Home > 전체기사

[개인정보보호 연차보고서 톺아보기-21] 기상청·행복청·새만금개발청·해양경찰청·국가인권위

  |  입력 : 2020-11-10 11:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
중앙행정기관의 기상청·행정중심복합도시건설청·새만금개발청·해양경찰청·국가인권위원회의 2019년 개인정보보호 실적

2020 개인정보보호 연차보고서에서는 기관별 개인정보보호 주요 실적도 소개하고 있다. 중앙행정기관 중 △기상청 △행정중심복합도시건설청 △새만금개발청 △해양경찰청 △국가인권위원회의 개인정보보호 주요 실적을 살펴본다.

[아미지=utoimage]


1. 기상청
가. 기상청 정보보안 관리체계 발전방안 마련을 위한 정책연구 수행
최근 사이버 보안 위협이 점차 고도화, 지능화, 복잡·다양화되고 지속적으로 증가하는 등 IT 환경이 급변하고 있다. 이에 기상청에서는 현재 정보보안 관리체계를 진단하고 기상청 정보보안 관리체계의 종합적이고 체계적인 대책을 마련하기 위해 ‘기상청 정보보안 관리체계 발전방안 정책연구’를 수행했다. 이번 정책연구를 통해 먼저 기상청 정보보안 수행체계 현황에 대한 종합적인 진단을 시행했다. 기상청 정보보안 수행체계의 현황과 문제점 분석 및 기상청 내부 규정 등 제도에 대한 분석, 정보보호 조직 및 예산, 정보보호시스템 운영관리 체계에 대해 분석했다. 그리고 주요 행정기관의 정보보안 수행체계 현황을 조사해 기상청 정보보안 정책 발전방안을 제시했고, 사이버안전센터 통합보안관제 개선 방안 등 정보보안 수행체계 확립을 위한 종합적인 발전 방안을 수립했다. 또한, 이러한 발전 방안을 이행하기 위한 이행전략 및 중·단기적인 세부이행계획을 도출했다. 기상청은 정책연구를 통해 제시된 발전 방안을 토대로 정보보안과 관련한 규정을 정비하고, 정보보호팀의 역량과 역할을 강화할 뿐만 아니라 사이버안전센터의 보안관제 인력 및 업무환경을 개선해 나갈 예정이다.

나. 신속한 개인정보파일 운영 정책 변경을 통해 개인정보보호의 연속성 및 관리 강화
기상청은 2011년 12월부터 업무용 PC 내 개인정보파일 검출 및 암호화 시스템을 도입·운영했으나, 시스템의 노후화 및 MS사의 윈도우 7 보안 지원 중단(2020년 1월) 계획에 따라 윈도우 10 운영체제에서도 호환이 가능한 개인정보파일 검출 및 암호화 시스템의 개선이 필요하게 됐다. 이러한 환경 변화에 신속히 대응하기 위해 사전에 기술·시장 조사 및 예산 확보 방안 등 대책을 마련하고, 9월에 종합적인 개인정보파일 검출·암호화 시스템 정책 변경(안)을 수립해 12월에 ‘업무용 PC 개인정보파일 검출·암호화 시스템’을 구축 완료했다. 그 결과 윈도우 10 환경에서도 운영이 가능하도록 개인정보파일 검출·암호화 솔루션을 개선할 수 있었으며, 보안성이 검증된 국가 암호모듈(CC인증)을 도입함으로써 개인정보파일에 대한 보안관리를 강화할 수 있었다. 또한 업무용 PC 내 문서 검사 후 개인정보파일을 완전히 삭제하거나 암·복호화 처리·이미지파일 내 개인정보 검출·출력물 보안 등의 기능을 개선했으며, 업무용 PC의 개인정보 유·노출 방지를 위한 관리체계를 확보할 수 있었다.

2. 행정중심복합도시건설청
가. 개인정보보호 정책 및 제도 개선
행정중심복합도시건설청은 개인정보보호 환경 변화 등을 반영해 개인정보보호 정책을 정비했으며, 시스템 안전 강화를 위해 본 기관의 서버를 관리하는 국가정보자원관리원과 유기적 협조체계를 구축했다. 또한 개인정보보호 교육을 부처 필수 교육으로 지정하고, 직원들이 개인정보 취급·관리를 위한 업무를 수월하게 처리할 수 있도록 「개인정보보호법」에 따른 개인정보 처리방침을 홈페이지에 공개하고 있다.

나. 개인정보보호 교육 및 홍보
행정중심복합도시건설청은 직원들의 개인정보보호 인식 및 전문성을 향상시키기 위해 전 직원 집합교육 및 사이버 교육을 실시했으며, 내부 업무망 및 홈페이지를 통해 개인정보보호 생활수칙 등을 게시해 개인정보보호 인식을 향상시켰다. 이 외에도 전 직원 대상으로 해킹메일 대응훈련을 실시하는 등 개인정보 침해사고 대응을 위해 노력을 기울였다.

