[개인정보보호 우수사례-부산광역시] 24시간 365일 빈틈없는 사이버보안관제로 자료 유출 차단

개인정보필터링 시스템 등 정보보호 솔루션 도입, 개인정보 파일 수시 점검 관리
민원 담당 부서 직원 교육 강화...개인정보 처리 위탁자 관리에 만전 기해
김영란 주무관, 8일 PIS FAIR 2023에서 ‘부산시 개인정보 관리수준 진단 우수사례’ 발표

[보안뉴스 김영명 기자] 대한민국 제2의 도시이자 최대의 항구 도시인 부산광역시(시장 박형준)는 미래를 선도하는 디지털혁신도시를 지향하며 그린 스마트 도시로 자리매김하고 있다. 부산광역시는 2014년부터 2021년까지 8년 연속 공공기관 개인정보 관리수준 진단에서 양호 등급을 받았으며, 2022년에는 최고 등급인 S등급을 획득했다.

부산시의 개인정보보호에 대한 발전상은 박형준 시장을 중심으로 전 직원이 개인정보 유출 예방활동 및 개인정보 보호에 대한 관심과 노력이 이루어낸 값진 결과다.

▲부산광역시청 전경[사진=부산광역시]

84종 개인정보 파일 보호 위해 전사적인 보호 체계 마련
부산시가 보유한 개인정보 파일은 84종으로 파일이 담겨 있는 정보주체 수 등 상세한 내용은 부산시 대표 홈페이지와 개인정보포털을 통해 공개되고 있다. 부산시는 개인정보보호를 위해 개인정보 필터링 시스템을 포함한 다양한 정보보호 솔루션을 도입해 운영 중이다. 또한, 매 분기별 개인정보처리시스템의 접속 및 운영실태를 점검하고, 직원 업무용 PC에 저장된 개인정보 파일은 수시로 점검해 삭제하도록 조치하고 있다.

부산시는 매년 2회 전 직원을 대상으로 자체 개인정보 보호교육을 실시하고 있으며, 개인정보보호위원회에서 운영하는 개인정보보호 전문강좌도 전 직원이 필수로 이수하고 있다. 관내 사이버 침해사고 예방을 위해서는 24시간 365일 사이버보안관제를 실시해 개인정보를 비롯한 행정자료 유출 방지에 만전을 기하고 있는 것도 자랑할 만하다.

광역지자체의 경우 법률에 근거한 재산, 가족관계, 건강 등 민감한 개인정보를 다량으로 수집 및 보유하고 있다. 기업에서 보유한 개인정보와 달리 이 같은 자료들이 유출될 경우 개인에게 더 치명적이기 때문에 관리 및 침해사고 예방에 많은 노력이 필요하다. 부산시에는 사이버보안관제 및 정보보호시스템으로 자료유출을 예방하고 있으나, 개인정보를 취급하는 직원의 개인정보보호 의식이 가장 중요하다고 생각하고 있다. 이에 따라 부산시는 전 직원 대상 개인정보 보호교육을 지속적으로 실시하고 있으며, 특히 민원부서 직원들은 강화된 교육을 실시한다.

아울러 개인정보처리시스템의 유지관리를 위탁받은 수탁자에 대해서도 계약 단계부터 위탁 계약, 개인정보보호 교육 및 실태점검, 처리 후 자료 완전삭제, 수탁자 계정 말소 등 개인정보 처리 대상 위탁자에 대해서도 철저하게 관리하고 있다.

매월 셋째 주 수요일은 ‘개인정보보호의 날’로 인식 제고 노력
부산시는 대표 홈페이지와 세정, 영상 분야 등 분야별로 개인정보보호책임자를 지정하고 운영하고 있다. 특히, CPO인 기획조정실의 기획관은 CPO 대상 개인정보보호 교육에 매회 참여하고 있으며, 간부공무원의 보안인식 제고를 위해 매년 간부대상 보안교육도 실시하고 있다.

부산시는 각종 보안이슈가 발생할 때면 부산시의 현황과 대응방안을 즉각 보고해 사이버보안 동향을 공유하고 있다. 또한, 본청 직원 대상으로 개인정보보호 주의사항이 인쇄된 홍보물을 본청 로비에서 나눠주는 개인정보 보호 캠페인을 매년 시행하며, 매월 세 번째 수요일을 ‘개인정보보호의 날’로 지정해 임직원을 포함한 전 직원의 개인정보보호 인식개선을 위해 꾸준히 노력하고 있다.

코로나 19 팬데믹에 들어서면서 비대면 서비스가 활성화되며 온라인을 이용한 민원이 폭주했다. 민원 접수 과정에서 개인정보 등을 저장하는 개인정보처리 시스템의 유지관리도 중요해지면서 개인정보 취급자 대상 안전성 확보 조치 의무사항이 중요시 돼 직원 대상 개인정보 보호교육을 더 자주, 더 세밀하게 실시해야 한다. 특히, 시스템 보호를 위한 정보보호 솔루션의 업그레이드를 포함해 지능형 사이버공격에 대비하는 새로운 정보보호 솔루션 도입도 필요해졌다.

부산시는 24시간 빈틈 없는 사이버보안관제를 실시하고 있으나 사이버 공격기법이 날로 치밀해짐에 따라 이러한 공격기법을 막아내기 위해 보안관제 직원 대상 보안전문교육이 필요하다고 판단하고 있다. 또한, 직원의 실수를 노리는 해킹메일을 이용한 공격에 대응하기 위해 전 직원 대상 해킹메일 대응훈련을 강화할 필요가 있다고 설명했다.

올해, ‘개인정보보호 관계기관 협의회’ 출범 예정
부산시는 데이터 경제 시대에 개인정보 수집과 이용이 활성화되고 각종 사이버위협 증가에 따른 개인정보의 안전한 관리와 책임성 제고를 위해 올해 3월 1일자로 ‘개인정보보호 조례’를 제정했으며, 이에 따른 ‘개인정보보호 관계기관 협의회’를 구성 중에 있다. 협의회는 학계, 협회, 사회단체 등 각계의 개인정보 전문가나 기관 CPO들을 위원으로 위촉해 부산시의 주요 개인정보보호 안건에 대해 심의, 의결할 예정이다. 이와 함께 개인정보보호 기본계획을 수립해 안전한 개인정보 이용환경 구축으로 지속가능한 개인정보 보호체계를 확립하고 나아가 지역사회 개인정보 거버넌스를 구성할 예정이다.

한편, ‘PIS ; Trust, 개인정보 신뢰사회’를 주제로 6월 8일부터 9일까지 서울 코엑스 그랜드볼룸에서 국내 최대 규모의 개인정보보호 콘퍼런스인 ‘제12회 개인정보보호 페어&CPO워크숍’이 개최된다. 행사 첫째날인 8일 16시 10분부터 C트랙에서 부산광역시 김영란 주무관은 ‘부산시 개인정보 관리수준 진단 우수사례’에 대해 발표할 예정이다.

이번 행사는 개인정보보호위원회와 PIS FAIR 2023 조직위원회가 주최하고, 한국인터넷진흥원과 한국CISO협의회, 더비엔이 주관한다. 특히, 개인정보보호 분야 유관기관 30여곳과 관련 업체가 함께 하는 행사로, 매년 4,500여명이 참가하는 국내 최대 규모의 개인정보보호 축제라고 할 수 있다. 공공기관 및 기업의 개인정보보호최고책임자(CPO)를 비롯해 개인정보보호 담당자, 개인정보 처리자는 PIS FAIR 2023 홈페이지를 사전등록할 경우 무료 참관이 가능하다.
[김영명 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)