Home > 전체기사
공공기관의 개인정보보호 활동에 대한 고찰
  |  입력 : 2016-06-20 16:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
현장의 목소리 수렴해 기관 특성에 맞는 개인정보보호 관리체계 수립·시행해야

[보안뉴스= 정환석 (개인)정보보호 전문가] 기업이나 공공기관에서 각종 위협으로부터 주요 정보자산을 보호하기 위해 수립·관리·운영하는 정보보호 관리체계를 평가하여 정보보호 수준을 측정하는 정보보호 인증제도는 ISMS(정보보호 관리체계인증, 미래창조과학부), PIMS(개인정보보호 관리체계 인증, 방송통신위원회), PIPL(개인정보보호 인증, 행정자치부)이 있다.


이중 PIMS와 PIPL은 감사원의 감사결과(2014년 8월) 점검항목의 유사성, 정보보호 수준 측정의 동일성, 중복 운영에 따른 기업부담 가중 등의 문제로 통합 운영하도록 했다. 이때 ISMS와 PIMS에 대하여는 유사 중복항목에 대하여 상호 인정하는 것으로 마무리 되었으나, 2015년 8월 감사원은 두 지표 간 심사항목과 평가기준이 상호 유사하고, 연계 운영 필요성에 대한 검토 미흡부분 지적 및 중복운영에 따른 기업부담이 가중됨에 따라 통합 운영토록 통보 조치했다.

이는 개인정보보호 인증 취득과 유지를 위한 유사 중복 활동을 최소화하고, 기업의 부담감을 줄이면서 집중적인 개인정보보호 활동을 유도하는 선택과 집중을 위한 최선의 조치라고 판단된다.

공공기관 개인정보보호 활동상의 문제점
국민의 민감한 개인정보를 가장 많이 처리하고 있는 공공기관은 이런 인증제도와는 별개로 ‘공공기관개인정보보호 관리수준 진단’, ‘공공기관 개인정보보호 실태점검/현장점검/자가진단’ 등 국민의 소중한 개인정보를 보호하기 위하여 많은 준비와 노력을 기울이고 있다. 하지만 여기에도 유사 중복 운영에따른 기관 담당자의 부담감이 가중되고 있는 것이 현실이다.

‘범정부TF 개인정보보호 실태점검’과 ‘공공기관 개인정보보호 관리수준 진단’을 예로 들어보자. ‘공공기관 개인정보보호 관리수준 진단’은 공공기관의 개인정보보호법령 준수에 대한 객관적 평가를 통해 미비점을 보완하고 개선을 유도함으로써 개인정보보호 수준을 향상시키기 위해 2012년부터 시행되고 있다. 2015년 기준 3개 분야 11개 지표 23개 항목으로 738개 공공기관을 대상으로 시행되었다.

▲ 개인정보보호 실태점검과 관리수준진단 지표 연관성 분석표

‘범정부TF 개인정보보호 실태점검’은 2014년 초 카드사고 등 최악의 개인정보 유출사고로 인한 사전점검차원에서 전 공공기관과 민간기관을 대상으로 시행되었으며, 이후 현장점검 등 기관 실사 또는 IT 수탁자를 위한 개인정보보호 실태를 점검하는 지표로 활용하고 있다.

두 지표 모두 개인정보보호법에 근거하여 기관의 개인정보보호 실태 또는 관리수준을 평가하는 지표로 활용되고 있는 것이다. 관리수준진단은 매년 실시하고 있으며, 실태점검은 관리수준 미흡 기관이나 특별점검 대상기관에 대한 점검 시 활용되고 있다.

두 점검지표에 대하여 중복성을 분석한 결과 표와 같이 13개 항목이 공통지표로, 나머지 12개 항목은 개별항목으로 분석되었다. 관리수준과 실태점검은 개인정보보호법을 근거로 하여 개인정보보호 활동에 대해 기관을 진단하고 평가하는 지표로서, 상호 중복성을 제거하고 통합하여 공공기관에 대한 개인정보보호 활동지표로 활용한다면 그 효과성은 배가될 것이라 판단된다.

