[구축사례] 대한민국 움직이는 발전시설, 한국중부발전의 PIMS 인증기

개인정보보호 조직 구축하고 담당자 지정해 조직 전문성 강화

[보안뉴스 원병철 기자] 국가주요시설의 보안은 두말할 필요 없이 중요하지만, 특히 전력을 생산하는 발전시설의 경우 국민 서비스를 위해 수집한 개인정보를 보호하는 것도 매우 중요한 과제다. 한국중부발전은 총 설비용량 8.092MW를 보유해 국내 전력공급의 7.4%를 담당하고 있으며, 특히 국내 최초의 화력발전소와 국내 최초의 표준 석탄화력 등을 보유한 대표적인 전력기업이다.

▲ 한국중부발전 보령본사[사진=한국중부발전]

한국중부발전은 인사·노무 등 내부업무를 수행하기 위한 임직원 및 가족의 개인정보와 민원, 견학 등 대민 서비스 제공을 위한 고객의 개인정보(성명, 휴대전화번호, 이메일 주소 등)를 법에서 정한 기준과 정보주체의 동의에 따라 필요최소한으로 수집하고 안전하게 보관·관리하고 있다.

하지만 최근 사이버공격 등에 의해 대량의 개인정보 유출사고가 빈번히 발생해 사회적으로 이슈가 되고 있으며, 또한, 개인정보 등 중요자료 탈취를 위한 공격은 점점 지능화되고 있다. 게다가 개인정보 유출에 따른 배상책임제, 양벌제 등 관련 법령은 점점 강화되고 있어 체계적인 보안 관리의 필요성이 대두되고 있다. 이에 한국중부발전은 개인정보보호 절차를 마련하고 지속적으로 관리하기 위한 체계를 구축해야 한다는 정창길 사장의 관심과 강력한 의지를 반영해 1년 이상의 준비과정을 거쳐 PIMS 인증을 취득하게 된 것으로 알려졌다.

한국중부발전은 전사 개인정보총괄책임자(CIO), 개인정보보호책임자(CPO), 개인정보보호담당자(1명), 개인정보보호실무자(2명) 등 개인정보보호 조직을 구성했으며, 7개 사업소에도 자체 개인정보보호책임자, 개인정보보호담당자, 개인정보보호실무자를 선정해 전사가 개인정보보호 활동에 적극 참여할 수 있도록 조직을 구성했다.

또한, 개인정보보호 정책 및 개인정보 사고가 발생하거나 긴급히 중요한 개인정보 관련 사안을 심의하기 위한 개인정보보호위원회(내부위원 3명, 외부위원 2명)와 ISMS 및 PIMS 인증심사 경험이 풍부한 경력직원을 개인정보보호실무자로 채용·배치함으로써 조직의 전문성을 강화했다.

한편, 개인정보보호 담당자 및 실무자는 개인정보보호 관련 석사학위, 보유자격, 교육이수, 포상 내역 등을 고려하여 개인정보보호 업무에 적합한 인재로 선정하고 있다.

대상별 맞춤형 교육 통해 임직원 인식제고 노력
한국중부발전은 매년 개인정보보호 교육계획을 수립하고 임직원, 책임자, 취급자 등 대상별 맞춤형 교육을 시행하고 있다. 개인정보보호책임자 및 담당자는 연 1회 이상 외부교육(컨퍼런스 등)에 의무적으로 참여해야 하며, 개인정보취급자를 포함한 전 직원은 연 2회 집합·사이버교육을 받아야 한다. 또한, 수탁업체도 수시 집합교육을 받도록 되어 있다. 특히, 교육 참여도를 내부평가에 반영해 임직원의 적극적인 참여와 인식제고에 노력하고 있다.

협력사 보안관리를 소홀히 할 경우 회사 경영에 치명적인 영향을 미칠 수 있기 때문에 한국중부발전은 협력사 보안관리를 위해 계약 시 보안특약사항을 포함해 보안이행을 의무화했으며, 중부발전의 PC 및 자체 네트워크를 제공해 사내 보안정책을 협력사에게도 동일하게 적용하고 있다.

보안정책을 미준수할 경우에는 네트워크를 차단하고, 정기적으로 보안점검 및 교육을 실시해 보안사고를 미연에 방지하고 있다. 또한, 계약조건(보안특약사항)에 의해 개인정보보호 위반사항 적발시 그 정도에 따라 손해배상, 부정당업체 등록 등의 강력한 제재조치를 취하고 있다.

개인정보보호 전담인력 확충 등 전문성 강화
한국중부발전은 지난 2016년 11월 ‘외부자 및 임직원 개인정보 처리 서비스’에 대해 PIMS 인증을 취득했다. 고객과 임직원의 개인정보를 안전하게 처리하기 위해서는 개인정보보호 기준 준수 및 체계적인 보호활동이 필요하기 때문이다. 이에 따라 한국중부발전은 ‘개인정보보호 기본계획’을 수립하고 개인정보보호 전담인력 확충을 통해 개인정보보호 역량 및 전문성을 강화하며, 교육 및 캠페인을 시행하여 임직원의 개인정보보호 의식 제고에 노력할 계획이다.

더불어 개인정보 관리체계 고도화, 개인정보보호 시스템 도입, 개인정보 비식별화 등 관리적·기술적·물리적 보호조치를 통해 고객과 임직원의 개인정보를 보다 안전하게 처리할 수 있도록 최선을 다하겠다고 강조했다.
[원병철 기자(boanone@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)