IT·전산 유지보수 외주 관리 — 정보보안·근로자 지위·산재의 삼중고
"서버실에서 일하던 외주 기사가 감전으로 쓰러졌습니다. 그런데 그 사람은 우리 직원이 아니라면서요?"
학교의 전산실, 공공기관의 서버실, 기업의 네트워크 센터. 이 공간을 24시간 유지보수하는 인력의 상당수는 위탁용역 소속입니다. 서버를 설치하고, 네트워크를 관리하고, PC를 수리하고, 보안 시스템을 점검하는 이들은 "IT 전문가"라는 이름으로 불리지만, 정작 고용 관계에서의 지위는 매우 불안정합니다.
IT 외주 인력이 직면하는 문제는 세 가지입니다. 첫째, 정보보안입니다. 이들은 원청의 핵심 정보 시스템에 관리자 권한으로 접근합니다. 개인정보, 재무 데이터, 보안 시스템의 취약점까지 알 수 있습니다. 이 정보가 유출되면 원청은 치명적인 피해를 입게 됩니다. 둘째, 근로자 지위의 불명확성입니다. IT 외주 인력 중 상당수는 "프리랜서" 또는 "특수형태근로종사자"로 분류되어, 근로기준법의 보호를 제대로 받지 못하는 경우가 있습니다. 셋째, 산업재해입니다. 서버랙 작업 중 감전, 고소 작업 중 추락, 장시간 모니터링으로 인한 근골격계 질환 등 IT 작업에도 다양한 위험이 존재합니다.
이 글에서는 IT·전산 유지보수 외주 관리의 3대 쟁점인 정보보안, 근로자 지위, 산업재해를 중심으로, 관련 법령과 실무 대응 방법을 완전히 해설합니다.
목차
- IT 외주의 현실 — 왜 구조적으로 위험한가
- IT 외주 인력의 유형별 분석
- 쟁점 1: 정보보안 — 관리자 권한을 가진 외부인의 딜레마
- 개인정보보호법상 외주 인력의 보안 의무
- 정보통신망법과 정보보호 관리체계(ISMS)
- 정보보안 관련 계약 조항의 핵심
- 쟁점 2: 근로자 지위 — 파견과 도급, 특수고용의 삼각형
- IT 외주 인력의 근로자성 판단 기준 — 대법원 판례 분석
- 파견과 도급의 법적 구분 — IT 외주에의 적용
- 특수형태근로종사자의 IT 외주 적용
- 쟁점 3: 산업재해 — 감전·추락·근골격계의 IT 위험
- 전기 관련 IT 작업의 안전 기준
- 서버실 환경 관리 — 온도·습도·소음의 삼중 위험
- IT 외주 용역계약서 핵심 조항 해설
- 산업안전보건법상 도급인의 안전조치 의무 — IT 외주 적용
- 원청과 용역사의 책임 분리 기준
- 클라우드 전환에 따른 외주 구조 변화
- 실무 체크리스트 — 원청 관리자를 위한 15가지
- 참고 자료 및 출처
- 블로그 해시태그 추천
1. IT 외주의 현실 — 왜 구조적으로 위험한가
IT 외주 시장의 규모
공공기관·학교·기업의 IT 인프라 유지보수는 대부분 외주로 운영됩니다. 한국정보화진흥원의 조사에 따르면, 공공기관의 IT 운영·유지보수 예산 중 외주 비용이 차지하는 비중은 70%를 상회합니다. 이는 공공기관이 자체 IT 인력을 충분히 확보하지 못하고, 전문 영역을 외부에 의존하고 있음을 보여줍니다.
IT 외주의 구조적 위험
IT 외주가 구조적으로 위험한 이유는 다음과 같습니다:
첫째, 정보 접근의 광범위성. IT 외주 인력은 원청의 핵심 정보 시스템에 관리자(root) 권한으로 접근합니다. 서버 관리자, 네트워크 관리자, 데이터베이스 관리자 등은 시스템의 모든 정보에 접근할 수 있습니다. 이는 다른 어떤 외주 직종보다 광범위한 정보 접근 권한을 가진다는 것을 의미합니다.
둘째, 근로자 지위의 불명확성. IT 분야에서는 "프리랜서 개발자", "IT 컨설턴트", "시스템 엔지니어" 등 다양한 형태의 고용 관계가 존재합니다. 이 중 상당수는 근로기준법상 근로자로 인정되지 않아, 산재보험 적용, 퇴직금 지급, 근로시간 보호 등에서 사각지대에 놓입니다.
