Home > 전체기사

[개인정보보호 우수사례-대전시설관리공단] 전문교육 통한 인식 개선 초점

  |  입력 : 2021-09-29 11:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
대전광역시시설관리공단, 2020년도 공공기관 개인정보 관리수준 진단에서 98점으로 최고등급 ‘양호’
매년 정보보안 및 개인정보보호 계획 수립해 추진체계 및 주요 역할 설정 등 부서별·직원별 업무분장


[보안뉴스 원병철 기자] 대전광역시시설관리공단(이하 공단)은 대전광역시의 주요시설물들의 효율적 관리·운영을 위한 기관이다. 환경시설, 체육시설, 복지시설, 도시기반 시설 등 32개 단위시설(하수처리장, 한밭종합운동장, 화장장, 무지개복지센터, 타슈, 지하상가 등)을 운영하고 있는 대전의 대표 지방공기업으로 올해 창립 20주년을 맞이했다.

[사진=대전광역시시설관리공단]


공단은 “공공시설의 효율적 경영과 미래 가치 창출로 시민 복리증진 기여”라는 미션과 “시민안전과 시민행복으로 신뢰받는 혁신공기업”이란 비전 아래 시민의 입장에서 생각하고 시민에게 더 봉사하는 공기업으로서 역할과 책임을 다하고 있다.

특히, 공단은 4차 산업혁명 기술 및 IT 첨단 기술을 관리시설에 적용하기 위해 끊임없는 노력과 연구 등 전 임직원이 최선을 다하고 있다. 아울러 정보화 및 개인정보보호 업무를 전담할 수 있는 경영정보팀을 2019년에 신설하고, 개인정보보호 전담 인력도 배치하는 등 개인정보보호 업무에도 만전을 기하고 있다.

사용자 개인정보보호 위해 임직원 개인정보보호 인식제고 및 개인정보 유출방지 솔루션 구축
공단은 2020년도 공공기관 개인정보 관리수준 진단에서 안전한 개인정보 대책 수립을 통해 전년대비 7.4점 상승한 98점으로 최고등급인 ‘양호’ 등급을 받았다. 2020년 화장장, 추모공원에서 사용되는 장묘관리시스템내 개인정보의 안전한 관리를 위해 개인정보영향평가 컨설팅을 전문기관에 의뢰해 실시했고, 그 결과 개인정보보호법에서 요구하고 있는 개인정보보호지침, 개인정보보호 내부관리계획, 암호화키 관리지침, 개인정보 유출사고 대응 매뉴얼 등 총 7종의 지침 및 계획을 법에 맞게 정비했다. 또한, 매년 전 임직원 대상 개인정보보호 교육 실시, 매월 사이버보안 진단의 날 운영 등 개인정보보호 인식제고에 힘써왔다.

현재 공단이 관리하고 있는 개인정보는 체육시설, 복지시설, 기반시설의 고객정보 약 4만 8,000여 건이다. 대부분 시설의 경우 이용자의 성명, 연락처 등 최소한의 개인정보만을 수집하고 있으며, 장사시설(화장장, 추모공원)은 장사 등에 관한 법률 제13조 및 동법 시행규칙 제10조에 근거한 민감정보(주민번호)를 관리하고 있다.

이에 공단은 개인정보보호를 위해 개인정보 생명주기별 관리체계를 확립해 개인정보 생성부터 파기까지 철저하게 관리될 수 있도록 했으며, 분기별 점검을 통해 개인정보 생성 및 파기 건수를 확인하고 있다. 그리고 매월 개인정보처리시스템에 대한 접근권한, 접속기록 등을 점검하고 있으며, 개인정보를 다운로드한 경우 일자, 정보주체수, 사유 등도 함께 관리하고 있다.

또한, 외부 기관 진단을 통해 개인정보처리시스템의 취약점 개선 및 2차 인증 구축 등 보안을 강화했으며, 개인정보의 안전한 관리를 위해 F/W, IPS, VPN 등 접근제어 시스템을 운영해 인가되지 않은 접근 차단은 물론, DB암호화와 개인정보 검출, 개인정보 암호화 등 개인정보 유출방지 솔루션을 도입해 개인정보가 안전하게 저장 및 전송될 수 있도록 조치하고 있다.

높아지는 보안수준에 맞춰 부족해지는 전담인력...보안인식 개선에 초점
공공기관에 요구되는 보안수준은 매년 강화되고 있는 반면, 전담인력은 부족한 게 현실이다. 특히, 대전광역시시설관리공단과 같은 지방공기업의 경우 정보보안 업무를 전담하는 직원의 정원을 확보하지 못한 곳이 많다. 아울러 정보보안 담당자가 있는 경우에도 담당자는 각종 지침과 규정 준수를 위해 보고서 작성, 개선방안 도출, 성과보고 등의 업무로 인해 사업관리에만 집중하고 있으며, 보안강화를 위한 기술 분야는 주로 아웃소싱으로 처리하고 있어 전문기술 습득 등 한계가 발생하고 있다. 이 때문에 보안 이슈 발생 시 기관에서 선제적으로 대응하기에는 어려움이 있다는 것이 현장에서의 고충이다.

하지만 공단은 보안인식 개선을 위해 매년 정보보안 계획 및 개인정보보호 계획을 수립해 추진체계를 마련하고 주요 역할을 설정하는 등 등 부서별·직원별 업무분장을 명확히 하고 있으며, 분기별 조사 및 점검을 통해 미비점 등을 개선하고 있다. 또한, 보안 관련 화면보호기를 제작해 전 직원 PC에 설치하고, 보안 포스터 사무실 부착과 분기별 보안 교육 실시, 직원 보안서약서 징구 등의 활동을 실시하고 있다.

특히, 매월 셋째 주 수요일을 사이버보안 진단의 날로 지정 및 운영해 진단결과 보안수준에 미달한 PC는 보안조치가 완료될 때까지 잠금처리되어 사용하지 못하게 하는 등 보안인식 개선을 위해 꾸준히 노력하고 있다.

개인정보보호는 고객의 개인정보를 안전하게 관리하여 외부에 유출되는 사고를 Zero화는 것이 목표지만, 기관에서 보유하고 있는 고객의 개인정보가 업무처리에 꼭 필요한가를 판단해 관행적으로 수집되는 개인정보가 있을 경우 이를 즉시 개선하여 개인정보 보유 데이터를 최소화 하는 것도 중요하다고 공단 개인정보보호 담당자는 강조했다.

이어 기관의 전체 개인정보를 개인정보보호 담당자 혼자서 보호하고 관리하기에는 한계가 있어 시설별로 개인정보를 처리하는 분임담당자를 지정하고 있으나 길게는 2년, 짧게는 6개월 만에 담당자가 바뀌어 업무 연속성 확보가 어려운 점이 있다고 아쉬워했다. 그렇기에 직원들의 개인정보보호의 중요성 인식을 위해 최소한 분기별 교육은 반드시 필요하다는 의견을 피력했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)