보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[개인정보보호 우수사례-건강보험심사평가원] 보건복지분야 최초 ISO 27701 인증 통해 사고 ‘Zero’ 유지

입력 : 2023-05-30 01:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
2010년부터 업무처리시스템 내부에서 고유식별정보 삭제 및 민감정보 비식별화 조치
‘Privacy By Design’에 입각해 정보시스템 구축 시 설계 단계부터 개인정보보호 최우선


[보안뉴스 김영명 기자] 건강보험심사평가원(원장 강중구, 이하 심평원)은 국민 보건 향상과 사회보장의 증진이라는 소임을 다하기 위해 2000년 7월 설립된 보건복지부 산하의 준정부기관으로, 우리나라 건강보험제도의 중심에서 국민이 낸 의료비가 제대로 쓰였는지를 심사하는 동시에 국민이 받은 진료가 적정한지를 평가하는 기관이다. 이와 함께 의료수가, 약가 결정 등 건강보험 업무 전반에 대한 정책지원 업무를 수행하고 있다.

▲건강보험심사평가원 전경[사진=건강보험심사평가원]


심평원은 전 국민 건강정보 등 대량의 민감정보를 취급·보유하고 있는 기관 특성상 개인정보보호를 위해 빈틈없이 대응하고 있으며, 전 임직원의 개인정보보호 의식 제고를 위해 끊임없이 노력하고 있다. 심평원은 보건복지분야 최초로 2020년부터 개인정보보호 국제표준(ISO27701) 인증을 획득 유지하고 있으며, 창립 이후 개인정보 유·노출 사고 Zero를 유지하고 있다.

심평원의 개인정보보호 정책·혁신 평가 우수에 큰 의미 부여
심평원은 개인정보 오·남용 및 유출사고 Zero 기관으로 15년 연속 최고등급(S)을 달성했다. 공공기관 개인정보 관리수준 진단은 2008년부터 행정안전부와 개인정보보호위원회 등에서 중앙부처 및 지자체 등 약 799개 공공기관을 대상으로 개인정보 관리수준 향상을 도모하기 위해 각 기관의 개인정보 관리체계 등을 진단하는 평가다.

‘2022년도 공공기관 개인정보 관리수준 진단’의 경우 경영평가 공통 평가지표로 반영됨에 따라, 기존 정량지표 중심에서 정량지표(80점)와 정성지표(20점) 중심으로 재구조화 및 개편됐다. 심평원은 기관 차원의 개인정보 관리 업무의 독창성·우수성 등을 평가하는 정성(정책·혁신) 지표에서 높은 점수를 받았다는 점에서 이번 결과가 더욱 의미 있다고 평가했다.

특히, 심평원은 2022년도 개인정보 관리수준 진단에서 그간의 미비사항을 보완하기 위한 개인정보파일 일제정비, 개인정보의 수집·이용·보관·파기 절차 점검, 제3자 제공현황 개선, 개인정보 처리방침 전면 개정 등에 집중해 좋은 결과를 얻을 수 있었다고 설명했다. 또한, 이번 진단 결과에 따른 일부 미흡한 사항은 즉시 개선하고 기관의 개인정보 보호 및 활용 관리체계를 더욱 견고히 하는 등 국민의 소중한 개인정보를 적극적으로 관리하고 보호할 수 있도록 계속해서 노력할 것이라고 밝혔다.

매월 개인정보 3개 분야, 11개 항목 부서별 자율점검 시행
심평원은 전 국민의 진료정보와 건강정보 등 대량의 민감정보를 취급·보유하고 있으며, 이를 보호하기 위한 다양한 활동들을 진행하고 있다. 매월 개인정보보호 업무 전반(3개 분야 11항목)에 대해 부서별 자율점검 활동을 실시하고 그 결과를 등록하는 ‘개인정보 보호의 날’을 운영하고, 업무용 PC에 보관된 개인정보 파일 탐색 및 암호화, 웹페이지 개인정보 노출 점검, 개인정보처리시스템 내 고유식별정보 암호화, 개인정보 이용에 대한 상시모니터링, 주기적인 정보시스템 취약점 점검, 개인정보보호 교육 등 다양한 개인정보보호 활동을 진행하고 있다.

심평원은 2010년부터 업무처리시스템 내부에서 주민등록번호 등 개인 고유식별정보를 삭제하고 그밖의 민감정보를 비식별화해 업무처리 전반에 있어 개인을 식별할 수 없도록 각 시스템을 정비하고 있다. 또한, ‘Privacy By Design’에 입각해 신규 정보시스템 구축 또는 시스템 변경 시 설계 단계에서부터 개인정보보호를 최우선으로 하는 인프라를 구축하기 위해 만전을 기하고 있다.

개인정보보호 위한 기술적 안정성 확보 및 직원 역량 강화
심평원은 업무 특성상 타 기업 또는 기관들에 비해 방대한 양의 개인정보를 보유하고 있으며, 그 대부분이 국민 건강정보로 민감정보에 해당하므로 보다 높은 수준의 보안을 필요로 하고 있다. 오·남용 및 유출사고가 발생했을 때 그 피해가 훨씬 클 것으로 예상돼 개인정보보호를 위한 기술적 안전성 확보 및 직원 역량 강화에 상당한 노력을 기울이고 있다.

