[개인정보보호 우수사례-한국문화관광연구원] ‘보안 신기술’ 도입과 임직원 ‘참여형 활동’ 강화

발빠른 ‘신기술’ 도입으로 안정적인 클라우드 환경 구축 및 다양한 보안 솔루션 운용
매월 1일은 ‘개인정보보호의 날’, 셋째 주 수요일은 ‘사이버보안 진단의 날’로 지정
임직원 ‘참여형’ 개인정보보호활동으로 솔선수범, 개인정보보호 실천문화 선도

[보안뉴스 이소미 기자] 한국문화관광연구원은 ‘문화기본법’에 설립근거를 두고 있는 국내 유일의 문화·관광·콘텐츠 분야의 국책연구기관이다. 연구원은 1987년 한국문화예술진흥원 내 문화발전연구소와 교통개발연구원의 관광연구실을 모태로 1994년 한국문화정책개발원으로 통합된 이후, 현재까지 문화와 관광, 콘텐츠 정책의 진흥을 위해 매진하고 있다.

통합 개원 이후 약 2,600건의 문화·관광·콘텐츠 관련 연구보고서 발간과 함께 △관광지식정보시스템(TourGo) △통계포털시스템(문화셈터) △문화예술지식정보시스템(ACKIS) 등 수요자 중심의 통계정보 제공을 통해 국민의 행복과 국가 경쟁력 향상을 위한 문화·관광·콘텐츠를 주도하고 있다.

▲한국문화관광연구원의 시설물[사진=한국문화관광연구원]

한국문화관광연구원은 주요 업무로 문화체육관광부가 지정한 분야의 통계작성과 문화영향평가를 다루고 있다. 2016년 문화체육관광부가 지정한 분야의 유일한 통계작성 기관으로 문화·관광 분야의 승인통계 10종, 비승인통계 9종을 정기 생산·관리하고, 다양한 문화·관광·콘텐츠 정책 수요 대응과 시의성 있는 국가정책 관련 정보를 국민에게 제공하고자 17종의 정책동향지표를 주기적으로 제공하고 있다. 또한, 다년간의 연구로 축적된 전문역량을 토대로 정부정책 및 사업 컨설팅에 초점을 맞춰 ‘지역관광개발사업 평가’와 ‘문화영향 평가’를 수행하고 있다.

개인정보보호부문 최우수 S등급 달성, 전년도 문제점 분석 및 보완 위한 단계적 계획 수립
한국문화관광연구원은 개인정보보호위원회가 799개 공공기관 대상으로 실시한 2022년 개인정보 관리수준 진단에서 최우수 평가등급인 ‘S등급’을 받았다. 이는 개인정보보호위원회에서 61개 법적 의무사항에 대한 정량지표와 5개 혁신·정책 업무의 적절성에 대한 정성지표를 기준으로 기관의 개인정보 관리 수준을 평가한 것이다.

이처럼 우수한 성적을 얻을 수 있었던 배경으로 한국문화관광연구원은 전년도 개인정보 관리수준 진단에서 나타난 문제점을 철저히 분석하고 보완을 위한 단계적 계획을 수립한 데 있다. 이를 위해 문화체육관광부 산하 유관기관과의 ‘개인정보보호 실무협의회’를 통해 기관간 업무 내용이나 고충 등을 상호 공유하고 위기 상황 시에는 공동 대응해 나가며 문제점 개선 방안 창구를 마련했다.

한국문화관광연구원은 수요자 중심의 통계 정보 제공을 위한 대국민누리집(대표 누리집, 관광지식정보시스템, 문화셈터, 문화예술지식정보시스템 등) 운영과 국민 대상의 개인정보를 운영·관리한다. 따라서 기관 특성을 고려한 개인정보 내부관리계획서를 기초로 △개인정보 관리체계 강화 △개인정보 보호대책 강화 △침해사고 예방·대응체계 강화 세 분류로 나누어 개인정보의 안정성 확보조치 방안을 마련해 실행했다.

아울러 국민의 안전한 개인정보보호 관리체계 강화를 위해 매년 추진전략과 중점과제를 선정해 연간 개인정보보호 업무 추진 계획을 수립하고 절차서·일정표를 통해 체계적으로 보호·관리를 하고 있다. △개인정보 내부관리계획 △개인정보 침해·유출사고 대응 절차서 △재해·재난 대비 위기 대응 절차서 등 총 8종의 지침 및 계획을 기간 특성과 법 제도에 맞춰 재정비해 주요 업무를 중점적으로 추진해 나갔다.