셋째, 작업 환경의 위험성. IT 작업이 "깨끗하고 안전한 사무실 작업"이라는 인식과 달리, 서버랙 설치·해체, 케이블 포설(천장·바닥), UPS(무정전전원장치) 배터리 교체, 소화설비 점검 등 물리적 위험이 수반되는 작업이 많습니다.
2. IT 외주 인력의 유형별 분석
IT 외주 인력은 크게 다음과 같이 분류됩니다:
| 유형 | 설명 | 근무 형태 | 주요 위험 |
|---|---|---|---|
| 상주 인력 | 원청 사업장에 상주하며 24시간 유지보수 | 원청 사업장 내 | 정보 접근, 근로시간, 장시간 모니터링 |
| 출장 인력 | 고장·장애 발생 시 출장하여 수리 | 이동 근무 | 교통사고, 비숙련 작업 환경에서의 사고 |
| 프로젝트 인력 | 특정 IT 프로젝트(시스템 구축, 전환 등) 기간 동안 투입 | 프로젝트 현장 | 장시간 작업, 고소 작업(케이블 포설) |
| 프리랜서 | 특정 전문 기술을 가진 개인이 독립적으로 수탁 | 재택 또는 원청 사업장 | 근로자성 불인정, 산재보험 미적용 |
| 클라우드·원격 인력 | 원격으로 시스템을 관리·모니터링 | 재택 또는 용역사 사무실 | VDT 증후군, 근로시간 관리 어려움 |
3. 쟁점 1: 정보보안 — 관리자 권한을 가진 외부인의 딜레마
IT 외주 인력의 정보 접근 범위
IT 외주 인력이 접근할 수 있는 정보의 범위는 매우 광범위합니다:
| 업무 영역 | 접근 가능한 정보 | 민감도 |
|---|---|---|
| 서버 관리 | 서버에 저장된 모든 데이터, 로그, 설정 정보 | 최고 |
| 네트워크 관리 | 네트워크 트래픽, 방화벽 설정, VPN 구성 | 최고 |
| 데이터베이스 관리 | 고객 정보, 직원 정보, 재무 데이터 | 최고 |
| PC 유지보수 | 개별 PC의 파일, 이메일, 인터넷 사용 기록 | 높음 |
| 보안 시스템 관리 | 보안 취약점, 침입 탐지 로그, 백업 시스템 | 최고 |
| CCTV 시스템 관리 | CCTV 영상, 출입 기록 | 높음 |
정보 유출 시나리오
IT 외주 인력에 의한 정보 유출은 다양한 경로로 발생할 수 있습니다:
- 고의적 유출: 금전적 이익을 위해 경쟁사에 정보를 판매하는 경우
- 실수에 의한 유출: 작업 중 실수로 데이터를 삭제하거나, 이메일을 잘못 보내는 경우
- 퇴직 후 유출: 용역계약 종료 후 관리자 계정이 삭제되지 않아 접근하는 경우
- 사회공학적 공격: 해커가 IT 외주 인력을 대상으로 사회공학적 공격을 시도하는 경우
정보 유출 예방을 위한 기술적 조치
- 최소 권한 원칙: IT 외주 인력에게 꼭 필요한 시스템에만 접근 권한 부여
- 접근 로그 관리: 모든 접근 기록을 로그로 남기고 정기적으로 감사
- 계정 관리: 용역계약 종료 시 즉시 모든 계정 삭제
- 2단계 인증: 관리자 계정에 2단계 인증(OTP 등) 적용
- 데이터 암호화: 민감한 데이터는 암호화하여 저장
4. 개인정보보호법상 외주 인력의 보안 의무
개인정보보호법의 적용
「개인정보보호법」은 개인정보를 처리하는 모든 자에게 적용됩니다. IT 외주 인력이 원청의 개인정보 처리 시스템에 접근하는 경우, 이들도 개인정보보호법의 적용을 받습니다.
「개인정보보호법」 제24조의2(고유식별정보의 처리 제한)에 따르면, 주민등록번호, 외국인등록번호 등 고유식별정보의 처리는 법률에서 구체적으로 허용한 경우에만 가능합니다. IT 외주 인력이 시스템 관리 과정에서 이러한 정보에 접근하더라도, 이를 외부에 유출하거나 목적 외로 사용하면 개인정보보호법 위반입니다.
