보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[인터뷰] 세종시설관리공단 이광호 팀장 “개인정보보호, 지속적인 아이디어 발굴이 비결”

입력 : 2024-06-26 15:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
세종특별자치시시설관리공단, ePRIVACY PLUS 인증 7년 연속 취득
인증심사 통해 내부 시스템 보안 취약점 점검 및 개선...개인정보보호 관리 수준 향상


[보안뉴스 김경애 기자] 2016년도에 출범한 세종특별자치시시설관리공단(이하 세종시설관리공단)은 세종특별자치시 최초의 공기업으로, 공공시설물의 효율적 관리와 시민들의 복리증진을 목적으로 현재 장사시설, 공원 등 8개 분야 36개 사업을 운영하고 있다. 3본부 2실 1소 1단 17개팀으로 조직이 구성되어 있으며, 시민 중심 서비스 제공과 효율적인 시설관리로 품격 있는 도시를 만들기 위해 노력하고 있다.

▲세종특별자치시시설관리공단 디지털전략팀 이광호 팀장[사진=보안뉴스]


특히 세종시설관리공단은 ‘ePRIVACY PLUS’ 인증을 7년 연속 취득한 기관으로 ‘ePRIVACY PLUS’ 인증은 개인정보 보호 관련 법규 준수 여부와 개인정보 보호를 위한 기술적·관리적·물리적 보호조치를 점검해 우수하게 평가된 웹사이트에 인증을 부여하는 제도다. 공단은 정보보안 및 개인정보 보호 수준 향상을 위해 다양한 노력을 수행하고 있으며, 이번 인증심사를 통해 대표 누리집에 대한 개인정보 보호조치 총 60개 항목을 점검하고 우수한 결과로 인증을 취득했다.

이에 <보안뉴스>에서는 ePRIVACY PLUS 인증을 7년 연속 취득한 세종시설관리공단에서 개인정보보호 업무를 맡고 있는 이광호 팀장과의 인터뷰를 통해 ePRIVACY PLUS 인증을 7년연속 취득한 노하우와 비결, 그리고 개인정보보호 강화를 위해 어떤 노력을 하고 있는지에 대해 들어봤다.

Q. 세종시설관리공단의 보안조직과 업무 소개를 부탁드립니다.
보안조직은 2024년 1월 1일 조직개편을 통해 정보보호 및 개인정보보호 업무를 전담하는 디지털전략팀이 5명 정원으로 신설됐습니다. 정보화, 정보보호, 기록물, 데이터 등의 업무를 주로 수행하고 있는데요. 현재 개인정보보호 업무는 2명이 담당하고 있죠. 향후 전담 인력을 확보해 공단만의 개인정보보호 모델링 생성을 통한 개인정보 보호 체계 확립 등 다양한 업무를 추진할 계획입니다.

Q. ePRIVACY PLUS 인증을 7년 연속 취득한 소감은?
2018년 ePRIVACY 인증을 시작으로 매년 인증을 취득했습니다. 인증심사를 통해 내부 시스템에 대한 보안 취약점 점검과 개선이 가능했고, 개인정보보호 관리 수준을 향상시킬 수 있었죠. 의무대상은 아니지만 앞으로 ISMS-P 인증 등을 추가로 취득해 보안 취약점을 제거하는 활동으로 안전성 확보조치를 강화할 계획입니다.

Q. ePRIVACY PLUS 인증을 7년 연속 취득한 노하우를 소개해 주신다면?
공단은 다양한 공공시설물을 운영하는 기관으로 회원정보 등의 개인정보를 보유하고 있어요. 그러다보니 개인정보보호를 위한 임원분들의 관심도가 매우 높죠. 따라서 적극적인 지원을 통해 다양한 개인정보보호 활동을 할 수 있었고, 그 결과 7년 연속 개인정보보호 인증을 취득할 수 있었다고 봅니다.

또한 개인정보보호위원회에서 실시하는 개인정보 수준진단에서 2021년~2022년 S등급을 받은 바 있습니다. 2023년도에는 개인정보 보호법 개정(제11조의2 신설)에 따라 공공기관 개인정보 보호수준 평가 기준을 시범 적용한 게 특징인데요. 서면 검증 기준이 강화됐고, 정성지표 비중이 대폭 확대됐습니다. 이전의 정량지표에서는 개인정보 관리체계, 정보주체 권리보장, 개인정보 침해방지 등 분야별 평균 이행률이 반영됐다면, 정성지표는 안전조치 개선 노력, 유출·침해 대응, 위·수탁관리, 개인정보파일 관리, 개인정보 처리방침, 기관장의 관심과 노력 등 정성지표별 평균 점수가 반영됐는데요. S등급을 받지 못한 아쉬움은 있지만, A등급 획득도 의미가 있다고 생각합니다.

이에 따라 저희 공단에서는 개인정보보호 활동을 위해 개인정보보호위원회에서 추진하는 정책을 활용하고, 다양한 비예산 사업 추진 등을 통해 개인정보보호 수준 향상을 위해 노력할 예정입니다.