다. 개인정보 처리실태 점검
행정중심복합도시건설청은 개인정보파일을 체계적으로 관리하기 위해 각 부서에서 보유하고 있는 개인정보파일 관련 전수조사를 매년 주기적으로 실시 및 정비해 불필요한 개인정보 수집을 금지하고, 보유기간이 경과한 개인정보는 즉각 파기 요청하고 있다. 또한 홈페이지의 개인정보 노출 여부를 확인하기 위해 매월 주기적으로 모니터링하고 있다.

라. 개인정보보호지침 개정
행정중심복합도시건설청은 「개인정보보호법 시행령」 일부 개정(2018.12.24.) 등 개인정보 처리에 관한 기준 변화 등의 반영이 필요하고, 개인정보를 직접 취급하는 부서의 역할과 책임을 강화하기 위해 부서별 개인정보 책임자를 지정하는 등의 내용을 담아 자체 개인정보보호지침을 전부 개정했다.

마. 개인정보 수집 최소화, 동의 받는 방법 이행을 위한 서식 개선
행정중심복합도시건설청은 업무별 필요 최소한의 개인정보를 적법하게 수집·이용·제공하기 위해 개선이 필요한 것으로 검토된 개인정보 수집·동의 서식을 모두 검토해 개선했다.

3. 새만금개발청
가. 내부 정책·제도 개선을 통한 개인정보보호 체계 확립
새만금개발청은 개인정보보호 관련 내·외부 환경 변화에 적극적으로 대응하기 위해 내부 규정을 정비하는 등 관리·감독을 강화했다. 특히 2018년 11월에 조직 개편을 실시하고, 12월에는 청사를 새만금 현장인 군산시로 이전함에 따라 ‘개인정보 처리방침’의 개인정보 취급부서 및 실무담당자를 정비했으며, 제11조 영상처리기기 설치·운영 내용을 현행화해 홈페이지에 공개했다. 또한 개인정보 접속기록 관리를 강화하기 위해 ‘새만금개발청 개인정보 내부관리계획’을 다음과 같이 개정했다. 첫째, 접속기록을 육하원칙에 따라 기록·관리할 수 있도록 항목을 계정, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행 업무로 구체화했다. 둘째, 침해사고에 대비해 유출원인 파악이 용이하도록 접속기록 보관기간을 기존 6개월에서 1년 이상으로 연장했다. 셋째, 개인정보 유출 및 오·남용을 미연에 방지하기 위해 접속기록을 기존 반기별 1회에서 월 1회 이상 점검으로 변경해 개인정보처리의 안전성 확보를 위한 보호조치를 강화했다.

한편, 개인정보취급자의 개인정보 처리 및 관리실태를 점검하고 미흡한 부분에 대한 지속적인 개선을 통해 개인정보보호 수준 향상을 위해 노력했다. 특히 개인정보 보유 현황에 대한 전수조사를 실시해 관리대상 파일을 파악하고, 내부관리계획 이행실태 점검·최소한의 개인정보 수집을 위한 내부점검을 실시하는 등 체계적으로 개인정보파일을 관리했다.

나. 개인정보보호 수준 향상을 위한 CPO 주도 자체 보호 활동 추진
새만금개발청은 기관 개인정보보호 수준 향상을 위해 개인정보 보호책임자가 주도해 다음과 같이 자체 보호 활동을 발굴해 추진했다. 첫째, 개인정보보호 업무 추진에 대한 연간 단위 업무별 추진계획, 업무별 월 단위 세부 수행절차 등을 명시한 ‘연간 업무추진 가이드라인’을 제작해 업무담당자가 개인정보보호를 체계적으로 수행할 수 있도록 지원했다. 둘째, 개인정보보호 업무를 효율적으로 처리하기 위해 주요 서식 22종을 정리해 ‘개인정보보호업무 서식집’을 제작하고 전 직원에 배포했다. 셋째, 외부 전문가를 초청해 전 직원 개인정보보호 교육을 실시했고, 개인정보 오·남용 및 유출 방지를 테마로 한 개인별 점검 사항을 컴퓨터 화면보호기로 제작해 직원 업무용 컴퓨터에 설치·운영했으며, 온-나라시스템 표준 기안지 하단에 개인정보보호 캠페인 문구를 삽입하는 등 전 직원이 개인정보보호를 생활화할 수 있도록 보안 의식 수준 향상을 위한 다양한 활동을 전개했다.

