보안 요구사항 있는 SI 외주 진행 방법
보안 요구사항이 있는 소프트웨어 외주 개발(금융, 의료, 공공, 개인정보 처리 등)의 진행 방법과 필수 보안 항목을 정리합니다.
- •개인정보를 다루는 서비스는 개인정보보호법에 따른 기술적·관리적 보호조치가 법적 의무입니다.
- •보안 요구사항은 개발 초기부터 설계에 반영해야 하며, 나중에 추가하면 비용이 2~3배 증가합니다.
- •기본 보안(SSL, 암호화, 인증)은 모든 프로젝트에 필수이고, 추가 비용은 전체의 10~20%입니다.
보안 수준별 요구사항
프로젝트의 성격에 따라 필요한 보안 수준이 다릅니다.
기본 보안 (모든 프로젝트 필수)
중급 보안 (개인정보 처리 시)
고급 보안 (금융/의료/공공)
개인정보보호법 필수 조치
한국에서 개인정보를 수집·처리하는 서비스는 법적 의무사항이 있습니다.
기술적 보호조치 (법적 의무):
1. 접근 권한 관리: 개인정보에 접근할 수 있는 사람을 최소화하고 기록
2. 접근 통제: 비인가 접근을 차단하는 시스템 (방화벽, 접근 제어)
3. 암호화: 비밀번호, 주민등록번호 등은 반드시 암호화 저장
4. 접속 기록 관리: 개인정보 처리 시스템 접속 기록을 6개월 이상 보관
5. 보안 프로그램 설치: 악성 프로그램 방지 (서버 보안)
관리적 보호조치:
개인정보 처리방침 공개
개인정보 처리 위탁 계약 (외주 시)
내부 관리계획 수립
개인정보 영향평가 (대규모 처리 시)
위반 시 제재:
과태료: 최대 5,000만 원
과징금: 매출액의 최대 3%
형사처벌: 5년 이하 징역 또는 5,000만 원 이하 벌금
중요: 외주 개발 시 개발사는 "개인정보 처리 수탁자"에 해당하므로, 개인정보 처리 위탁 계약을 반드시 체결해야 합니다.
보안 비용과 일정 영향
보안 요구사항은 개발 비용에 직접적인 영향을 미칩니다.
| 보안 항목 | 추가 공수 | 추가 비용 (비율) |
|---|---|---|
| 기본 보안 (SSL, XSS, CSRF) | 2~3일 | 전체의 5~10% |
| 개인정보 암호화 + 접근 로그 | 3~5일 | 전체의 10~15% |
| 2FA + IP 제한 + 감사 로그 | 5~10일 | 전체의 15~20% |
| 보안 취약점 점검 (모의 해킹) | 외부 의뢰 | 200만~500만 원 |
| WAF + 망분리 | 인프라 설정 | 월 10만~50만 원 |
| ISMS 인증 대응 | 수개월 | 3,000만~1억 원+ |
비용을 줄이는 방법:
1. 기본 보안은 초기 개발에 포함 (추가 비용 최소)
2. 보안 취약점 점검은 1차 런칭 후 실시
3. ISMS 인증은 서비스 안정화 후 단계적 진행
4. 클라우드(AWS) 보안 서비스 활용으로 직접 구축 비용 절감
핵심: 보안을 나중에 추가하면 기존 코드를 전부 수정해야 하므로 비용이 2~3배 증가합니다. 초기 설계 시 보안 요구사항을 반영하는 것이 가장 경제적입니다.
외주 계약 시 보안 관련 필수 조항
보안 요구사항이 있는 프로젝트에서 계약 시 포함해야 할 조항입니다.
개인정보 처리 위탁 계약:
외주 개발사가 개인정보를 처리하게 되므로, 개인정보보호법에 따른 위탁 계약을 별도로 체결합니다.
비밀유지(NDA) 강화:
일반 NDA에 추가하여, 개발 과정에서 접근하는 데이터의 보안 의무를 강화합니다.
보안 준수 사항 명시:
개발 환경에서의 보안 기준 (VPN 접속 등)
테스트 데이터 사용 (실제 개인정보 사용 금지)
프로젝트 완료 후 개발 환경의 데이터 삭제 의무
소스코드 내 하드코딩된 비밀번호/키 금지
보안 점검 권한:
발주사 또는 제3자가 보안 점검을 실시할 수 있는 권한을 명시합니다.