한국문화관광연구원 개인정보보호 담당자 이주용 차석행정원은 “2022년 개인정보 관리수준 진단 최우수기관으로 선정된 데는 개인정보보호 업무 담당자 및 책임자의 관리 능력과 기관장을 포함한 경영진의 전사적인 관심과 지원이 있었다”면서, “직원 개개인의 노력과 임직원들의 개인정보보호 의식이 상호 조화를 이뤄 가능했던 것“이라고 밝혔다.

‘신기술’ 도입으로 안전한 클라우드 환경 구축 및 다양한 보안 솔루션 도입
이주용 차석행정원은 문화체육관광부 산하기관에서 개인정보보호 업무와 정보보안·전산·정보화 업무를 10여년 넘게 담당해왔다. 그간의 경험을 토대로 문화체육관광부 산하기관 최초로 신기술을 도입해 기관의 정보보안·전산정보화의 안정적인 운영에 이바지했다.

2017년 SDN(소프트웨어 정의 네트워크) 신기술 도입으로 논리적 망분리 환경을 구축해 안전한 클라우드 환경을 조성했다. 2022년에는 전산실 내 자체 소화설비가 내장된 분전반 및 배터리 뱅크를 도입해 재난·재해 발생 시에도 업무 연속성 확보가 가능한 데이터센터를 운영하고 있다.

그는 “개인정보보호 시스템 안전관리를 위해 투자를 아끼지 않았다”면서, “자체 IaaS 기반 클라우드 서비스를 통해 3중 백업 체계 구축함으로써 데이터 안정성을 확보했다”고 전했다. 개인정보처리 시스템의 ‘3중 백업’은 △가상화 이미징 FULL 백업 △원격지 소산 백업 △로컬백업 체계로 이루어져 개인정보를 보다 안전하게 보관할 수 있다. 또한, 침해사고 예방 인프라 구축을 위해 △VPN △백신 △랜섬웨어 방지프로그램 △이동식 매체 제어 솔루션 △웹방화벽 등을 추가 도입해 운영 중이다.

또한, ‘개인정보 접속기록 관리 솔루션’을 도입함으로써 기존의 각 시스템 담당자들이 개별 관리해 오던 개인정보 접속기록·접근권한 관리에 대한 통합체계를 마련했다. 뿐만 아니라 개인정보 취급자·담당자의 ‘행정절차 간소화’로 보다 효율적인 개인정보보호 업무와 솔루션을 활용한 취합·보관으로 데이터 정합성을 확보했다. 개인정보 접속기록의 경우, 3단계 암호화를 실시해 자동백업과 소산백업으로 안전하게 보관하고 있다.

▲한국문화관광연구원의 시설물을 관리하고 있는 개인정보보호 담당 이주용 차석행정관의 모습[사진=한국문화관광연구원]

개인정보보호 위한 기관장·경영진의 열정과 임직원들부터 실천하는 ‘솔선수범’ 문화 정착 위한 노력
한국문화관광연구원은 개인정보보호에 대한 임직원들의 보안인식 개선과 제고를 위해 다양하고 획기적인 시도를 통해 끊임없이 노력해 왔다. 이와 관련해 이주용 차석행정관은 “기관장과 경영진의 개인정보보호를 위한 열정과 노력이 임직원들의 개인정보보호 의식을 강화시킬 수 있는 문화 정착과 보호 체계 마련의 원동력”이라고 전했다.

실제로 개인정보보호 문화 정착을 위한 다양한 방법들을 추진했는데, 기관장이 주도적으로 공식 선언문 발표를 진행하는 등 전 직원 대상 개인정보보호 인식 제고와 중요성을 이끌어냈다. 또한, 체계적으로 개인정보 정책 시스템 관리·운영을 중점적으로 담당할 수 있는 개인정보 전문·전담인력 채용뿐만 아니라 비상연락망·위기대응담당자로 경영진을 배치해 개인정보에 대한 책임의식을 고조시켰다.

