보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[2024 개인정보보호 우수사례-8] 국립낙동강생물자원관, 개인정보 라이프사이클 관리로 ‘안전성’ 확보

입력 : 2024-05-30 10:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
임직원 보안의식 강화 위해 교육, 내부 점검 및 주기적 홍보, 모의훈련 등 노력의 일상화
개인정보보호 책임자 전문성 강화, 외부 컨설팅 통해 강화된 법 준수 위해 노력


[보안뉴스 김영명 기자] 국립낙동강생물자원관(관장 유호)은 담수생물 주권 확보, 다양성 보전 및 지속 가능한 이용으로 국가 발전에 이바지하기 위해 2015년 개관한 환경부 산하 공공기관이다. 담수생물의 조사·발굴, 생물표본의 확보·관리, 유용 담수생물 소재·기술 개발을 위한 다양한 연구를 수행하고 있으며 생물다양성 관련 대국민 인식 제고를 위해 전시 및 교육 서비스를 제공하고 있다.

▲국립낙동강생물자원관 전경[사진=국립낙동강생물자원관]


국립낙동강생물자원관은 전략기획실 산하 정보관리부에서 기관 정보화를 비롯해 정보보안 및 개인정보보호 업무를 총괄하고 있다. 정부관리부의 오정수 부장이 개인정보보호 책임자(CPO)를 맡고 있으며, 이지혜 계장은 기관의 개인정보보호 담당자로 개인정보관리사(CPPG) 자격증을 보유한 전문인력으로 업무에 임하고 있다.

보유 개인정보 현행화 및 라이프사이클 관리 강화
국립낙동강생물자원관 이지혜 계장은 “저희 기관이 ‘공공기관 개인정보 관리수준 진단’에서 최고등급인 S등급을 획득하게 돼 매우 기쁘고 뿌듯하다”며 “이는 기관의 개인정보보호 수준을 향상시키기 위해 임직원 모두가 꾸준히 노력했기 때문이라고 생각하고 있다”고 말했다.

기관에서 관리하는 개인정보는 전시 및 교육 프로그램 참석자 정보, 기관 보유 생물 소재에 대한 분양신청자 정보 등이다. 개인정보를 운용하는 각 부서에서는 개인정보가 담긴 파일을 개인정보보호위원회의 ‘개인정보보호 종합지원시스템’에 등록 및 현행화하고 있으며, 개인정보 보유 목적 달성, 보유기간 만료에 따른 개인정보 파기 등 개인정보 라이프사이클을 관리하고 있다.

이 계장은 “정보관리부에서는 개인정보 안전조치 개선을 위해 인프라 확충, 개인정보처리시스템의 접근 권한 및 접속기록 관리, 시스템 취약점 점검과 개선 등을 수행한다”며 “개인정보 내부 관리계획을 수립·시행하고, 개인정보보호 절차서와 매뉴얼을 제·개정 및 배포해 체계적인 개인정보보호 업무를 수행하고 있다”고 말했다. 이어 “이외에도 각 취급 부서에서 관리되는 개인정보의 안전한 관리를 위해 개인정보 파일 및 개인정보 처리 업무 위·수탁 사업 등을 점검하고, 미흡 사항에 대해 개선조치를 수행하고 있다”고 덧붙였다.

출근길 개인정보보호 퀴즈 이벤트 개최 등 다양한 홍보 활동 수행
국립낙동강생물자원관은 타 공공기관과 마찬가지로 최근 몇 년간 공공기관에 대한 사이버 공격과 개인정보 유출사고의 증가에 대해 매우 우려하고 있다. 특히 대국민 대상 서비스가 많은 공공기관 특성상 한 번의 사고로 대량의 민감정보가 유출되고 2차 피해로 확산될 수 있어 담당자들은 이에 대해 심각하게 인식하고 있다.

이지혜 계장은 “저희도 다양한 대국민 서비스를 제공하는 공공기관으로서 정보보안 및 개인정보보호를 강화하기 위해 노력하고 있지만, 공공기관이라서 전문인력 확보에 더 큰 어려움을 겪고 있다”며 “이 부분은 국내 모든 공공기관 정보보안 및 개인정보보호 담당자들이 겪고 있는 공통의 문제라고 생각한다”고 설명했다.

