.gif)
개인정보 접속기록 관리로 체계적인 개인정보보호 강화
[보안뉴스 김태형] 한국가스안전공사는 가스의 위해로부터 국민의 소중한 생명과 재산을 보호하기 위해 각종 가스시설 검사와 점검, 인증, 교육, 홍보, 연구개발, 가스사고 조사·분석 등 다양한 활동을 수행하는 가스안전관리 전문기관이다. 특히, 국내 가스시설 정보와 가스업계 종사자들의 다양한 개인정보를 보유하고 있어 체계적인 개인정보보호 정책 및 시스템이 필요하다.
이에 한국가스안전공사는 신용카드사 개인정보 유출사고 등 개인정보 유출이 사회적으로 큰 이슈가 되고 개정된 개인정보보호법에서 권장하는 기술적 보호조치를 위해 개인정보 암호화와 더불어 개인정보 접속기록과 감시체계 시스템을 도입했다.
이를 통해 기본 업무 시스템에 대해 일체의 소프트웨어 수정이나 신규 개발 없이 내부 정보시스템 상에서 발생하는 정보사용 및 업무조작 등에서 발생하는 로그를 생성할 수 있도록 해 개인정보보호 시스템을 한층 강화했다.
개인정보보호 시스템 강화작업을 주도한 한국가스안전공사 정보운영부 정보보안팀 심희섭 차장은 “한국가스안전공사는 국내 가스시설의 안전점검과 가스안전 교육을 담당하는 가스전문 공공기관으로서 국내 가스시설정보와 가스업계 종사자에 대한 개인정보를 보유하고 있다”면서 “특히, 법률에 근거해 가스업계에 종사하는 안전관리자와 LPG 자동차운전자 등을 대상으로 매년 가스안전 교육을 실시하고, 각 교육과정 참석자에 대한 개인정보와 교육이수 정보를 영구 보관해야 하기 때문에 교육접수 단계부터 수집된 개인정보를 중요한 정보보호 대상으로 선정하고 집중적으로 정보보안체계를 유지하고 있다”고 말했다.
그동안 한국가스안전공사는 공공부문에 대한 정보보안정책 및 개인정보보호법 준수를 위해 다양한 노력을 기울여 왔다. 올해에는 국가정보원과 산업통상부에서 실시한 각종 보안 및 개인정보보호 정책에 대한 정기평가에서 ‘정보보안 우수기관’으로 평가받은 바 있다.
이와 관련 심희섭 차장은 “정보 시스템 보안강화를 위해 지난 2014년부터 추진한 망분리사업을 지난 9월에 완료했으며 개인정보를 암호화했다. 또한, 내부 직원의 정보보안 의식 강화를 위해서 매년 전국 지역본부·지사를 대상으로 방문교육 및 보안점검을 실시하고 있다”면서 “온라인을 통한 개인정보 보호교육은 물론 매년 정기·비정기 해킹메일 대응훈련을 실시해 직원들의 정보보안 위기대응 능력을 점검하고 있다”고 강조했다.
이 외에도 한국가스안전공사는 개인정보 유출의 원인이 되는 용역업체 직원들에 대한 통제를 강화하기 위해 2014년에 용역업체가 상주하는 개발 사무실에 별도의 네트워크를 구성해 분리했고, 네트워크 접근제한을 위해 프로그램 개발용과 인터넷용 네트워크 및 PC를 물리적으로 분리 지급했다. 이와 함께 개발용역 인원에게 제한적인 접근권한을 가진 작업계정을 지급하는 등 개인정보에 대한 용역업체의 접근을 권한과 업무에 따라 제한하고 있다.
그동안 한국가스안전공사의 개인정보 관리는 전국적으로 검사와 교육접수를 실시하고 있는 업무 특성상 신속한 업무처리를 위해 전 직원이 개인정보에 접속할 수 있는 조회권한을 가지고 있었다. 또한, 사용자가 업무 처리과정에서 조회된 대량 정보를 PC로 다운받아 보관할 수 있어 외부로 유출할 가능성이 존재했다.
이에 대해 심 차장은 “이를 보완하고 보안을 강화하기 위해 위즈디엔에스의 와스 트레이스(WAS-Trace)와 위즈블랙박스슈트(Weeds BlackBox Suite)를 이용한 개인정보 취급에 대한 업무이력 및 개인정보 접속기록 생성 및 관리 시스템을 구축했다”면서 “이를 통해 개인별 메뉴접속 권한을 수행업무에 따라 개인별로 제한하고, 조회되는 개인정보 중 생년월일을 제외한 정보를 암호화해 개인정보 유출 시에도 식별이 불가능하도록 조치했다”고 말했다. 이어 그는 “개인정보 접속기록관리 솔루션을 통해 개인정보조회 및 출력결과 로그를 보존해 직원들의 경각심을 높이고 유사시 유출경로의 추적과 차단조치를 신속히 처리할 수 있도록 조치했다”고 말했다.