개인정보 처리 위탁의 기준
「개인정보보호법」 제26조(개인정보의 처리 위탁)는 개인정보 처리를 위탁하는 경우의 기준을 규정하고 있습니다:
- 위탁자(원청)는 수탁자(용역사)에게 개인정보를 안전하게 처리하도록 감독해야 합니다
- 수탁자(용역사)는 위탁받은 개인정보를 목적 외로 이용하거나 제3자에게 제공해서는 안 됩니다
- 위탁자는 수탁자에 대한 정기적 감독·점검을 실시해야 합니다
IT 외주 용역에서 이 조항은 매우 중요합니다. 원청은 용역사에게 IT 시스템의 유지보수를 위탁하면서, 해당 시스템에 저장된 개인정보에 대한 안전 관리 의무도 함께 위탁하는 것이기 때문입니다.
실무 대응
원청이 IT 외주 용역 시 개인정보 보호를 위해 해야 할 조치:
- 용역계약서에 개인정보 보호 조항 명시
- IT 외주 인력에 대한 개인정보보호 교육 실시
- 접근 권한 관리 체계 수립 (최소 권한 원칙)
- 정기적 접근 로그 감사
- 계약 종료 시 계정 삭제 확인
5. 정보통신망법과 정보보호 관리체계(ISMS)
정보통신망 이용촉진 및 정보보호 등에 관한 법률
「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 정보통신망법)은 정보통신서비스 제공자에게 정보보호 조치를 요구합니다. IT 외주 인력이 정보통신서비스 제공자의 시스템을 관리하는 경우, 이 법의 적용도 함께 받습니다.
정보통신망법 제28조(개인정보의 보호조치)는 개인정보의 안전한 처리를 위해 기술적·관리적 보호 조치를 해야 한다고 규정하고 있습니다. 구체적으로:
- 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술 적용
- 해킹 등에 대비한 침입차단·탐지 시스템 설치·운영
- 개인정보 접근 권한의 최소화 및 접근 기록 보관
- 개인정보 취급자에 대한 정기적 보안 교육
정보보호 관리체계(ISMS) 인증
「정보통신망법」 제47조의2에 따르면, 일정 규모 이상의 정보통신서비스 제공자는 정보보호 관리체계(ISMS) 인증을 받아야 합니다. ISMS 인증 기준에는 정보보호 관리체계 구축·운영, 보호 대책 요구 사항 등이 포함되며, IT 외주 인력의 관리도 이 기준에 포함됩니다.
ISMS 인증 기준에서 IT 외주 인력과 관련된 주요 항목:
- 외주 인력의 정보보호 교육 실시 여부
- 외주 인력의 접근 권한 관리 체계
- 외주 인력의 보안 서약서 징구 여부
- 외주 인력의 계정 관리 (발급·변경·삭제) 체계
6. 정보보안 관련 계약 조항의 핵심
IT 외주 용역계약서에 반드시 포함되어야 할 정보보안 관련 핵심 조항:
조항 1: 보안서약서 제출
IT 외주 인력 개개인이 보안서약서를 제출하도록 해야 합니다. 보안서약서에는 비밀유지 의무, 정보 유출 시 법적 책임, 퇴직 후 비밀유지 의무 등을 명시합니다. 「부정청탁 및 금품등 수수의 금지에 관한 법률」과도 연관되는 이 조항은 공공부문 IT 외주에서 특히 중요합니다.
조항 2: 접근 권한 관리
IT 외주 인력에게 부여되는 접근 권한의 범위와 관리 절차를 명확히 해야 합니다. 최소 권한 원칙에 따라, 꼭 필요한 시스템에만 접근 권한을 부여하고, 정기적으로 권한을 검토·조정하도록 규정해야 합니다.
조항 3: 계정 관리
용역계약 체결 시 계정 발급, 변경 시 권한 변경, 계약 종료 시 즉시 계정 삭제 등의 절차를 명시해야 합니다. 특히 계약 종료 후에도 관리자 계정이 남아 있는 것은 심각한 보안 위협입니다.
조항 4: 데이터 유출 시 책임
데이터 유출 시 용역사의 배상 책임 범위와 한도를 명확히 해야 합니다. 유출된 데이터의 종류·규모에 따라 배상액이 달라지도록 하되, 최소한의 배상 한도를 설정하는 것이 바람직합니다.
조항 5: 보안 점검·감사
원청이 용역사의 보안 관리 상태를 정기적으로 점검·감사할 수 있는 권한을 명시해야 합니다.
조항 6: 하도급 시 보안 관리
용역사가 IT 외주를 다시 하도급하는 경우, 하도급 업체에도 동일한 수준의 보안 관리를 요구하도록 규정해야 합니다.
