보안뉴스 창간 18주년을 축하합니다!!

Home > 전체기사

[PIS FAIR 2024] 6년 연속 개인정보 관리수준 S등급, 한국중부발전의 개인정보보호 비결은?

입력 : 2024-06-07 00:56
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
6년 연속 개인정보 관리수준 S등급 한국중부발전, PIS FAIR 2024 우수사례 공유
사이버안전센터 운영, 네트워크 스캔 등 위협관리와 임직원 인식제고 위한 활동 펼쳐
윤중원 차장, “회사 임직원을 개인정보 전문가로 키우겠다는 생각으로 업무에 임해”


[보안뉴스 박은주 기자] 국내 최대 개인정보보호 축제 ‘PIS FAIR 2024’에서 모범적인 개인정보보호 실천 방안을 공유하는 장이 열렸다. 고도화된 보안관제, 맞춤형 보안교육, CEO와 함께하는 캠페인 등 개인정보보호를 위한 기관의 우수사례를 알려 개인정보보호 담당자에게 실질적인 도움을 주기 위해 마련됐다.

▲한국중부발전 윤중원 차장[사진=보안뉴스]


우수사례 발표는 ‘공공기관 개인정보 관리수준 진단’에서 2018년부터 6년 연속으로 최고 등급(S등급)을 받은 한국중부발전(KOMIPO) 윤중원 차장이 진행했다. 공공기관 개인정보 관리수준 진단은 공공기관 개인정보보호 역량 강화를 위해 매년 개인정보보호위원회가 주관하는 평가제도다. 특히 2024년부터는 ‘공공기관 개인정보 보호수준 평가’ 기준을 시범 적용하면서, 기준이 훨씬 더 엄격해졌다.

한국중부발전은 외부로부터 공격을 차단하기 위해 24시간 365일 ‘사이버안전센터’를 운영하고 있다. 차세대 통합 보안관제 시스템, 머신러닝 기반 위협 탐지 시스템을 운용하고, 신규 취약점 예방 및 침해사고 유형별 재발방지 대책을 수립했다.

외부 전문가를 통해 웹 취약점을 진단하고, 타 발전사와의 협약을 통해 연 5회 가량 모의해킹을 진행하고 있다. 윤 차장은 “상시로 취약점을 관리하고 매년 모의해킹을 수행함에도 100여개 정도 취약점이 발견된다”고 설명했다. 보안관제 분야에서는 “한국수력원자력, 삼성SDS 등 우수기관을 벤치마킹해서 고도화된 보안관제를 진행하기 위해 노력하고 있다”고 밝혔다.

또한, 한국중부발전은 연 2회 전 대역을 대상으로 네트워크를 스캔한다. 스캔 결과 IT 자산과 대조해 자산을 현행화하고 있다. 윤 차장은 “방치된 장비나 서버에서 취약점을 통한 위협이 들어오기 때문에 자산관리를 철저히 하고 있다”고 설명했다.

한국중부발전은 맞춤형 정보보안, 개인정보 전문가 교육 프로그램을 운영하고 있다. 정보보안과 개인정보보호 담당자 및 전 직원을 대상으로 교육이 진행한다. 정보·제어 보안담당자 전문교육을 연 40시간 의무로 진행하고 담당업무별로 맞춤형 교육을 통해 역량을 강화하고 있다.

윤 차장은 “취약점 진단 및 컨설팅 경험이 있는 경력직 보안 전문가로 팀을 꾸리고 있다”며 “보안 전담인력 자격증 취득을 지원하고, 자격증을 취득할 시 성과급을 지원하는 등 역량 강화를 독려하고 있다”고 말했다. 현재 한국중부발전 보안팀에는 14명 인원이 근무하고 있으며, 그중 12명이 고려대학교 정보보호대학원 석사과정을 거친 전문가라고 소개했다.

또한, 임직원 개인정보보호 의식 제고를 위해 매월 해킹 메일 훈련을 진행한다. 그 결과 2023년 한국중부발전 임직원이 해킹 메일을 열람한 수는 0에 가깝고, 해킹 메일 신고율은 99%에 달한다.

이외에도 한국중부발전은 △개인정보 퀴즈이벤트 △한국중부발전 7개 사업소 인식개선 프로그램 △정보보호 동영상 제작 △버그바운티 및 보안 아이디어 공모전 △개인정보 항목 라벨링 등 다양한 프로그램을 적극적으로 진행하고 직원 참여를 유도하고 있다. 윤 차장은 “회사 임직원을 ‘개인정보 전문가로 키우겠다’는 생각으로 업무에 임한다”고 밝혔다.

개인정보 유출 사고에 대비해 침해 시나리오를 기반으로 모의훈련을 진행한다. 훈련 시나리오는 웹쉘 공격을 통한 개인정보 유출, 악성코드 공격으로 관리자 PC 탈취 등 실제 발생한 사고를 기반으로 한다. 체계적이고 신속한 대응으로 개인정보 유출에 대한 추가 피해를 방지하고, 사고 시 담당자의 대응능력 절차를 숙지시키며, 절차의 적정성을 점검하기 위해 진행된다.

윤 차장은 공공기관에서 개인정보보호 업무를 수행할 때 인증체계가 필요하다고 주장했다. 그는 “주기적으로 보직이 변경되는 공공기관의 특성상 개인정보보호관리체계(ISMS-P) 및 ISO 27001 등 인증체계를 유지하는 것이 연속적인 보안업무를 진행하는 데 도움이 된다”고 설명했다. 더불어 “개인정보를 보호하기 위해서는 기관장의 의지가 수반돼야 한다”며, “한국중부발전은 CEO 주관으로 개인정보보호 캠페인을 진행하고 있다”고 소개했다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)