Q. 인증 취득을 위해 기술적·관리적·물리적 측면에서 어떤 노력을 기울였나요?
침해사고 예방을 위해 다양한 정보보호 시스템을 운영하고 있습니다. 개인정보보호 사각지대를 해소하고자 네트워크 구성의 최적화와 정보보호 시스템의 적재적소 운영을 통해 기술적 보호조치를 강화했어요. 또한 변화하는 환경에 대응해 내부관리계획, 개인정보처리방침 및 매뉴얼 등을 개정하고, 개인정보보호 사내 강사 활동을 통해 개인정보보호 정책과 문화 확립을 위해 다양한 활동을 추진했습니다.

해킹 모의훈련, 재난·재해 대응 모의훈련 등을 실시해 위기대응 능력 향상을 도모하고, 연 2회 실시하는 교육·훈련 결과에 대한 사례교육으로 구성원들의 인식 개선을 위해 다양한 노력을 하고 있습니다. 또한 3중의 정보보안 관제체계 구축을 통해 사이버 침해사고 위협으로부터 안전성 확보조치 강화를 추진할 수 있었습니다.

Q. 인증 획득에 있어 어려운 점도 많았을 것 같은데요. 애로사항은 무엇이었고, 어떻게 극복하셨나요?
점차 강화되는 개인정보 보호법의 준수를 위해서는 많은 시간과 예산이 필요한데요. 특히 전담 인력의 부족으로 업무 추진에 애로사항이 많았습니다. 이에 대한 해결책으로 개인정보보호 업무를 분야별로 세분화해 전산, 기록물 담당자에게도 업무를 부여해 다양한 시각으로 개인정보보호를 위한 아이디어를 발굴하고 추진할 수 있어 시간과 예산을 절감할 수 있었죠. 또한 우수기관 벤치마킹과 유관기관과의 소통을 통해 개인정보보호 수준 향상에 많은 도움을 받을 수 있었습니다.

▲세종특별자치시시설관리공단 디지털전략팀 이광호 팀장[사진=보안뉴스]


Q. 공공기관의 경우 보안예산이 한정돼 있어 업무 수행이 쉽지 않은 것으로 알고 있습니다. 이에 효율적으로 대응할 수 있었던 노하우는?
디지털플랫폼정부 정책에 따라 디지털 전환으로 행정업무의 편의성과 효율성이 증진되는 한편 사이버 공격에 노출되는 영역이 증대됐습니다. 또한 지능화된 사이버공격으로 예측 불가능한 보안 위협에 대한 대응방안 마련이 필요한 상황입니다. 그럼에도 정보보호 예산확보에 많은 어려움이 존재하는 게 현실입니다.

공단에서는 정보보안 강화를 위해 세종시 사이버침해대응센터와 AI 기반 지자체 보안관제시스템(KLID SIEM)을 연동하는 등 비예산 사업을 추진해 이벤트, 트래픽 로그의 미탐지 영역 감소를 통한 보안관제 사각지대를 최소화할 수 있었습니다.

3중의 정보보안 관제체계(공단, 세종시, 한국지역정보개발원)를 구축해 안전성 확보조치 강화를 추진했습니다. 또한 유관기관 상호협력체계를 구축해 노하우, 이슈사항에 대한 정보를 공유함으로써 시간과 예산을 절감하고, 사전에 피해를 예방할 수 있었습니다.

Q. 가장 큰 고충은 무엇이며, 직무와 관련된 스트레스는 어떻게 해소하시나요?
앞으로 AI, 빅데이터, 개인정보보호 등 관련 법에 따른 많은 요구사항과 지표들이 산재되어 있어 업무 부하로 이어질 수 가능성이 높습니다. 현재 전문 인력 확보를 통한 세분화된 업무 프로세스 구축과 기존 인력에 대한 동기부여에 많은 고민을 하고 있는데요. 정보보안 및 개인정보보호 업무의 경우 직무 스트레스가 높은 편인데, 업무 부하 해소와 심적 부담감을 줄여줄 수 있도록 내부적으로 다양한 노력을 하고 있습니다. 개인적으로는 휴일을 활용해 가족들과 캠핑, 여행 등을 통해 스트레스를 해소하고 있습니다.

Q. 정보보호 및 개인정보보호 강화를 위한 향후 계획이 궁금합니다.
일상생활 속 개인정보보호 실천 문화 조성을 위해 노력하고자 합니다. 지난해의 경우 핵테온 세종 행사에 개인정보보호 홍보부스를 운영했는데요. 개인정보보호 홍보 물품을 제작해 배포한 바 있습니다. 룰렛 이벤트를 통해 관심도를 높이는 등 부스 홍보를 통한 참여도를 높였고 개인정보보호위원회에서 추진하는 아동·청소년 디지털 잊힐 권리 시범사업과 개인정보 침해신고 가이드라인 및 털린 내 정보 찾기 등의 제도에 대한 홍보를 추진한 바 있습니다.

올해도 개인정보보호 제도에 대한 홍보부스를 운영했는데요. 정보보호와 개인정보보호를 위한 기관 내 활동은 물론 다양한 대외활동을 추진함으로써 범국가적인 차원에서의 개인정보보호 수준 향상을 위해 노력하도록 하겠습니다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)