7. 쟁점 2: 근로자 지위 — 파견과 도급, 특수고용의 삼각형
IT 외주 인력의 근로자성 문제
IT 외주 인력의 근로자 지위는 매우 복잡합니다. 동일한 "IT 엔지니어"라도 그 지위에 따라 적용되는 법률이 완전히 다릅니다:
| 지위 | 적용 법률 | 보호 수준 |
|---|---|---|
| 근로자 (직접 고용) | 근로기준법 전면 적용 | 최고 |
| 파견 근로자 | 파견법 적용, 2년 후 직접 고용 의무 | 높음 |
| 도급(용역) 근로자 | 용역사에 대해 근로기준법 적용, 원청과는 도급인 의무 | 중간 |
| 특수형태근로종사자 | 산재보험 적용, 근로기준법 일부 적용 | 낮음 |
| 프리랜서 (자영업) | 근로기준법 미적용 | 최저 |
왜 이 문제가 중요한가
IT 외주 인력의 지위가 불명확하면 다음과 같은 문제가 발생합니다:
- 산재보험 적용 여부: 근로자가 아닌 경우 산재보험 적용이 안 되어, 업무 중 사고 시 보상을 받지 못할 수 있음
- 근로시간 보호: 근로자가 아닌 경우 주 52시간 상한, 야간 수당, 휴게시간 등이 보호되지 않음
- 퇴직금: 근로자가 아닌 경우 퇴직금 청구권이 없음
- 해고 보호: 근로자가 아닌 경우 정당한 사유 없는 해고에 대한 보호를 받지 못함
- 4대 보험: 근로자가 아닌 경우 고용보험·국민건강보험·국민연금 등이 적용되지 않을 수 있음
8. IT 외주 인력의 근로자성 판단 기준 — 대법원 판례 분석
대법원의 판단 기준
대법원은 근로자성을 판단할 때 여러 요소를 종합적으로 고려합니다. 「근로기준법」 제2조는 근로자를 "직업의 종류를 불문하고 사업 또는 사업장에 임금을 목적으로 근로를 제공하는 자"로 정의합니다.
대법원 판례의 주요 판단 요소:
| 판단 요소 | IT 외주 적용 |
|---|---|
| 업무 지시권: 원청이 구체적인 업무 내용을 지시하는지 | 원청이 "이 서버를 오늘 중으로 점검해라"라고 직접 지시하면 근로자성 인정 가능성 높음 |
| 작업 시간 관리: 원청이 출퇴근 시간을 관리하는지 | 원청이 출퇴근 시간, 휴게 시간을 정하면 근로자성 인정 가능성 높음 |
| 인사권 행사: 원청이 채용·해고·징계에 관여하는지 | 원청이 특정 기사를 지정하여 배치 요청하거나, 불만족 시 교체를 요구하면 근로자성 인정 가능성 높음 |
| 보수 결정: 원청이 보수 수준에 관여하는지 | 원청이 보수를 직접 결정하거나, 용역대금에 인건비를 구체적으로 명시하면 근로자성 인정 가능성 높음 |
| 도구·장비 제공: 누가 작업 도구를 제공하는지 | 원청이 노트북, 관리 도구, 계정 등을 제공하면 근로자성 인정 가능성 높음 |
| 전속성: 해당 업무만 수행하는지 | 원청 사업장에만 상주하면서 원청의 업무만 수행하면 근로자성 인정 가능성 높음 |
IT 외주에서의 적용 시나리오
근로자성이 인정되는 경우:
- 원청 사업장에 상주하며, 원청의 출퇴근 시간에 맞춰 근무
- 원청 관리자가 매일 업무를 지시하고, 작업 결과를 확인
- 원청이 제공하는 노트북·관리 도구·계정으로 작업
- 용역사가 아닌 원청이 사실상 작업 내용·방법을 결정
근로자성이 인정되지 않는 경우:
- 용역사 사무실에서 원격으로 시스템을 관리
- 용역사가 자체적으로 업무를 계획·수행하고, 결과만 원청에 보고
- 용역사가 자체 장비·도구를 사용
- 여러 원청의 IT 시스템을 동시에 관리
9. 파견과 도급의 법적 구분 — IT 외주에의 적용
파견과 도급의 차이
「파견근로자보호 등에 관한 법률」(파견법)과 「산업안전보건법」에서의 도급은 엄연히 다릅니다. 이 차이를 정확히 이해하지 못하면, 도급으로 알고 있었던 계약이 실제로는 파견으로 판정되어 직접 고용 의무를 부담하게 될 수 있습니다.
