보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[2024 개인정보보호 우수사례-3] 한국도로공사, 전국민 3배수 1억 7,000만건 개인정보 빈틈없이 보호한다

입력 : 2024-05-21 12:54
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
자체 보안관제 강화, 국가정보원 및 국토교통부와 24시간 모니터링 체계 갖춰
실무자 자격증 취득, 임직원 특별교육과 함께 대국민 개인정보보호 홍보도 강화


[보안뉴스 김영명 기자] 한국도로공사(사장 함진규)는 도로의 설치 및 관리와 이에 관련된 사업을 통해 도로의 정비를 촉진하고 도로교통의 발달에 이바지하기 위해 1969년 설립돼 올해 55주년을 맞았다. 한국도로공사는 경부고속도로 건설을 시작으로 전국 총 36개 노선 5,000km 연장을 관리하는 노하우를 기반으로 전국 TCS(Toll Collection System) 구축했으며, 하이패스와 다차로 하이패스 통행까지 재정·민자 구간을 통합해 고속도로 통행료 수납 정산을 하고 있다.

▲한국도로공사 전경[사진=한국도로공사]


한국도로공사는 2024년 ‘안전하고 편리한 미래교통 플랫폼’이라는 비전 아래 디지털본부를 신설해 K-MaaS(한국 서비스형 모빌리티) 구축, AI, 빅데이터 관리 등 공공으로써의 첨단 고속도로 구축에 견인차 역할을 하고 있다. 공사 정보보안센터는 디지털본부 산하에 있으며 정보보안 및 개인정보보호 업무를 맡고 있다. 정보보안센터의 정영주 보안정책팀장을 통해 공사의 개인정보보호 노하우를 들었다.

1억여건 개인정보 관리, 개인정보 인증 및 주기적 점검
한국도로공사는 개인정보보호위원회가 진행하는 공공기관 개인정보 관리수준 진단에서 2019년부터 2023년까지 5년간 매년 최고등급인 ‘양호’와 ‘S등급’을 받아왔다. 특히 올해 발표된 2023년 평가에서는 상대평가 비중이 전년대비 20%에서 40%로 증가했고 S등급의 전체 비중도 전년도 40%와 달리 1.9%에 그쳐 큰 기대는 안 했지만, 기관장의 관심과 전 직원의 노력으로 S등급을 획득, 5년 연속이라는 금자탑을 쌓았다.

한국도로공사에서 관리하는 개인정보는 일 평균 교통량 500만대의 고속도로 통행정보를 포함해 하이패스 단말기 고객정보 등 총 48종 1억 7,800만건의 개인정보를 보유하고 있다. 정영주 팀장은 “공사 특성 상 개인정보와 관련된 파일의 보유건수가 많은 만큼 개인정보 취급부서의 개인정보보호 노력이 중요하다고 생각한다”며 “개인정보 파일 접근에 대한 이상 행위를 탐지하기 위해 월 1회 접속기록 점검과 접근권한 최소 부여 관리, 수탁사 관리 점검 등 주기적인 점검 노력을 다하고 있다”고 소개했다.

정보보안센터에서는 개인정보 보호법 관련 개정사항을 파악하고 공사 내 규정에 즉시 반영해 개인정보 수집 최소화를 위한 개인정보 수집항목 적절성 등을 검토하는 실무위원회를 구성했다. 이를 기반으로 개인정보 및 정보보호관리체계 인증 유지, 유출사고 대응 모의훈련 등 개인정보 위험요인을 사전에 차단하고 있으며 법적 준수사항의 이행을 위해 전 직원이 함께 노력하고 있다.

늘어가는 공공 대상 사이버 공격, 관제 강화 및 보안인식 제고
한국도로공사도 사이버 공격에서 자유롭지 않은 위치에 있다. 최근 공공부문을 대상으로 랜섬웨어, 해킹 등 사이버 공격이 꾸준히 증가하는 추세인 만큼, 한국도로공사도 자체 보안관제를 강화하고, 국가정보원 및 국토교통부와 24시간 상황관제를 통해 긴밀한 협조체계를 유지하며 사이버 공격에 대응하기 위해 노력을 다하고 있다.

공사는 임직원의 보안인식 제고를 위해 내부적으로 다양한 홍보나 캠페인 등을 진행하고 있다. 개인정보를 직접 다루는 직원들을 대상으로는 개인정보보호 전문강사를 초빙해 개인정보 보호법과 관련한 실무 이해를 주제로 특별교육을 실시하고 있다. 또한 정보보안센터 내 개인정보보호 담당자는 개인정보 관련 자격증을 취득해 전문성 확보를 위해 노력하고 있다.

공사는 내부 임직원뿐만 아니라 대국민 홍보도 함께 하고 있다. 공사는 고속도로 휴게소를 활용해 대국민 개인정보보호 홍보 캠페인을 진행하고, 대국민 대상 홈페이지 개인정보처리방침 퀴즈 이벤트를 실시하는 등 개인정보보호 인식 제고 활동을 꾸준히 이어가고 있다.

정영주 팀장은 “특히 생성형 AI의 확산과 함께 올해 공사에서는 생성형 AI를 활용한 내부 규정 자동답변 제공서비스를 시범적으로 도입하기 위해 검토 중”이라며 “생성형 AI, 드론, 생체인식 등 신기술은 계속 발전해서 나오는데 실제 업무 처리하는 과정에서 개인정보 침해요인이 있는지 직원들의 문의가 이어지고 있다”고 말했다. 이어 “기술 진화는 빠른데 이와 관련한 보안 기준이나 가이드라인이 늦게 나오는 경우도 있어 정확한 답을 갖고 업무를 추진하기에는 한계점이 있다”며 “개인정보보호위원회나 한국인터넷진흥원에 신기술 관련 전담창구를 운영해 주시면 일선 현장의 개인정보보호 실무자들에게 많은 도움이 될 거 같다”고 밝히기도 했다.

제도 개선과 새 기준 따라 개인정보보호 강화 노력 다짐
한국도로공사는 “개인정보 손해배상책임보험 제도는 시행 초기부터 가입해 만약의 유출 사고에 대비하고 있다”며 “공사 본사가 위치한 경북 김천 지역의 공공기관과 함께 개인정보보호책임자 협의체 활동 등 이미 시행하고 있는 부분 이외에 이번 평가에서 신설된 지표에 대해서는 구체적인 평가기준이 나오는 대로 평가 방향에 맞춰 중점적으로 준비할 계획”이라고 말했다.

정 팀장은 “개인정보 보호법이 개정될 때마다 규제가 강화되고 있고, 개인정보보호와 관련된 업무가 지속해서 증가하고 있는 데 반해 공공기관에서 개인정보 업무를 담당하는 인력 증원은 쉽지 않은 현실”이라며 “그래도 각 기관 담당자분들이 개인정보보호 업무에 성실하게 임해주고 있어 국민의 개인정보가 소중히 지켜지고 있는 거라 생각한다”고 말했다. 이어 “모든 개인정보보호 담당자분들의 노고에 감사드리며, 공공분야의 정보보안 및 개인정보보호 인력 증원 등의 제도 개선도 이뤄질 수 있으면 좋겠다는 바람이 있다”고 말을 마쳤다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)