세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[구축사례] 대한민국 움직이는 발전시설, 한국중부발전의 PIMS 인증기
  |  입력 : 2017-10-08 14:22
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
개인정보보호 조직 구축하고 담당자 지정해 조직 전문성 강화

[보안뉴스 원병철 기자] 국가주요시설의 보안은 두말할 필요 없이 중요하지만, 특히 전력을 생산하는 발전시설의 경우 국민 서비스를 위해 수집한 개인정보를 보호하는 것도 매우 중요한 과제다. 한국중부발전은 총 설비용량 8.092MW를 보유해 국내 전력공급의 7.4%를 담당하고 있으며, 특히 국내 최초의 화력발전소와 국내 최초의 표준 석탄화력 등을 보유한 대표적인 전력기업이다.

▲ 한국중부발전 보령본사[사진=한국중부발전]


한국중부발전은 인사·노무 등 내부업무를 수행하기 위한 임직원 및 가족의 개인정보와 민원, 견학 등 대민 서비스 제공을 위한 고객의 개인정보(성명, 휴대전화번호, 이메일 주소 등)를 법에서 정한 기준과 정보주체의 동의에 따라 필요최소한으로 수집하고 안전하게 보관·관리하고 있다.

하지만 최근 사이버공격 등에 의해 대량의 개인정보 유출사고가 빈번히 발생해 사회적으로 이슈가 되고 있으며, 또한, 개인정보 등 중요자료 탈취를 위한 공격은 점점 지능화되고 있다. 게다가 개인정보 유출에 따른 배상책임제, 양벌제 등 관련 법령은 점점 강화되고 있어 체계적인 보안 관리의 필요성이 대두되고 있다. 이에 한국중부발전은 개인정보보호 절차를 마련하고 지속적으로 관리하기 위한 체계를 구축해야 한다는 정창길 사장의 관심과 강력한 의지를 반영해 1년 이상의 준비과정을 거쳐 PIMS 인증을 취득하게 된 것으로 알려졌다.

한국중부발전은 전사 개인정보총괄책임자(CIO), 개인정보보호책임자(CPO), 개인정보보호담당자(1명), 개인정보보호실무자(2명) 등 개인정보보호 조직을 구성했으며, 7개 사업소에도 자체 개인정보보호책임자, 개인정보보호담당자, 개인정보보호실무자를 선정해 전사가 개인정보보호 활동에 적극 참여할 수 있도록 조직을 구성했다.

또한, 개인정보보호 정책 및 개인정보 사고가 발생하거나 긴급히 중요한 개인정보 관련 사안을 심의하기 위한 개인정보보호위원회(내부위원 3명, 외부위원 2명)와 ISMS 및 PIMS 인증심사 경험이 풍부한 경력직원을 개인정보보호실무자로 채용·배치함으로써 조직의 전문성을 강화했다.

한편, 개인정보보호 담당자 및 실무자는 개인정보보호 관련 석사학위, 보유자격, 교육이수, 포상 내역 등을 고려하여 개인정보보호 업무에 적합한 인재로 선정하고 있다.

대상별 맞춤형 교육 통해 임직원 인식제고 노력
한국중부발전은 매년 개인정보보호 교육계획을 수립하고 임직원, 책임자, 취급자 등 대상별 맞춤형 교육을 시행하고 있다. 개인정보보호책임자 및 담당자는 연 1회 이상 외부교육(컨퍼런스 등)에 의무적으로 참여해야 하며, 개인정보취급자를 포함한 전 직원은 연 2회 집합·사이버교육을 받아야 한다. 또한, 수탁업체도 수시 집합교육을 받도록 되어 있다. 특히, 교육 참여도를 내부평가에 반영해 임직원의 적극적인 참여와 인식제고에 노력하고 있다.

협력사 보안관리를 소홀히 할 경우 회사 경영에 치명적인 영향을 미칠 수 있기 때문에 한국중부발전은 협력사 보안관리를 위해 계약 시 보안특약사항을 포함해 보안이행을 의무화했으며, 중부발전의 PC 및 자체 네트워크를 제공해 사내 보안정책을 협력사에게도 동일하게 적용하고 있다.

보안정책을 미준수할 경우에는 네트워크를 차단하고, 정기적으로 보안점검 및 교육을 실시해 보안사고를 미연에 방지하고 있다. 또한, 계약조건(보안특약사항)에 의해 개인정보보호 위반사항 적발시 그 정도에 따라 손해배상, 부정당업체 등록 등의 강력한 제재조치를 취하고 있다.

개인정보보호 전담인력 확충 등 전문성 강화
한국중부발전은 지난 2016년 11월 ‘외부자 및 임직원 개인정보 처리 서비스’에 대해 PIMS 인증을 취득했다. 고객과 임직원의 개인정보를 안전하게 처리하기 위해서는 개인정보보호 기준 준수 및 체계적인 보호활동이 필요하기 때문이다. 이에 따라 한국중부발전은 ‘개인정보보호 기본계획’을 수립하고 개인정보보호 전담인력 확충을 통해 개인정보보호 역량 및 전문성을 강화하며, 교육 및 캠페인을 시행하여 임직원의 개인정보보호 의식 제고에 노력할 계획이다.

더불어 개인정보 관리체계 고도화, 개인정보보호 시스템 도입, 개인정보 비식별화 등 관리적·기술적·물리적 보호조치를 통해 고객과 임직원의 개인정보를 보다 안전하게 처리할 수 있도록 최선을 다하겠다고 강조했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)