| 구분 | 파견 | 도급 |
|---|---|---|
| 업무 지시 | 사용사업주(원청)가 직접 업무 지시 | 수급인(용역사)이 업무를 지시·관리 |
| 근로자 관리 | 사용사업주(원청)가 근로시간·휴가 등을 관리 | 수급인(용역사)이 근로시간·휴가 등을 관리 |
| 계약의 목적 | 인력의 제공 | 업무의 완성 |
| 법적 효과 | 2년 후 사용사업주의 직접 고용 의무 | 직접 고용 의무 없음 (도급인의 안전조치 의무만 부담) |
IT 외주에서 파견으로 판정될 위험
IT 외주가 파견으로 판정되는 전형적인 시나리오:
- 원청 IT 부서장이 외주 기사에게 매일 구체적인 업무를 지시
- 원청이 외주 기사의 출퇴근 기록을 관리
- 원청이 외주 기사에게 원청의 사원증·출입카드를 발급
- 원청이 외주 기사의 작업 결과를 평가하고, 인사고과에 반영
- 원청이 외주 기사의 교체를 요구하고, 용역사가 이에 따름
이러한 시나리오에서 IT 외주는 "도급"이 아니라 "파견"으로 재판정될 수 있으며, 이 경우 원청은 「파견법」에 따라 해당 인력을 직접 고용해야 할 의무를 부담합니다.
파견법상 파견 허용 업무
「파견법」 제5조는 파견 허용 업무를 한정적으로 열거하고 있습니다. IT 분야에서는 "컴퓨터에 의한 정보처리" 업무가 파견 허용 업무에 해당할 수 있으나, 그 범위는 제한적입니다. 파견 허용 �무에 해당하지 않는 IT 업무를 파견 형태로 운영하면 불법 파견이 됩니다.
10. 특수형태근로종사자의 IT 외주 적용
특수형태근로종사자란
「고용보험법」과 「산업재해보상보험법」은 특수형태근로종사자에 대한 보호를 규정하고 있습니다. 특수형태근로종사자란 계약의 형식과 관계없이 근로자와 유사하게 노무를 제공하면서도, 근로기준법상 근로자로 인정되지 않는 자를 말합니다.
IT 분야에서 특수형태근로종사자에 해당할 수 있는 인력:
- 대리운전 앱 개발·운영 프리랜서: 플랫폼을 통해 IT 서비스를 제공하는 개인
- 1인 IT 컨설턴트: 특정 분야의 전문 지식을 가진 개인이 독립적으로 IT 컨설팅을 제공하는 경우
- 프리랜서 웹 개발자: 프로젝트 단위로 웹사이트·앱을 개발하는 개인
특수형태근로종사자의 보호 범위
2023년 7월 1일부터 특수형태근로종사자에 대한 산재보험이 확대 적용되었습니다. IT 분야에서도 특정 조건을 충족하는 특수형태근로종사자는 산재보험의 보호를 받을 수 있습니다.
11. 쟁점 3: 산업재해 — 감전·추락·근골격계의 IT 위험
IT 작업의 산업재해 현실
IT 작업이 "안전한 사무실 작업"이라는 인식과 달리, 다양한 산업재해가 발생합니다:
| 재해 유형 | 원인 작업 | 심각도 |
|---|---|---|
| 감전 | 서버랙 전원 작업, UPS 배터리 교체, 케이블 결선 | 치명적 |
| 추락 | 천장 케이블 포설, 서버랙 상단 작업 | 중상~치명적 |
| 근골격계 질환 | 장시간 모니터링, 무거운 서버 운반 | 만성 |
| VDT 증후군 | 장시간 컴퓨터 작업 (안구 피로, 손목 통증) | 만성 |
| 화재·폭발 | UPS 배터리 폭발, 전기 합선에 의한 화재 | 치명적 |
산업재해보상보험법의 적용
「산업재해보상보험법」에 따르면, 업무 중 발생한 사고는 업무상 재해로 인정되어 산재보상을 받을 수 있습니다. IT 외주 인력이 원청의 서버실에서 작업 중 감전되면, 이는 명백한 업무상 재해입니다.
다만, 프리랜서로 분류되어 산재보험에 가입하지 않은 IT 외주 인력은 산재보상을 받지 못할 수 있습니다. 이러한 경우 「민법」상 불법행위에 의한 손해배상을 청구해야 하는데, 이는 절차가 복잡하고 시간이 오래 걸립니다.