즉, 공공기관이 관리수준 진단 지표에 대한 점검활동만으로 개인정보보호를 위한 기관의 의무를 다했다고 볼 수 없고, 관리수준 진단점수가 높다고 해 개인정보보호 수준이 높다고도 단언할 수 없으며, PIMS나 PIPL 인증을 받을 만큼의 수준이라고 할 수도 없을 것이기 때문이다.

공공기관이 개인정보보호 수준을 제고하기 위하여 두 점검지표를 통합 또는 병행 시행하는 경우 담당조직(담당자)의 역할은 매우 중요하다. 하지만, 공공기관의 업무 특성상 순환보직에 의해 어느 기간이 지나면 담당자가 바뀌게 된다. 또한, 순환 보직된 담당자의 역량에 따라 기관의 개인정보보호 활동에도 많은 영향을 미치기 때문에 개인정보보호 관리체계가 정립되지 않은 기관의 새로운 담당자는 개인정보보호법에 대한 이해부터 새롭게 시작하게 된다.

이러한 이유로 방송통신위원회와 행정자치부(舊 행정안전부) 등 관계기관 합동으로 정보보호 전담인력의 확보와 전문성 강화 대책을 마련하고 시행하였다(2010년 12월 17일). 하지만, 감사원 감사결과(2016년 3월) 증원된 인력이 미충원 되거나, 전담업무를 수행하지 않고 다른 업무와 병행하여 업무를 수행하거나, 비전문 인력으로 증원된 경우가 있어 이를 시정 조치한 것으로 드러났다. 전담조직과 전문 인력에 의한 체계적인 관리가 시급한 상황인 것이다.

꾸준한 교육 통해 공공기관의 개인정보보호 업무 이해도 높여야
법 시행 이후 공공기관은 개인정보보호 전담조직의 구성 및 활동 강화와 관리수준진단 시행에 따른 보호 활동으로 개인정보보호에 대한 인식수준은 많이 제고되었다고 할 수 있다. 하지만 개인정보에 대한 오남용 사례와 유출사고는 끊임없이 발생되고 있다. 2015년 9월 발표된 자료에 따르면 2011년부터 2015년 6월까지 4년 동안 1억3천만 명의 개인정보가 유출된 것으로 집계됐다(국정감사 보도자료, 2015.9.12, 국회의원 노웅래).

특히, 해킹(3,027만 명)에 의한 유출보다 내부관리 소홀에 의한 개인정보 유출이 3배나 높다. 그 중 개인정보를 처리하는 담당직원의 사적열람이나 무단제공 등 오남용 사건이 전체의 약 80%를 차지한다고 하니, 개인정보보호에 대한 임직원들의 이해도가 낮은 수준이라 할 수 있지 않을까? 공공기관의 개인정보보호에 대한 이해도를 증진시키기 위해서는 징계와 같은 제재수준보다는 교육을 통한 인식전환이 효과가 높을 것이다. 이를 위한 지표가 관리수준 진단 내에 포함되어 있다. 또한, 오프라인 강좌를 통해 실효성 있는 교육이 되도록 각 지역의 개인정보보호 전문가를 강사로 위촉하여 공공기관에서 활용토록 홈페이지(www.privacy.go.kr)에 게시하고 있다.

하지만, 관리수준진단 지표는 계획수립과 이행 확인에 국한되어 있고, 교육 방법과 수준에 대하여는 차별화하지 않고 있다. 즉, 온라인교육이나 오프라인 교육 모두에 대해 동등한 수준의 교육확인 점수를 부여함에 따라 교육수준을 확인할 수 없다는 것이 가장 큰 문제라고 생각한다.