4. 해양경찰청
가. 개인정보 처리업무 표준목록 수립
해양경찰청은 「개인정보보호법」에 따라 본청과 28개 소속기관에서 처리·보관되는 개인정보 현황을 명확히 하기 위한 ‘개인정보 처리업무 표준목록’을 수립해 전 소속기관에 배포했다. 표준목록은 본청 12개와 소속기관(해양경찰교육원, 해양경찰연구센터, 해양경찰정비창, 지방해양경찰청, 해양경찰서) 24개로 총 36개의 공개용 개인정보파일(업무)을 명확히 제시했다. 이러한 표준목록이 마련됨에 따라 개인정보취급자의 업무 미숙으로 현황 공개가 누락되는 경우를 방지하고, 동일한 업무를 처리하는 28개 소속기관이 공개하는 개인정보파일 명칭표기 및 공개목록의 일관성을 유지할 수 있게 됐다.

나. 개인정보 관련 업무처리 지침 수립 및 정비
정보주체 권리를 보장하기 위해 해양경찰청에서 운영 중인 홈페이지 8개와 28개 소속기관의 개인정보 처리방침을 정비해 현행화했다. 또한, 개인정보의 이용 및 보호를 위한 절차와 과정을 명시한 업무처리 가이드, 목적 외 이용 및 제공 절차서, 접근권한 관리정책, 유출사고 대응 매뉴얼, 재해·재난 대비 매뉴얼 등의 관련 가이드 및 매뉴얼을 마련하고 내부관리계획을 개정된 「개인정보의 안전성 확보조치 기준」에 맞게 개선해 개인정보를 보호하기 위해 노력했다.

다. 개인정보보호 자체 전문교육 과정 개설
해양경찰청은 개인정보취급자와 보호담당자의 업무역량 향상을 위해 연 1회 이상 직장교육을 통해 개인정보보호 인식을 높일 수 있도록 하고 있으며, 외부기관에서 주최하는 관련 교육 참석을 장려했다. 또한 해양경찰청의 교육 역량을 강화하고 취급자와 보호담당자의 전문성을 확보하기 위해 2020년부터 해양경찰교육원에 연 1회, 30명을 대상으로 하는 전문교육 과정을 운영하기로 확정했다.

5. 국가인권위원회
가. 개인정보 영향평가를 통한 내부 관리 규정 등 개선
국가인권위원회는 보다 체계적인 개인정보 관리체계를 수립함과 아울러 개인정보처리시스템에 대한 개인정보보호 관련 법·제도 요건 총족 여부 파악, 개인정보 생명주기 이해, 개인정보 침해요인 등을 사전에 파악하고 개선 방안을 수립·적용해 침해사고를 방지하기 위한 목적으로 개인정보 영향평가를 실시했다. 이를 통해 개인정보처리시스템 사용자들의 개인정보보호 인식 제고, 취약점에 대한 기술적 보호조치로 안전한 개인정보처리시스템 구현, 개인정보 침해요인 제거로 정보주체의 권익 보호 및 대외 신뢰도 향상, 개인정보보호 관련 법·규제 준수 이행 등을 수행했다. 또한 국가인권위원회 개인정보보호 내부관리계획을 「개인정보보호법 시행령」 제30조(개인정보의 안전성 확보 조치), 「개인정보의 안전성 확보조치 기준」 제4조(내부관리계획의 수립·시행)에 의거해 개정했다.

나. 신규 정보보호시스템의 도입과 운영
국가인권위원회는 랜섬웨어를 비롯해 각종 은닉 기법을 결합한 신·변종 악성코드, 스피어피싱, 타깃 공격 등 지능형 위협 등에 대응해 개인정보를 보다 안전하게 보호할 수 있도록 신규 보안장비를 도입했고 사용자 PC 신규 보안장비의 에이전트를 설치해 USB나 외장하드 등 각종 저장매체에서 유입되는 파일을 분석 및 대응해 개인정보 침해사고를 예방하고 있다. 또한, 개인정보보호 및 보안을 위해 기존 논리적 망 분리에서 업무망과 인터넷망을 물리적으로 분리하는 물리적 망 분리 사업을 추진해 개인정보의 안전성 확보에 노력했다.

다. 개인정보보호 교육·홍보
개인정보 담당자 및 개인정보처리자의 업무역량 강화와 인식 제고를 위해 개인정보보호 동향 및 제도에 대해 파악하고 개인정보 및 정보보안 교육자료를 제공했으며 전문가를 초청해 전 직원을 대상으로 집합교육을 실시했다. 또한 교육에 참석하지 못하는 직원들을 위해 영상중계를 통해 강의를 제공함으로써 전 직원이 교육에 참여할 수 있도록 했다. 이 외에도 인권위원회에서 근무하는 유지보수 직원들도 교육에 참여해 역량 강화 및 인식 제고를 위해 힘을 기울였다.
[자료=2020 개인정보보호 연차보고서, 정리=박미영 기자]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)