12. 전기 관련 IT 작업의 안전 기준
IT 작업에서의 전기 위험
IT 작업에는 다양한 전기 위험이 수반됩니다:
- 서버랙 전원 작업: 220V·380V 전원 케이블의 결선·해선
- UPS 배터리 교체: 납축전지의 고전압·산성 전해액
- 네트워크 장비 설치: PoE(Power over Ethernet) 케이블의 전류
- 조명·냉각 설비: 서버실의 조명·냉각 설비 정비
「산업안전보건기준에 관한 규칙」의 전기 안전 기준
「산업안전보건기준에 관한 규칙」 제366조(전로 작업 시의 안전조치)는 전기가 흐르는 회로에서 작업할 때의 안전 조치를 규정하고 있습니다. IT 작업에 적용하면:
- 정전 후 작업 원칙: 서버랙 전원 작업 시 반드시 정전 후 작업
- 절연 보호구 착용: 절연장갑, 절연화 등
- 잠금·표시(Lock Out/Tag Out): 작업 중인 회로에 다른 사람이 전원을 다시 투입하지 못하도록 차단기를 잠그고 경고 표시 부착
- 감전 방지 조치: 접지, 누전차단기 설치
UPS 배터리 교체의 위험
UPS 배터리 교체는 IT 작업 중 가장 위험한 작업 중 하나입니다. UPS 배터리는 고전압(48V~数百V)이고, 황산 등 부식성 전해액이 포함되어 있습니다. 배터리 교체 시 주의 사항:
- 절연 장갑·보호 안경 착용
- 환기 충분히 실시 (수소 가스 발생 가능)
- 금속 도구 사용 시 합선 주의
- 무거운 배터리 운반 시 2인 1조 작업
13. 서버실 환경 관리 — 온도·습도·소음의 삼중 위험
서버실의 환경적 위험
서버실은 IT 인프라의 핵심이지만, 그 환경은 인간에게 치명적일 수 있습니다:
| 환경 요인 | 위험 | 관련 기준 |
|---|---|---|
| 온도 | 서버실 내부 온도 상승 시 열 스트레스 | 「산업안전보건기준에 관한 규칙」상 고온 작업 기준 |
| 습도 | 과습 시 전기 위험, 과건 시 정전기 | ASHRAE 권장 습도 40~60% |
| 소음 | 서버·냉각 팬의 지속적 소음 | 「산업안전보건기준에 관한 규칙」상 소음 기준 (85dB 이상 시 보호 조치) |
| 공기 질 | 냉매 가스 누출, 소화 가스(할론 등) 누출 | 밀폐공간 작업 기준 |
| 조명 | 부적절한 조명으로 인한 시야 장애 | 「산업안전보건기준에 관한 규칙」상 조명 기준 |
밀폐공간으로서의 서버실
대형 서버실은 출입이 제한되고 환기가 제한적일 수 있어, 밀폐공간으로 분류될 수 있습니다. 특히 소화 가스(할론, CO₂ 등)가 설치된 서버실에서 소화 가스가 우발적으로 방출되면, 산소가 대체되어 질식 위험이 있습니다.
2025년 12월 1일부터 시행되는 개정 「산업안전보건기준에 관한 규칙」에 따라, 밀폐공간으로 분류되는 서버실에서 작업할 때는 산소·유해가스 측정, 측정장비 지급, 감시인 배치, 3년간 기록 보존 등의 조치를 해야 합니다.
14. IT 외주 용역계약서 핵심 조항 해설
IT 외주 용역계약서에 반드시 포함되어야 할 핵심 조항을 종합하면:
조항 1: 업무 범위·성과 기준
IT 외주 인력이 수행해야 할 업무의 범위와 성과 기준을 구체적으로 명시해야 합니다. "IT 시스템 전체를 관리한다"는 식의 모호한 표현은 파견·도급 판정 시 불리하게 작용할 수 있습니다. 구체적인 업무 범위와 산출물을 명시하세요.
조항 2: 업무 지시 체계
업무 지시를 용역사가 하는지, 원청이 하는지를 명확히 해야 합니다. 원청이 직접 업무를 지시하면 파견으로 판정될 위험이 있습니다. 원청은 "성과 기준"만 제시하고, 구체적인 작업 방법·순서는 용역사가 결정하도록 해야 합니다.
조항 3: 정보보안
보안서약서, 접근 권한 관리, 계정 관리, 데이터 유출 시 책임 등 정보보안 관련 조항을 포함해야 합니다.