온라인 교육은 편리성이 높은 반면 획일적인 교육으로 인해 다양한 분야에 대한 필요 내용 전달에 어려움이 있다. 오프라인 교육은 공인된 전문가의 교육을 통하여 다양한 개인정보처리 분야에 대해 차등교육이 가능하며, 개인정보처리 위탁업무와 같이 다양한 분야에 대해 전문적 교육이 필요한 곳에 적용하면 그 효과가 높을 것이나 예산 반영 등에 한계가 있는 것이 현실이다. 그렇다고 교육예산을 많이 반영할 수도 없을 것이고, 분야별 담당자, 취급자, 수탁자 교육을 다양하게 실시할 수 있는 공공기관도 많지 않은 것이다.

이런 공공기관의 어려움을 틈타 전문 강사로 위장하여 검증되지 않은 무료교육을 해주면서 기업 광고 등을 하는 업체도 생겨나고 있다. 관리수준 진단에 있어 심도 있는 점검과 전문 강사를 통한 다양하고 전문성 있는 교육을 통해 공공기관의 개인정보보호에 대한 이해도를 높여 업무에 적용하는 것이 무엇보다 절실한 상황이다.

공공기관이 개인정보보호법령 준수에 대한 객관적인 평가와 미비점 보완 및 개선을 위해 실시하고 있는 개인정보보호 관리수준 진단과 실태점검, 개인정보보호 전담조직(담당자) 구성 및 운영, 개인정보보호 전문 강사 운영을 통한 임직원 인식제고 노력 등 공공기관은 국민의 소중한 정보를 안전하게 처리하고자 많은 노력을 기울이고 있는 것은 사실이다. 하지만, 아직 미흡한 사항이 많고 형식적인 활동에 그치는 경우가 많으므로 현장의 목소리와 전문가들의 의견들을 수렴하여 기관의 특성에 맞는 개인정보보호 관리체계를 수립하고 시행함으로써 국민의 소중한 개인정보를 관리하는 노력이 필요할 것이다.
[글_ 정환석 (개인)정보보호 전문가(xpertstone@hanmail.net)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 국정감사에서 가장 중점적으로 다뤄야 할 보안이슈는 무엇이라고 보시나요?
잇따른 개인정보 유출사고
드론 테러 대응 대책
보안 관련 법 체계, 제도 정비
국가 사이버안보 거버넌스(보안 콘트롤타워) 정립
국가 차원의 사이버테러 대응 방안
스마트시티에서의 보안위협 대응
https 접속 차단 정책
국가핵심기술 및 기업 기밀 보호 방안
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

Videotec
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

도마카바코리아
시큐리티 게이트

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

비전정보통신
IP카메라 / VMS / 폴

슈프리마
출입통제 / 얼굴인식

동양유니텍
IR PTZ 카메라

트루엔
IP 카메라

링크플로우
이동형 CCTV 솔루션

보쉬시큐리티시스템즈
CCTV / 영상보안

엔토스정보통신
DVR / NVR / CCTV

CCTV협동조합
CCTV

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

씨오피코리아
CCTV 영상 전송장비

테크어헤드
얼굴인식 소프트웨어

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

구네보코리아
보안게이트

다민정보산업
기업형 스토리지

에스카
CCTV / 영상개선

이스트시큐리티
엔트포인트 보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

알에프코리아
무선 브릿지 / AP

사라다
지능형 객체 인식 시스템

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

창우
폴대

퍼시픽솔루션
IP 카메라 / DVR

새눈
CCTV 상태관리 솔루션

이노뎁
VMS

케이티앤씨
CCTV / 모듈 / 도어락

아이유플러스
레이더 / 카메라

진명아이앤씨
CCTV / 카메라

브이유텍
플랫폼 기반 통합 NVR

아이엔아이
울타리 침입 감지 시스템

두레옵트로닉스
카메라 렌즈

이후커뮤니케이션
CCTV / DVR

DK솔루션
메트릭스 / 망전송시스템

옵티언스

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

세환엠에스
시큐리티 게이트

지에스티엔지니어링
게이트 / 스피드게이트

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제