한국재정정보원, 개인정보 관리수준 진단에서 최우수기관(S등급)으로 선정

[보안뉴스 김경애 기자] 한국재정정보원(이하 재정원)은 국가 예산의 편성부터 집행, 회계결산, 기금관리, 국고금 관리 등이 이루어지는 디지털예산회계시스템 ‘디브레인(dBrain)’과 국고보조금 통합관리플랫폼 ‘e나라도움’을 운영하는 공공기관이다.


▲한국재정정보원 본사 전경[사진=한국재정정보원]

한국재정정보원, 재정경제부문 10개 기관 정보보호 강화
재정원은 연간 3,278조원의 자금이체가 이루어지는 ‘디브레인(dBrain)’과 102.3조원 규모의 국고보조금을 운영하는 ‘e나라도움’ 시스템을 안정적으로 운영하는 한편, 시스템 내 축적된 데이터를 분석·가공해 고품질 재정통계를 생산하고, 이를 통해 재정업무의 효율화와 재정 생산성 제고에 기여하고 있다. 아울러 한국은행, 수출입은행, 한국조폐공사 등 재정경제부문 10개 기관에 대해 24시간 365일 보안관제를 실시해 재정시스템에 대한 사이버침해 예방과 정보보호를 강화하고 있다.

그 결과 이번 개인정보 관리수준 진단에서 최우수기관(S등급)으로 선정됐다. 선정 소감에 대해 한국재정정보원은 “개인정보보호 최우수기관으로 선정되어 정말 자랑스럽고 뿌듯하다”며 “기관장 주도의 개인정보보호 문화 조성과 단 한 건의 개인정보 유출사고도 발생하지 않도록 전 직원이 끊임없이 노력한 결과로, 앞으로도 국민의 소중한 개인정보를 더욱더 철저히 보호하도록 노력하겠다”고 밝혔다.

모든 부서, 실무자 지정...개인정보보호 업무 주도적으로 수행
한국재정정보원의 개인정보보호 조직과 업무는 전사적으로 개인정보보호책임자(CPO)와 본부별 개인정보 책임자, 담당자를 두고 체계적으로 개인정보보호 조직을 구성해 재정시스템의 개인정보보호를 위해 노력하고 있다. 모든 부서에 개인정보보호 실무자를 지정해 개인정보보호 업무를 주도적으로 수행하고 있다. 또한, 개인정보보호 전담 부서에서는 법·제도 변경을 반영한 개인정보보호 정책 수립과 관리체계 점검, 최신 기술 분석, 개인정보보호 인식제고 활동 등을 수행하고 있다.

재정원은 dBrain, e나라도움 등 집중관리 시스템에 대한 개인정보보호를 위해 △ 개인정보 접속기록 관리 솔루션을 도입·운영해 개인정보 유출 등 이상징후를 실시간으로 탐지하고, △ 필터링 솔루션을 통해 개인정보 노출을 차단하고 있다. 또한, PC에 저장되는 파일의 개인정보를 중앙에서 탐지·암호화하는 솔루션도 운영하고 있다. 그 외에도 모바일 OTP 도입, 매년 모의해킹과 소스코드 취약점 점검 등 기술적 보호조치를 수행하고 있다.

관리적 활동으로 국내 ISMS-P와 국제 ISO27001 인증을 취득·유지하고 보안 전문기관의 컨설팅을 통해 관리체계를 지속적으로 개선하며, 개인정보보호 관리체계를 확립해 재정시스템의 개인정보 생성부터 파기까지 관리하고 있다.

또한, 개인정보보호지침, 개인정보보호 내부관리계획, 개인정보 파기 관리 매뉴얼 등 10종의 개인정보 지침과 매뉴얼을 법 개정에 따라 즉시 반영하고, 직책과 업무에 따른 교육과정을 운영해 전 직원의 보안 인식제고와 개인정보보호 문화 확산을 위해 노력하고 있다.

추가로 물리적 조치를 위해 인터넷과 업무망을 분리하고, 출입 카드로 모든 출입을 관리하고 있다. 특히 개인정보 처리시스템이 있는 전산실은 통제구역으로 지정·관리해 엄격하게 통제하고 있다. 또한 상주하는 용역사업자(수탁자)의 장비 반출입 관리, 보안 USB 등 매체제어 통제를 통해 승인되지 않은 자료의 외부 유출을 차단하고 있다.

개인정보보호 예산은 정보보안과 개인정보보호 관리체계 강화를 위한 컨설팅, 개인정보 영향평가, 각종 인증 취득을 위해 사용되고 있다. 최근에는 개인정보 유출사고 증가에 따른 정부 정책 등을 이행하기 위한 개인정보보호 관련 솔루션과 장비 도입이 절실한 환경이지만 모든 필요한 예산을 한 번에 확보하기는 어렵다. 이에 개인정보보호 예산을 확대하기 위해서는 결국 개인정보보호에 대한 인식이 바탕이 되어야 한다는 게 재정원 측의 설명이다. 이에 재정원 내 시스템 운영본부 및 주무부처와 긴밀히 소통·협력해 개인정보보호를 위한 예산확충에 노력하고 있다.

개인정보보호 우수기관, 능동적인 보안문화 조성이 비결
개인정보의 안전한 처리와 관리수준 향상에 대해 기관장과 개인정보보호책임자(CPO)의 관심과 지원을 바탕으로 개인정보 관리 우수직원과 부서에 대해 매년 기관장 표창을 수여하고 있다. 조직과 개인 성과에 개인정보보호 활동 이행 여부를 반영하고 있다.

개인정보 관련 23개 조항, 70개 항목의 체크리스트 기반으로 매년 정기적인 자체 점검을 시행하고 있다. ISMS-P 인증과 외부 전문기관 컨설팅을 통해 내부 점검 체계의 신뢰도를 확보하고 있다.

또한, 개인정보보호 전담 조직 외 본부별 개인정보보호 분야별 책임자와 담당자, 실무자로 전사 조직을 구성해 개인정보의 안전한 이용 및 관리에 만전을 기하고 있다.

재정원은 임직원 모두 자발적으로 개인정보보호에 최선을 다하는 능동적인 보안문화 조성을 개인정보보호의 비결로 꼽으며 “보안에서 가장 중요한 것은 ‘사람’이라는 말처럼, 임직원의 개인정보보호 의식 내재화를 위해 적극 노력했다”며 “‘개인정보보호 슬로건 공모’와 ‘럭키드로우(Lucky Draw) 퀴즈’ 등 직원 참여 위주의 캠페인을 실시하고, 최신 유출사고 사례와 법·제도 변경 사항 등 이슈 사항을 공유하기 위한 정기적인 개인정보 실무자 협의회와 개인정보보호책임자 주관 위원회를 운영하고 있다”고 밝혔다.

향후 계획과 관련해 재정원은 “대규모의 개인정보를 취급하는 dBrain, e나라도움 시스템에 대한 접속기록과 이상징후 모니터링 고도화, 인사정보 연계를 통한 접근권한 관리 자동화 등 집중관리 시스템에 대한 10대 과제를 충실히 추진할 계획”이라며 “2024년에는 국제표준의 개인정보보호 인증(ISO27701) 취득을 통해 기관의 개인정보보호 관리수준을 글로벌 기준에 맞게 끌어올림으로써 국민이 믿고 신뢰할 수 있는 국가재정 전문기관이 되도록 노력할 계획”이라고 밝혔다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>