 개인 과제로 수행한 AI 기업 위탁사 설정 시나리오 분석.
가상 위탁자 설정
기업명 : AI 대화형 서비스 기업 W사 (가상)
서비스 : 기업용 AI 챗봇, 개인 비서 AI
처리 정보 : 사용자 대화 내역, 개인정보, 기업 내부 데이터
가상 수탁사 20개 (업종별):
인프라/클라우드 (5개) : AWS/GCP/Azure, CDN, IDC, 모니터링, 백업
데이터 처리 (5개) : 라벨링, 크롤링, 전처리, 품질검수, 번역/다국어
개발/기술 (3개) : AI 모델 학습 인프라, API 게이트웨이, SOC
운영/지원 (4개) : CS, 결제대행(PG/VAN), SMS/이메일, 챗봇 QA
마케팅/기타 (3개) : 디지털 마케팅, 법률 자문, 물리보안
AI 기업 관련 보안 사고 사례 분석
AI 산업에서 반복되는 개인정보 침해 패턴을 파악하기 위해 주요 사례를 분석했다.
사례 1 — 이루다 개인정보 유출 (2021, 스캐터랩)
사고 내용: 카카오톡 대화 데이터 1억 건을 무단 수집하여 AI 학습에 사용. 학습 데이터에 성명, 연락처, 성적 취향 등 민감정보가 포함되어 챗봇 대화 중 노출.
처벌: 과징금 1억 3,400만 원, 검찰 기소
컨설팅 시사점:
- AI 학습 데이터 수집 시 비식별화 처리 필수
- 목적 외 이용 금지 원칙 준수 (개인정보보호법 제18조)
- 사용자 동의 절차 의 명시적 관리 필요
사례 2 — ChatGPT 데이터 유출 (2023, OpenAI)
사고 내용: Redis 라이브러리 버그로 일부 사용자의 대화 제목, 결제 정보가 다른 사용자에게 노출.
조치: 서비스 일시 중단 후 보안 패치
컨설팅 시사점:
- 오픈소스 라이브러리의 정기적인 취약점 패치 관리 필요
- 클라우드 인프라의 데이터 격리 설계 검증
- 수탁사(클라우드 인프라 제공사)의 보안 사고 통보 절차 계약화
사례 3 — 삼성전자 ChatGPT 기밀 유출 (2023)
사고 내용: 임직원이 반도체 설비 정보, 소스코드를 ChatGPT 에 입력하여 외부 AI 학습 데이터로 저장될 가능성 발생.
조치: 사내 생성AI 사용 전면 금지, 자체 AI 개발 추진
컨설팅 시사점:
- 외부 AI 서비스 이용 정책 수립 필요
- 기업 내부 정보를 외부 AI 에 입력하는 것에 대한 접근통제 정책 구현
- 위탁 계약 시 데이터 주권 조항 (AI 학습 활용 금지 등) 명시
사례 4 — Clearview AI 안면인식 데이터 수집 (2020~)
사고 내용: SNS 에서 30억 장 이상의 얼굴 사진을 동의 없이 수집하여 안면인식 DB 구축.
처벌: 유럽 각국 과징금, 서비스 중단 명령
컨설팅 시사점:
- AI 학습용 데이터 수집 시 정보주체 동의 및 법적 근거 필수
- 생체정보 처리는 별도 동의 필요 (개인정보보호법 제23조)
- GDPR 등 국외 데이터 규정 준수 체계 구축
사례 5 — Amazon Alexa 음성 데이터 외주 인력 청취 (2019)
사고 내용: 외주 직원들이 Alexa 음성 녹음 파일을 수동 검토하면서 의료·금융 정보 등 민감 대화 내용 접근.
조치: 사용자 동의 옵션 추가, 외주 인력 관리 강화
컨설팅 시사점:
- 음성 데이터 처리 외주 시 수탁사 접근통제 계약 필수
- 수탁사 직원의 개인정보 접근 범위 명확화
- 이 사례가 수탁사 관리/감독 체계의 중요성 을 극명하게 보여줌
AI 기업 위·수탁 관계의 주요 리스크
사례 분석을 통해 도출한 AI 업종 특유의 위·수탁 리스크:
1. AI 학습 데이터 처리 단계의 개인정보 유출
=> 비식별화 미흡, 동의 절차 부재
2. 클라우드 인프라 취약점
=> 설정 오류, 오픈소스 라이브러리 취약점, 접근통제 미흡
3. 데이터 라벨링·전처리 외주업체 통제 부재
=> 수탁사 직원이 실제 개인정보에 접근하는 구조
4. 데이터 주권 및 국외 이전 관리
=> 해외 클라우드 사용 시 국외 이전 절차 준수 여부
=> 개인정보보호법 제28조의8 고지·동의 의무
5. 재위탁 통제
=> 수탁사가 제3의 업체에 무승인으로 재위탁하는 사례 다수
=> 개인정보보호법 제26조 제6항 위반
학습 성과 정리
| 영역 | 학습 내용 |
|---|---|
| 위·수탁 개념 | 위탁 vs 제3자 제공의 법적 구분 기준 이해 |
| 관련 법령 | 개인정보보호법 제17조, 제18조, 제21조, 제23조, 제26조, 제28조의8 |
| 진단 근거 | ISMS-P 인증기준, 안전성 확보조치 기준 구조 파악 |
| 사례 분석 | AI 기업 5개 사건을 통해 반복되는 침해 패턴 도출 |
| 팀 협업 | 위탁자/수탁사 선정을 위한 팀 브레인스토밍 진행 |
다음 주 예고 — Week 17: 수탁사 현황 시나리오 수립
항공사 시나리오(가칭)를 위탁자로 선정한 뒤, 9개 업종의 수탁사별 개인정보 처리 현황 + 컴플라이언스 이슈 를 구체화한다.