보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[2024 개인정보보호 우수사례-2] 한국중부발전, 6년 연속 개인정보 관리수준 ‘최고 등급’ 획득

입력 : 2024-05-20 17:16
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
공공기관 지방이전 때 ‘정보보안실’에서 ‘정보보안처’로 격상
CEO의 ‘보안’에 대한 무한한 관심, 직원 노력이 결합돼 시너지 효과
전체 2,700여명 직원 중 70여명의 보안 전문가 전국 각처에서 제 역할 다해


[보안뉴스 김영명 기자] 한국중부발전은 친환경으로 미래를 여는 에너지 전문 공공기관으로 국민을 위해 안전하고 안정적인 전력 공급을 위해 노력하고 있으며, 미래 전력산업 발전을 위해 노력하는 깨어 있는 회사라고 자부하고 있다. 한국중부발전은 개인정보보호위원회가 주관하는 ‘공공기관 개인정보 관리수준 진단’에서 2018년부터 6년 연속으로 최고 등급(S등급)을 받고 있다. 이 같은 성과에 대해 정보보안실 박홍재 실장은 CEO와 기관장, 수많은 선배들의 역할이 컸다고 공을 돌렸다. 보다 자세한 이야기를 듣기 위해 한국중부발전 박홍재 정보보안실장과 윤중원 차장을 만났다.

▲‘친환경으로 미래를 여는 에너지 전문기업’을 모토로 하는 한국중부발전의 전경[사진=보안뉴스]


‘노력은 배신하지 않는다’는 명언이 어울리는 발전소
한국중부발전 정보보안실은 디지털 전환 시대에 발맞춰 회사 정보자산 보호와 개인정보 기반시설 보호를 위해 전문인력들이 끊임없이 노력하고 있다. 현재 정보보안실에는 10명의 보안전문가가, 산하 사이버안전센터에는 약 14명의 위탁직원이 근무하고 있다.

우리나라 발전소 중 6년 연속 S등급을 받은 발전소는 한국중부발전이 유일하다. 박홍재 실장은 ‘노력은 배신하지 않는다’는 말이 어울린다고 설명했다. 박 실장은 “법과 평가체계가 강화되지만 정량평가와 정성평가 모두 우수한 성적을 유지하고 있다”며 “이러한 결과를 낼 수 있는 가장 큰 역할은 김호빈 사장님의 관심과 지원이 크기 때문”이라고 밝혔다.

공공기관 지방이전 정책에 따라 한국전력공사에서 분사한 중부발전은 전산팀과 통신팀을 ‘정보보안실’로 통합, 정보보안처로 격상했다. 한국중부발전 2,700여명 직원 중 정보보안처는 37명, 사업소까지 더하면 70여명이 전국에서 일하고 있다.

▲한국중부발전 캐릭터 에코미·세코미와 함께 한 정보보안처의 박홍재 정보보안실장과 윤중원 차장(좌부터)[사진=보안뉴스]


한국중부발전은 대민 서비스는 드물기 때문에 관리하고 있는 개인정보는 임직원과 가족들, 발전소 정비인력인 오버롤 작업자들이 대상이다. 임직원 가족 1만여명, 정비인력 2만여명이 한국중부발전을 책임지고 있다. 발전소는 오버롤 작업자에게 시스템 접근 권한을 내주고 있다.

한국중부발전의 시스템 운영은 정보통신부가, 출입관리 시스템은 비상계획부가 분담해 개인정보 관련 이슈들은 두 부처가 함께 해결한다. 정보보안실은 매년 1회 취약점 컨설팅을 통해 시스템 웹 취약점, 불필요한 포트 취약점 등을 점검 조치한다. 취약점 점검은 1년에 3회 이상 외부 의뢰 및 자체 점검으로 시행하고, 해킹메일 대응 훈련은 매월 정기적으로 진행 중이다.

CEO가 직접 챙기니 직원 역량도 강화돼
보안 사고는 크게 웹페이지를 통한 공격과 해킹메일을 통한 공격으로 나뉜다. 보안팀은 보안 강화를 위해 시큐어코딩을 포함해 개발자 보안교육, 소스코드 점검과 모의해킹 등도 실시하고 있다. 해킹메일 훈련은 내부 KPI(핵심성과지표)에 포함해 부서 평가에도 반영한다.

박흥재 실장은 “중부발전은 CEO와 여러 발전소 본부장님들이 적극적으로 보안팀을 지지해주시고 관심을 가져준 것이 좋은 결과로 이어졌다”며 “퀴즈 이벤트, 전 직원이 참여하는 정보보안 취약점 찾기 및 개인정보보호 아이디어 공모전 등을 몇 년째 꾸준히 이어오고 있으며 다양한 관점에서 관련 제보들을 받아서 조치하는 것도 중요하게 생각한다”고 말했다.

지난해 개인정보 보호법이 개정되면서 현장에서는 해석에 어려움이 많다. 이에 따라 중부발전은 실무자를 대상으로 지난해부터 자격증 취득 비용을 지원해 왔으며, 올해는 자격증 취득자에게 보너스도 지급할 계획이다. 이러한 관심 속에 올해 CPPG 자격증 취득자만 4명이 나왔다.

공공기관 개인정보 관리수준 평가는 정량 60%와 정성 40%의 비율인데 정성평가에서 좌지우지된다. 윤중원 차장은 “CEO의 관심도 크지만, 단시간에 되는 게 아닌 만큼 체계적인 실천이 중요하다”며 “지속적인 투자와 노력이 없다면 한순간에 뒤쳐질 수도 있다”고 강조했다.

▲한국중부발전 본사 앞 ‘새빛마당’ 표지에 나란히 선 윤중원 차장과 박홍재 정보보안실장(좌부터)[사진=보안뉴스]


개편되는 개인정보 보호법, 해설 가이드도 만든다
지난해 ‘개인정보 보호법’과 그 시행령이 개편되고, 올해 초에는 ‘개인정보 처리방침 평가에 관한 고시’가 확정된 상태다. 이에 한국중부발전은 임직원들이 법과 규정을 제대로 해석할 수 있도록 개인정보의 제3자 제공, 생성형AI 사용 시 주의점 등을 포함시킨 맞춤형 가이드를 제작할 계획이다. 윤중원 차장은 “법이 상황에 따라 해석이 다르고 파생되는 것도 많아 개인정보보호 담당자는 법리 지식이 필수”라며 “판례들이 10~20년은 누적돼야 ‘개인정보 보호법’이 확실하게 자리매김할 듯하다”고 말했다.

윤 차장은 “저희는 타 기관보다 관리하는 개인정보의 수는 적다”면서도 “개인정보는 개수나 질에 따라 중요도가 다르지 않으며 민간과 공공기관 모두 필수 의무인 만큼 실천이 중요하다”고 강조했다.

한국중부발전은 정보보안실에서 개인정보보호 솔루션 중에 올해 서비스가 종료되는 솔루션들이 많아 지속적으로 교체하고, 신규 보안 솔루션 도입도 검토 중이다. 올해 PIS FAIR 2024에도 개인정보보호 책임자 및 실무자가 참관해 보안시장 트렌드와 신제품 등을 살피며 개인정보보호 강화 노력도 이어갈 예정이다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)