심 차장은 “개인정보 접속기록 솔루션 도입을 통해서 우리 공사는 크게 두 가지의 효과를 볼 것으로 기대하고 있다. 첫째는 개인정보의 조회·출력 기록을 관리함으로써 직원들의 불필요한 조회와 출력을 제한하고, 개인정보 유출에 대한 경각심과 데이터 사용 대한 책임감을 높여 개인적 필요에 의한 정보유출 시도를 사전에 차단할 수 있다. 둘째는 유출사고 발생시 유출 정보의 종류와 정보량, 발생시점을 신속히 파악·통보하고 대응함으로써 2차 사고를 사전에 방지하는데 의미가 있다”고 덧붙였다.
한국가스안전공사는 이번 개인정보 접속기록 관리 솔루션을 도입한 후, 직원들의 개인정보 보호 마인드가 강화됐고, 개인정보 조회·출력 시 모든 활동이 기록된다는 인식이 확산되어 개인정보 이용에 대한 경각심이 높아지게 됐다. 또 정보시스템의 메뉴권한 제한과 개인정보 암호화 수준에서 한층 더 발전된 개인정보 이용환경을 제공해 ‘정보보호’와 ‘정보공유’의 정책적 모순을 보완하는 도구로서 자리매김하게 됐다는 평가다.
심 차장은 “우리 공사는 개인정보보호 정책 수립 및 진단, 개인정보 암호화 등을 추진하면서 정보관리 자체 인력을 활용해 개인정보 보호업무를 수행해 왔다”면서 “2016년에는 개인정보보호 정책 및 정보시스템에 대한 전반적인 진단을 실시하기 위해 ‘개인정보보호 영향평가’ 컨설팅을 실시할 계획”이라고 말했다.
또한, 그는 “현재 우리 공사의 개인정보보호 정책과 개별 필요성에 의해 산발적으로 도입된 각종 정보보안 시스템 등을 연계해 종합적인 개인정보 보호진단을 실시하고, 개인정보 유출방지 및 유사시 대응 절차 등을 수립해 보다 능동적인 개인정보보호 정책을 추진할 방침”이라고 덧붙였다.
한편, 가스안전관리 3법에 근거해 개인정보를 대량으로 수집·활용하고 있으며 대량 수집된 각종 정보가 가스안전관리 외의 목적으로 유출되거나 활용되지 않도록 정보보안 역량을 집중·강화하고 있는 한국가스안전공사의 연간 정보부문 예산은 약 33.7억원이다. 이 중 정보보안 분야에 20.4%(6.9억원)의 예산을 투입하고 있다. 정보보안의 중요성이 점차 부각되는 시점에서 한국가스안전공사의 정보보안과 개인정보보호관련 예산은 앞으로 더욱 확대될 것으로 보인다.
[김태형 기자(boan@boannews.com)]
[보안뉴스 김태형] 한국가스안전공사는 가스의 위해로부터 국민의 소중한 생명과 재산을 보호하기 위해 각종 가스시설 검사와 점검, 인증, 교육, 홍보, 연구개발, 가스사고 조사·분석 등 다양한 활동을 수행하는 가스안전관리 전문기관이다. 특히, 국내 가스시설 정보와 가스업계 종사자들의 다양한 개인정보를 보유하고 있어 체계적인 개인정보보호 정책 및 시스템이 필요하다.
이에 한국가스안전공사는 신용카드사 개인정보 유출사고 등 개인정보 유출이 사회적으로 큰 이슈가 되고 개정된 개인정보보호법에서 권장하는 기술적 보호조치를 위해 개인정보 암호화와 더불어 개인정보 접속기록과 감시체계 시스템을 도입했다.
이를 통해 기본 업무 시스템에 대해 일체의 소프트웨어 수정이나 신규 개발 없이 내부 정보시스템 상에서 발생하는 정보사용 및 업무조작 등에서 발생하는 로그를 생성할 수 있도록 해 개인정보보호 시스템을 한층 강화했다.
개인정보보호 시스템 강화작업을 주도한 한국가스안전공사 정보운영부 정보보안팀 심희섭 차장은 “한국가스안전공사는 국내 가스시설의 안전점검과 가스안전 교육을 담당하는 가스전문 공공기관으로서 국내 가스시설정보와 가스업계 종사자에 대한 개인정보를 보유하고 있다”면서 “특히, 법률에 근거해 가스업계에 종사하는 안전관리자와 LPG 자동차운전자 등을 대상으로 매년 가스안전 교육을 실시하고, 각 교육과정 참석자에 대한 개인정보와 교육이수 정보를 영구 보관해야 하기 때문에 교육접수 단계부터 수집된 개인정보를 중요한 정보보호 대상으로 선정하고 집중적으로 정보보안체계를 유지하고 있다”고 말했다.
그동안 한국가스안전공사는 공공부문에 대한 정보보안정책 및 개인정보보호법 준수를 위해 다양한 노력을 기울여 왔다. 올해에는 국가정보원과 산업통상부에서 실시한 각종 보안 및 개인정보보호 정책에 대한 정기평가에서 ‘정보보안 우수기관’으로 평가받은 바 있다.