기관은 임직원의 보안인식 개선을 위해 교육 시행, 홍보 강화, 내부 점검 강화, 모의 훈련 등을 꾸준히 진행하고 있다. 먼저 ‘교육 시행’에서는 외부 전문가를 초빙해 전 직원을 대상으로 정보보안 및 개인정보보호 현장 교육을 시행하고 있다. 교육 내용은 실제 업무와 연계해 도움이 되고 최신 위협에 대한 이해를 높일 수 있도록 사례 중심으로 구성하고 있다. 특히 개인정보를 주로 다루는 취급자들을 대상으로 개인정보보호 책임자 주관 별도의 교육을 통해 개인정보보호 인식 제고 및 관리 전문성 강화를 위해 노력하고 있다.

‘홍보 강화’에서는 개인정보보호 요령 관련 카드뉴스와 포스터를 제작해 기관 내 전 직원들에게 공유하고, 출근길 개인정보보호 퀴즈 이벤트 개최 등 다양한 홍보 활동을 수행하고 있다. ‘내부 점검 강화’에서는 개인정보보호 및 정보보안 이행을 위해 점검표를 작성 및 배포하고, 연 1회 임직원 대상 정보보안 및 개인정보보호 이행 상태를 현장 점검한다. 현장 점검의 결과는 부서 성과평가에 반영해 개인별 이행 상태를 평가하고 보완점을 도출하고 있다.

마지막으로 ‘모의훈련’은 연 1회 이상 해킹 메일 대응 훈련을 통해 사이버 위협에 대한 경각심과 대응능력을 높이기 위해 노력하고 있다.

이 계장은 “특히 최근 딥페이크, 챗봇 등 생성형 AI 기술을 이용한 사회공학적 공격 기법으로 인해 개인정보 유출 사고의 위험이 증가할 수 있어 선제적 대응이 필요하다고 생각한다”고 말했다. 이어 “이에 따라 정보보안 및 개인정보 보호 기술의 업데이트와 대응능력을 높이는 것이 필요하지만, 아직 이에 대비하기 위한 기술, 인프라 및 인력을 확보하는 데 어려움을 겪는 것도 사실”이라며 “이러한 보안 위협에 대한 직원들의 인식도 부족해 이에 대한 철저한 대비가 필요하다”고 밝혔다.

강화되는 개인정보 보호법, 지속적인 노력 이어간다
개정 개인정보 보호법의 주요 내용은 ‘자동화된 결정에 대한 정보주체의 권리’, ‘개인정보보호 책임자 전문성·독립성 강화’, ‘공공분야 개인정보 보호수준 평가 확대’, ‘손해배상책임 보장 의무대상 보완’ 등이다. 국립낙동강생물자원관은 각각의 항목에 대해 현실에 맞게 대응하기 위해 노력 중이다.

먼저 ‘자동화된 결정에 대한 정보주체의 권리 강화’에 대해서는 아직 자동화된 의사결정에 대한 적용 대상은 없다. 하지만 이에 대비하기 위해 개인정보 내부 관리계획 및 개인정보처리방침의 개정을 준비하고 있다. ‘개인정보보호 책임자 전문성·독립성 강화’를 위해 기관은 개인정보보호 경력 2년 이상, 정보보호 및 정보기술 경력 4년 이상인 자를 개인정보보호 책임자로 지정해 대응하고 있다.

‘공공분야 개인정보 보호수준 평가 확대’에 대해서는 지난해 진단 결과 미흡 사항에 대한 분석을 통해 보완을 추진하고 있으며, 이를 반영해 개인정보에 대한 철저한 관리·점검을 시행할 계획이다. 이와 함께 개인정보보호 컨설팅을 통해 강화된 평가 기준에 대응할 계획이다. ‘손해배상책임 보장 의무대상 보완’에 대해 기관은 개인정보 유출사고로 인한 손해배상책임을 다하기 위해 개인정보보호 배상 책임보험에 매년 가입하며 대비태세를 갖추고 있다.

이지혜 계장은 “저희 기관이 개인정보보호에서 우수한 성과를 낼 수 있었던 것은 모든 임직원이 함께 노력한 결과라고 생각한다”며 “앞으로도 지속적인 노력을 통해 개인정보 보호수준을 더욱 높일 수 있도록 힘쓰겠다”고 밝혔다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)