공공기관이 관행적으로 사용해 온 구글 폼이나 네이버 폼, 과연 보안 감사에서 안전할까요?
지난 2026년 4월, 주요 언론 보도에 따르면 대다수의 공공기관이 온라인 설문 과정에서 개인정보 관리 사각지대에 놓여 있다는 점이 심각하게 지적되었습니다.
특히 수탁사의 개인 계정 사용, 데이터의 무단 국외 이전과 파기 증빙 부재는 보안 감사의 핵심 타겟이 되고 있습니다.
1. 개인정보 위탁, ‘책임’까지 위탁할 수는 없습니다
많은 실무 담당자분께서 “용역사에 보안 준수를 명시했으니 문제없겠지”라고 생각하십니다.
하지만 개인정보 보호법에 따르면 개인정보 처리를 위탁하더라도 그에 대한 관리·감독 책임은 여전히 기관(위탁자)에 있습니다.
사고 발생 시 수탁사의 보안 규정 미준수를 몰랐다는 변명은 통하지 않습니다.
이제는 담당자의 선의나 수탁사의 ‘말’에 의존하는 대신, 시스템이 기관의 안전장치가 되어주는 구조를 만들어야 합니다.
사고 발생 시 수탁사의 보안 규정 미준수를 몰랐다는 변명은 통하지 않습니다.
이제는 담당자의 선의나 수탁사의 ‘말’에 의존하는 대신, 기관의 안전장치가 되어주는 구조를 만들어야 합니다.
수탁사가 어떤 도구를 쓰는지 통제하지 못한다면, 그 책임은 결국 담당자에게 돌아옵니다.
개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한)
④ 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다. <개정 2015. 7. 24.>
⑦ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다. <개정 2023. 3. 14.>
2. 보안의 성패는 ‘계약’이 아닌 ‘온라인설문 RFP’에서 결정됩니다
공공기관이 온라인 설문이나 행사를 외부에 위탁하는 경우 개인정보 보호 리스크를 차단하는 가장 확실한 방법은 사업이 있습니다.
바로 사업을 공고하는 단계에서, 즉 RFP(제안요청서) 단계에서 기술적 보안 요구사항을 반영하는 것입니다.
계약서에 “보안을 준수해야 한다”는 원론적인 문구만 넣는것은 현행 개인정보보호법을 준수하지 못합니다.
그리고 운영 단계에서 수탁사의 개인정보 처리 현황을 점검하고 교육하는 등의 통제를 할 근거가 부족하기도 합니다.
온라인 설문 RFP 작성 시 다음의 보안 요건이 포함되어 있는지 반드시 확인해야 합니다.
- 국내에 개인정보가 저장하는 요구사항이 반드시 포함되어야 합니다.
참고로 구글폼은 수집된 응답값을 미국에 저장하는데요. 이 과정에서 국외이전이 일어나게 되니 주의가 필요합니다. - 공공기관의 클라우드 서비스 이용을 위해서는 국가정보원의 보안성 검토에 준하는 CSAP 인증 표준등급 이나 ISMS-P 인증이 있는 솔루션을 도입하여 보안이 확보된 솔루션을 사용해야 합니다.
- 수탁사가 수기 작성하는 것이 아닌, 시스템이 기록한 접속기록, 권한부여로그, 파기로그 등 무결성을 객관적으로 확보할 수 있는 솔루션을 사용해야 합니다.
3. 온라인 설문/ 이벤트 RFP 작성 실무 매뉴얼을 신청하세요!
복잡한 개인정보 보호법 조항을 일일이 공부하여 RFP에 녹여내지 않고
향후 정책 변화에 선제적으로 대응하실 수 있도록 “공공기관 온라인 설문/이벤트 용역 RFP 작성 실무 매뉴얼”을 공유드립니다.
본 자료는 특정 솔루션 도입 권장보다, 감사 리스크를 최소화하기 위한 최소한의 기준을 수립하시는 데 초점을 맞추었습니다.
기관 내 개인정보보호 지침 수립이나 신규 사업 발주 시 참고하실 수 있도록 실태 조사에서 지적된 항목별 보안 관리 지표와 체크리스트를 담고 있습니다.
관련글 더 보기
👉 위탁사라면 알아야 하는 위수탁 계약의 모든 것
👉 수탁사라면 알아야 하는 수탁사 점검 대응 가이드