이와 관련 심희섭 차장은 “정보 시스템 보안강화를 위해 지난 2014년부터 추진한 망분리사업을 지난 9월에 완료했으며 개인정보를 암호화했다. 또한, 내부 직원의 정보보안 의식 강화를 위해서 매년 전국 지역본부·지사를 대상으로 방문교육 및 보안점검을 실시하고 있다”면서 “온라인을 통한 개인정보 보호교육은 물론 매년 정기·비정기 해킹메일 대응훈련을 실시해 직원들의 정보보안 위기대응 능력을 점검하고 있다”고 강조했다.
이 외에도 한국가스안전공사는 개인정보 유출의 원인이 되는 용역업체 직원들에 대한 통제를 강화하기 위해 2014년에 용역업체가 상주하는 개발 사무실에 별도의 네트워크를 구성해 분리했고, 네트워크 접근제한을 위해 프로그램 개발용과 인터넷용 네트워크 및 PC를 물리적으로 분리 지급했다. 이와 함께 개발용역 인원에게 제한적인 접근권한을 가진 작업계정을 지급하는 등 개인정보에 대한 용역업체의 접근을 권한과 업무에 따라 제한하고 있다.
그동안 한국가스안전공사의 개인정보 관리는 전국적으로 검사와 교육접수를 실시하고 있는 업무 특성상 신속한 업무처리를 위해 전 직원이 개인정보에 접속할 수 있는 조회권한을 가지고 있었다. 또한, 사용자가 업무 처리과정에서 조회된 대량 정보를 PC로 다운받아 보관할 수 있어 외부로 유출할 가능성이 존재했다.
이에 대해 심 차장은 “이를 보완하고 보안을 강화하기 위해 위즈디엔에스의 와스 트레이스(WAS-Trace)와 위즈블랙박스슈트(Weeds BlackBox Suite)를 이용한 개인정보 취급에 대한 업무이력 및 개인정보 접속기록 생성 및 관리 시스템을 구축했다”면서 “이를 통해 개인별 메뉴접속 권한을 수행업무에 따라 개인별로 제한하고, 조회되는 개인정보 중 생년월일을 제외한 정보를 암호화해 개인정보 유출 시에도 식별이 불가능하도록 조치했다”고 말했다. 이어 그는 “개인정보 접속기록관리 솔루션을 통해 개인정보조회 및 출력결과 로그를 보존해 직원들의 경각심을 높이고 유사시 유출경로의 추적과 차단조치를 신속히 처리할 수 있도록 조치했다”고 말했다.
심 차장은 “개인정보 접속기록 솔루션 도입을 통해서 우리 공사는 크게 두 가지의 효과를 볼 것으로 기대하고 있다. 첫째는 개인정보의 조회·출력 기록을 관리함으로써 직원들의 불필요한 조회와 출력을 제한하고, 개인정보 유출에 대한 경각심과 데이터 사용 대한 책임감을 높여 개인적 필요에 의한 정보유출 시도를 사전에 차단할 수 있다. 둘째는 유출사고 발생시 유출 정보의 종류와 정보량, 발생시점을 신속히 파악·통보하고 대응함으로써 2차 사고를 사전에 방지하는데 의미가 있다”고 덧붙였다.
한국가스안전공사는 이번 개인정보 접속기록 관리 솔루션을 도입한 후, 직원들의 개인정보 보호 마인드가 강화됐고, 개인정보 조회·출력 시 모든 활동이 기록된다는 인식이 확산되어 개인정보 이용에 대한 경각심이 높아지게 됐다. 또 정보시스템의 메뉴권한 제한과 개인정보 암호화 수준에서 한층 더 발전된 개인정보 이용환경을 제공해 ‘정보보호’와 ‘정보공유’의 정책적 모순을 보완하는 도구로서 자리매김하게 됐다는 평가다.
심 차장은 “우리 공사는 개인정보보호 정책 수립 및 진단, 개인정보 암호화 등을 추진하면서 정보관리 자체 인력을 활용해 개인정보 보호업무를 수행해 왔다”면서 “2016년에는 개인정보보호 정책 및 정보시스템에 대한 전반적인 진단을 실시하기 위해 ‘개인정보보호 영향평가’ 컨설팅을 실시할 계획”이라고 말했다.
또한, 그는 “현재 우리 공사의 개인정보보호 정책과 개별 필요성에 의해 산발적으로 도입된 각종 정보보안 시스템 등을 연계해 종합적인 개인정보 보호진단을 실시하고, 개인정보 유출방지 및 유사시 대응 절차 등을 수립해 보다 능동적인 개인정보보호 정책을 추진할 방침”이라고 덧붙였다.
한편, 가스안전관리 3법에 근거해 개인정보를 대량으로 수집·활용하고 있으며 대량 수집된 각종 정보가 가스안전관리 외의 목적으로 유출되거나 활용되지 않도록 정보보안 역량을 집중·강화하고 있는 한국가스안전공사의 연간 정보부문 예산은 약 33.7억원이다. 이 중 정보보안 분야에 20.4%(6.9억원)의 예산을 투입하고 있다. 정보보안의 중요성이 점차 부각되는 시점에서 한국가스안전공사의 정보보안과 개인정보보호관련 예산은 앞으로 더욱 확대될 것으로 보인다.
[김태형 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.JPG)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
