보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[2024 개인정보보호 우수사례-4] 소상공인시장진흥공단, 660만 소상공인의 개인정보 보안관

입력 : 2024-05-23 17:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
소상공인시장진흥공단, 한층 엄격해진 2023 개인정보 관리수준 진단에서 ‘S등급’ 받아
개인정보 접근수준에 따른 맞춤교육, 모의훈련, 솔루션 도입 등 다양한 노력 기울여
“결과에 안주하지 않고 개인정보보호 역량을 강화해 소상공인 개인정보 지킬 것”


[보안뉴스 박은주 기자] 소상공인시장진흥공단(이하 소시공)은 소상공인과 전통시장의 성장을 이끌어 국민경제 활성화에 이바지하는 중소벤처기업부 산하 준정부기관이다. 대전에 있는 공단 본부를 중심으로 7개 지역본부와 77개 지역센터에서 660만 소상공인을 밀착 지원한다. 소상공인정책자금·교육·컨설팅 등 소상공인을 위한 다양한 지원사업을 진행하는데, 이 과정에서 수집·취급하는 개인정보가 약 800만 건에 달한다.

▲소시공 전경[사진=소시공]


소시공은 ‘2023년 공공기관 개인정보 관리수준 진단(이하 관리수준 진단)’에서 최상위등급인 S등급을 받으며, 작년 한 해 개인정보를 안전하게 관리했다는 평가를 받았다. 관리수준 진단은 개인정보보호위원회(이하 개인정보위)에서 매년 중앙행정기관 및 산하 공공기관, 지방자치단체, 지방공기업에서 개인정보 관리체계 및 유출 예방 활동 등을 진단해 국민 개인정보가 안전하게 될 수 있는 기반 조성을 유도하는 제도다.

특히 이번 관리수준 진단은 2024년 실시 예정인 ‘공공기관 개인정보 보호수준 평가’ 기준을 시범 적용해 서면 검증 기준을 강화하고, 정성 지표 비중도 확대하며 기준이 더욱 엄격해졌다.

개인정보보호 FM, 소시공
정보보호를 비롯한 개인정보보호는 소시공 정보화전략실 내 ‘정보보안팀(이하 보안팀)’이 담당하고 있다. 보안팀은 개인정보를 보호하기 위해 △개인정보 접근수준에 따른 맞춤 교육 △개인정보보호 인식 제고 △모의훈련 △매뉴얼 및 가이드라인 활용 △접속기록 솔루션 도입 등 다양한 노력을 기울이고 있다고 소개했다.

개인정보를 취급하는 수준에 따라 CPO와 임원, 그리고 직원 간에 역할과 책임, 법적 준수 요구사항, 위험도와 영향력까지 차이가 있다. 따라서 개인정보 취급 수준에 따른 교육이 요구된다. 이에 따라 소시공에서는 개인정보보호 책임자(CPO)를 위한 전문가 교육, 중간관리자 및 개인정보 취급자, 전 직원을 대상으로 개인정보 접근수준에 따른 맞춤형 교육을 진행하고 있다.

보안팀은 자체적으로 ‘개인정보보호포털’을 구축했다. 임직원이 개인정보보호 관련 정보에 쉽게 접근할 수 있도록 해 정보보호 인식을 강화하기 위해서다. 포털을 통해 개정된 규정을 주기적으로 안내하고, 개인정보와 관련 소식을 빠르게 전달한다. 또한, 사이버위협 상황에 대비해 실제와 유사한 환경에서 모의훈련을 진행했고, 유사시 대응능력을 강화하고 있다.

▲소시공 보안팀[사진=소시공]


보안팀 김진홍 팀장은 “임직원 개인정보보호 인식을 높이는 게 중요하다”며 “정보보호에 관심을 가질 수 있도록 흥미로운 사례를 기반으로 매년 교육을 진행하고 있다”고 설명했다. 그는 “많은 보안사고가 사람 실수로 인해 발생한다”며 “보안팀은 그 실수를 줄이기 위해 노력한다”고 덧붙였다. 한편 소시공은 지난 2021년 개인정보위, 한국인터넷진흥원(KISA)과 협업해 ‘소상공인을 위한 개인정보보호 핸드북’을 제작하고 배포하기도 했다.

방어적으로 해석하고 공격적으로 설득하라
2023년 관리수준 진단은 ‘공공기관 개인정보 보호수준 평가’ 기준을 시범 적용하면서 평가가 한층 철저해졌다. 실제로 2022년 관리수준 진단에서 S급을 받은 기관이 321개였으나, 2023년에는 15개로 대폭 감소했다.

이에 따라 새로운 기준을 적용하는 데 어려움이 수반됐다. 소시공 보안팀은 규정이 개정될 때마다 안내하고, KISA에서 배포하는 매뉴얼과 가이드라인을 활용했다. 더불어 개인정보보호법 개정에 따라 개인정보 유출 및 침해사고 대응 매뉴얼을 손보고, 자체적인 훈련을 거듭하고 있다. 김 팀장은 “보호법령이나 관리수준 진단 지표를 분석해 방어적으로 해석했고, 임직원에게는 공격적으로 설득하고 홍보했다”고 설명했다.

또한, 예산과 인력이 한정적이어서 다량의 개인정보를 체계적으로 관리하는 데 어려움을 겪었다. 이에 소시공은 개인정보보호 업무에 ‘전문직위제’를 도입해 성과급을 지급하는 등 우수 인력을 확보해 개인정보보호 역량을 강화하고 있다고 밝혔다.

국제표준 인증으로 체계적인 프로세스 갖출 것
소시공은 2024년 정보보호 및 개인정보 관리에 대한 체계적인 프로세스 검증을 위해 ‘ISO27701(개인 정보보호 경영시스템) 인증’ 획득을 추진하고 있다. 개인정보 수집 및 처리, 시스템 안전성 등 국제표준 인증을 통해 개인정보 관리체계에 대한 대내외 신뢰성을 확보하고, 우수성을 입증할 계획이다. 더불어 타 기관과 정보보호 협의체를 구성해 기관에서 보유한 개인정보를 더욱 안전하게 관리할 방안을 모색하겠다고 밝혔다.

소상공인시장진흥공단 보안팀 김진홍 팀장은 “2023년 관리수준 진단에서 S등급을 받을 수 있던 것은 공단 임직원 모두가 한마음 한뜻으로 개인정보 관리체계 개선에 힘써주신 결과”라며 “개인정보보호의 중요성이 날로 높아지는 만큼 결과에 안주하지 않고 개인정보보호 역량을 강화하고 앞으로 소상공인의 개인정보를 안전하게 지킬 수 있도록 노력하겠다”고 소감을 밝혔다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)