매년 개인정보 책임자부터 일반 직원, 수탁 관리자에 이르기까지 각 담당자별 자체 교안을 마련해 ‘인적요소(Human Element)’ 다중방어 DID(Defence in Depth)에 기반한 맞춤형 교육 프로그램을 운영하고 있다. 또한, 개인정보보호 실무 감각 향상을 위한 연 2회 해킹메일 모의훈련 실시와 임직원 대상 개인정보 유출사고 대응 절차서 제공은 물론 웹취약점 점검과 사이버 보안 운영 점검을 실시하고 후속조치까지 이행하고 있다.

특별히 임직원들부터 개인정보보호 실천문화 조성을 위한 ‘임직원 참여형 개인정보보호 활동’ 을 마련했다. 매월 1일을 ‘개인정보보호의 날’로 지정해 관련 포스터·웹툰·카드뉴스 등의 다양한 형태로 홍보자료를 사내 게시판, 복도 등에 배포했다. 매월 셋째 주 수요일은 ‘사이버보안 진단의 날’로 정해 직원들 대상으로 ‘내PC지키미’ 프로그램의 강화된 보안 수준에 미달할 경우 종료 불가하도록 강제성 띄는 보안정책을 마련하기도 했다.

뿐만 아니라, 코로나19 이후 재택근무 활성화로 임직원 개인 PC 사용에 따른 사이버 침해사고·랜섬웨어 등의 예방을 위해 △전직원 PC 전수조사 △개인정보 암호화 △백신 및 랜섬웨어 방지솔루션 최신 버전 점검 △VPN 정책 운영 △재택근무 개인정보보호 실천수칙 교육 등을 진행하고, 개인정보보호 활동 우수직원 포상 제도 등 임직원들부터 개인정보보호를 실천할 수 있는 문화를 만들기 위한 노력을 기울였다.

선제적 개인정보보호를 위해 남겨진 숙제는 ‘충분한 예산과 전문인력 확보’
작금의 디지털 환경은 해킹이 일상적으로 일어나는 공간이 됐고, 개인정보 유출 가능성 증가하면서 기술적·사회적·문화적 환경 변화에 따른 신속한 대응책 마련이 요구된다. 이에 따라 개인정보보호의 중요성이 대두되면서 관련 법령의 강화·개정이 지속적으로 이루어지고 있다. 또한, 정부의 디지털플랫폼 정부 실현 계획과 지능정보사회 종합계획에 발맞춰 △인공지능 △클라우드 △빅데이터 △가명정보 △마이데이터 등의 활용이 전보다 더욱 활발해질 전망이다.

이주용 차석행정관은 “개인정보보호 담당자라면 누구나 부족한 인력과 한정된 예산·자원 등으로 개인정보보호와 정보보안 강화, 보안침해사고 예방을 위한 시스템 마련 등의 숙명을 가지고 있다”면서, “그러나 선제적 대응체계 마련을 위해서는 관련 서비스 인프라 구축을 위한 충분한 예산 확보와 가이드라인 제공, 전문인력 확충이 절실하다”고 덧붙였다.

이어 그는 “2023년 디지털플랫폼 정부 실현 계획의 ‘신뢰하고 안심할 수 있는 디지털플랫폼정부 구현’에 우리 기관도 앞장서 가명정보·마이데이터·개인정보 안심구역 등의 개인정보보호 대응 체계를 이뤄 국민의 개인정보를 안전하게 통제·관리할 것”이라고 포부를 밝혔다.

한국문화관광연구원은 ‘가명정보 활용’에 있어 적시에 안전하게 활용될 수 있도록 개인정보 내부관리계획서에 가명정보 활용에 따른 안전조치 기준도 마련한 상태다.

한편, ‘PIS ; Trust, 개인정보 신뢰사회’를 주제로 6월 8일부터 9일까지 서울 코엑스 그랜드볼룸에서 국내 최대 규모의 개인정보보호 콘퍼런스인 ‘제12회 개인정보보호 페어&CPO워크숍’이 개최된다. 개인정보보호위원회와 PIS FAIR 2023 조직위원회가 주최하고, 한국인터넷진흥원과 한국CISO협의회, 더비엔이 주관한다. 특히, 개인정보보호 분야 유관기관 30여곳과 관련 업체가 함께 하는 행사로, 매년 4,500여명이 참가하는 국내 최대 규모의 개인정보보호 축제라고 할 수 있다. 공공기관 및 기업의 개인정보보호최고책임자(CPO)를 비롯해 개인정보보호 담당자, 개인정보 처리자는 PIS FAIR 2023 홈페이지를 사전등록할 경우 무료 참관이 가능하다.
[이소미 기자(boan4@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)