조항 4: 재해보상
용역사 소속 IT 인력의 산업재해에 대한 보상 책임을 명확히 해야 합니다.
조항 5: 하도급 관리
용역사가 IT 외주를 다시 하도급하는 경우의 제한과 관리 기준을 명시해야 합니다.
15. 산업안전보건법상 도급인의 안전조치 의무 — IT 외주 적용
원청의 영역 vs 용역사의 영역
산업안전보건법 제63조에 따라, 원청은 IT 외주 인력이 원청의 사업장에서 작업을 할 때 안전조치를 해야 합니다. 다만, IT 외주 인력의 작업행동에 관한 직접적인 조치는 제외됩니다.
| 원청의 영역 | 용역사의 영역 |
|---|---|
| 서버실의 물리적 안전 상태 관리 (온도, 습도, 소음, 조명) | IT 인력의 보호구 지급·착용 지시 |
| 전기설비의 안전 상태 확인 (접지, 누전차단기) | 구체적인 작업 방법·순서 결정 |
| 밀폐공간(서버실)의 환기 상태 확인 | IT 인력의 근로시간·휴게 관리 |
| 비상 시 대피 경로·연락 체계 구축 | 안전보건교육 실시 |
| 소화설비(소화기·스프링클러) 점검 | 정보보안 교육 실시 |
16. 원청과 용역사의 책임 분리 기준
고용노동부 산재예방정책과의 질의회신에 따르면, 원청과 용역사가 별도 발주 관계라면 각각 산업안전보건법 규정을 준수해야 합니다. 원청이 용역사의 안전관리업무를 대행할 수는 없습니다. 하지만 원청의 작업구역 내에서 원청이 안전시설을 설치하지 않아 용역사 근로자가 사고를 당한 경우 원청이 처벌을 받을 수 있습니다.
| 상황 | 책임 소재 |
|---|---|
| 서버실 전기설비 접지 불량으로 IT 인력 감전 | 원청 — 전기설비 관리 의무 |
| 서버실 환기 불량으로 IT 인력 질식 | 원청 (시설 관리) + 용역사 (밀폐공간 안전조치) |
| UPS 배터리 교체 시 보호구 미지급으로 부상 | 용역사 — 보호구 지급 의무 |
| IT 인력의 작업 방법 부적절로 사고 발생 | 용역사 — 작업행동 직접 조치 |
| IT 인력이 정보를 유출 | 용역사 (관리 의무) + 원청 (개인정보보호법상 감독 의무) |
17. 클라우드 전환에 따른 외주 구조 변화
클라우드 전환의 영향
공공기관·기업의 IT 인프라가 클라우드로 전환되면서, IT 외주 구조도 변화하고 있습니다. 온프레미스(자체 운영) 환경에서는 원청 사업장 내 서버실에서 IT 외주 인력이 상주했지만, 클라우드 환경에서는 원격으로 시스템을 관리하게 됩니다.
클라우드 전환이 IT 외주에 미치는 영향
| 변화 | 영향 |
|---|---|
| 상주 인력 감소 | 원청 사업장 내 IT 외주 인력이 줄어들면서, 원청의 안전조치 의무 범위도 변화 |
| 보안 위협 변화 | 물리적 보안 위협은 감소하지만, 사이버 보안 위협은 증가 |
| 근로시간 관리 | 원격 근무 확대로 근로시간 관리가 어려워짐 |
| 고용 구조 변화 | 전통적 용역계약에서 프로젝트 기반·프리랜서 계약으로 전환 |
클라우드 환경에서의 보안 관리
클라우드 환경에서도 정보보안 관리는 여전히 중요합니다. 다만, 관리의 초점이 "물리적 접근 통제"에서 "논리적 접근 통제"로 이동합니다:
- VPN·원격 접속 관리: 원격 접속 시 2단계 인증 적용
- 클라우드 접근 권한 관리: IAM(Identity and Access Management) 체계 구축
- 로그 관리: 모든 클라우드 접속 기록을 로그로 남기고 감사
- 데이터 암호화: 클라우드 내 데이터의 암호화 적용
18. 실무 체크리스트 — 원청 관리자를 위한 15가지
계약 체결 단계
- IT 외주 용역계약서에 업무 범위·성과 기준이 구체적으로 명시되어 있는지 확인
- 업무 지시 체계가 명확히 규정되어 있는지 확인 (파견·도급 판정 방지)
- 정보보안 관련 조항(보안서약서, 접근 권한, 계정 관리, 데이터 유출 책임)이 포함되어 있는지 확인
- 산업재해 보상 책임 조항이 있는지 확인
- 하도급 관리 조항이 있는지 확인
보안 관리 단계
- IT 외주 인력에 대한 개인정보보호 교육 실시 (연 1회 이상)
- IT 외주 인력의 접근 권한 정기 검토 (분기 1회)