또한, 개인정보 전송요구권 제도가 포함된 ‘개인정보 보호법’ 2차 전면 개정안이 오는 9월부터 시행을 앞두고 있으며, 챗GPT와 같은 새로운 인공지능 기술이 등장하는 등 개인정보를 둘러싼 법과 제도, 기술 환경이 빠르게 변화하고 있어 이와 관련한 법 지식, IT 감시 능력이 풍부한 직원 양성·배치 및 각 시스템 개선 투자 등에 인력과 예산상의 어려움이 대두되고 있다.

이에 심평원은 전 임직원을 개인정보취급자로 분류해 매년 전 임직원 대상 개인정보보호의 중요성 확대와 개인정보 인식 제고 등 개인정보보호 수준 향상을 위한 교육을 실시하고 있으며, 전 직원이 100% 참여하고 있다. 특히, 개인정보 보호책임자(CPO), 개인정보 보호담당자, 중간관리자, 개인정보취급자 대상별 맞춤형 교육을 통해 개인정보보호 실무 역량을 강화하기 위해 지속적으로 노력하고 있다.

일상 속 개인정보보호를 위해서는 매달 ‘개인정보 보호 및 사이버보안진단의 날’을 실시하고 있으며, 개인정보 퀴즈쇼, 개인정보보호 표어 공모전, 개인정보보호 우수 사례 및 아이디어 공모전 등을 통해 개인정보보호 실천 문화 확산에 이바지하고 있다.

코로나19로 인해 재택근무가 증가함에 따라 심평원에서는 가상화(VDI) 기반의 재택근무 시스템을 조기 구축해 별도의 재택근무용 보안서약서 징구, 직원들의 개인정보보호에 대한 교육을 더욱 강화하는 등 기술적·관리적 보호대책을 마련했다. 또한, 새로운 IT 기술의 발전으로 클라우드, 빅데이터, AI(인공지능) 등을 활용한 개인정보의 활용처가 늘어나면서 개인정보보호의 다양한 관리 포인트가 폭발적으로 증가하는 상황에 직면해 개인정보 보호담당자들의 전문성 교육 등 역량 강화에 더욱 힘쓰고 있다.

올해 기관 최초로 ‘개인정보보호 관리 및 진단’ 컨설팅 수행 예정
올해는 5월부터 8월까지 약 4개월간 기관 최초로 ‘개인정보보호 관리 및 진단’ 컨설팅을 수행하게 된다. 외부 전문기관의 개인정보보호 관리체계 진단 및 점검을 통해 미흡사항을 지속해서 발굴하고 개선할 예정이다. 세부 추진과제로는 개인정보 보호법·제도 등 개인정보보호를 둘러싼 환경 분석 및 이와 관련한 내부 규정·지침, 매뉴얼 등 점검, 개인정보 파일의 적정성 검토, 부서별 개인정보 업무처리 현황 진단·분석 등을 통해 개인정보보호 컨트롤타워 체계를 더욱 공고히 한다는 계획이다.

심평원 관계자는 “전 국민의 가장 민감한 의료정보를 보유한 심평원은 기관장부터 신규 입사한 직원까지 모든 직원의 개인정보보호 수준 제고를 위해 노력하고 있다”며 “심사 및 평가 업무 전반에 고유식별정보를 화면 단위에서 일괄 삭제해 보다 안전한 개인정보보호 환경 속에서 업무를 추진하고 있다”고 밝혔다. 이어 “매 시간 국민의 소중한 개인정보에 대한 관심과 인식 제고를 통해 오늘도 심평원 전 직원은 지속가능성과 효율성을 기반으로 필수의료의 강화, 건전한 진료 유도, 심사체계의 안정적 확립으로 세계적 의료심사평가원으로서의 자긍심을 바탕으로 국민의 삶에 기여하고자 한다”고 덧붙였다.

한편, ‘PIS ; Trust, 개인정보 신뢰사회’를 주제로 6월 8일부터 9일까지 서울 코엑스 그랜드볼룸에서 국내 최대 규모의 개인정보보호 콘퍼런스인 ‘제12회 개인정보보호 페어&CPO워크숍’이 개최된다. 개인정보보호위원회와 PIS FAIR 2023 조직위원회가 주최하고, 한국인터넷진흥원과 한국CISO협의회, 더비엔이 주관한다. 특히, 개인정보보호 분야 유관기관 30여곳과 관련 업체가 함께 하는 행사로, 매년 4,500여명이 참가하는 국내 최대 규모의 개인정보보호 축제라고 할 수 있다. 공공기관 및 기업의 개인정보보호최고책임자(CPO)를 비롯해 개인정보보호 담당자, 개인정보 처리자는 PIS FAIR 2023 홈페이지를 사전등록할 경우 무료 참관이 가능하다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)