- 용역계약 종료 시 즉시 계정 삭제 확인
- 접근 로그 정기 감사 (월 1회)
안전 관리 단계
- 서버실 환경 점검 (온도, 습도, 소음, 조명, 환기) (월 1회)
- 전기설비 안전 점검 (접지, 누전차단기) (반기 1회)
- IT 외주 인력의 보호구 착용 상태 확인 (전기 작업, UPS 배터리 교체 시)
- 밀폐공간(서버실) 산소·유해가스 측정 (작업 전)
- 안전·보건협의체 분기 1회 이상 개최
- 사고 발생 시 대응 절차 (응급처치 → 119 신고 → 현장 보존 → 사고 보고 → 원인조사)
참고 자료 및 출처
법령:
- 산업안전보건법 전문: https://www.law.go.kr/법령/산업안전보건법
- 산업안전보건법 제63조(도급인의 안전보건조치의무), 제64조(도급 시 산업재해 예방조치): https://www.law.go.kr
- 산업안전보건기준에 관한 규칙 (전기 안전, 밀폐공간, 소음 기준 등): https://www.law.go.kr/법령/산업안전보건기준에관한규칙
- 근로기준법 제2조(근로자의 정의), 제50조(근로시간): https://www.law.go.kr/법령/근로기준법
- 파견근로자보호 등에 관한 법률: https://www.law.go.kr/법령/파견근로자보호등에관한법률
- 개인정보보호법: https://www.law.go.kr/법령/개인정보보호법
- 정보통신망 이용촉진 및 정보보호 등에 관한 법률: https://www.law.go.kr/법령/정보통신망이용촉진및정보보호등에관한법률
- 중대재해 처벌 등에 관한 법률: https://www.law.go.kr/법령/중대재해처벌등에관한법률
- 산업재해보상보험법: https://www.law.go.kr/법령/산업재해보상보험법
- 부정청탁 및 금품등 수수의 금지에 관한 법률: https://www.law.go.kr/법령/부정청탁및금품등수수의금지에관한법률
운영지침·안내서:
- 소규모 사업장을 위한 재해원인조사 및 재발방지 안내서 (고용노동부): https://www.moel.go.kr
- 중소기업을 위한 안전보건관리 자율점검표 (한국산업안전보건공단): https://www.kosha.or.kr
- 도급 시 산업재해 예방 운영지침 (고용노동부): https://www.moel.go.kr
- 산재예방정책과 질의회신 (고용노동부): https://www.moel.go.kr
ISMS·정보보호 관련:
- 정보보호 관리체계(ISMS) 인증 기준 (과학기술정보통신부): https://www.msit.go.kr
- 개인정보보호 종합지원 포털: https://www.privacy.go.kr
- 한국인터넷진흥원(KISA) 정보보호: https://www.kisa.or.kr
판례:
- 대법원 2025. 8. 14. 선고 2025도4428 판결: https://www.law.go.kr
기타 참고 자료:
- 한국산업안전보건공단: https://www.kosha.or.kr
- 고용노동부 정책자료실: https://www.moel.go.kr
- 법제처 국가법령정보센터: https://www.law.go.kr
- 한국정보화진흥원: https://www.nia.or.kr
블로그 해시태그 추천
#IT외주보안관리 #전산유지보수위탁용역 #IT외주근로자지위 #서버실안전보건 #개인정보보호법외주관리 #파견도급구분기준
'건축.建築.Space > 시설물(건물) 유지관리' 카테고리의 다른 글
| 운전기사 위탁용역의 법적 쟁점 — 교통사고 책임·근로시간·특수고용 3대 이슈 (0) | 2026.06.30 |
|---|---|
| 사무보조원 위탁용역의 실무 — 파견과 도급의 경계에서 (0) | 2026.06.29 |
| 주차관리원 위탁용역의 법적 쟁점 — 교통사고·폭력·근로시간 3대 문제 (0) | 2026.06.29 |
| 급식종사원(조리원) 위탁용역의 안전보건관리 — 화상·근골격계·호흡기 질환 예방 (0) | 2026.06.29 |
| 시설관리원(시설물 유지보수원) 위탁용역 완전 해설 — 계약·안전·관리의 모든 것 (0) | 2026.06.29 |