헌법기관인 국회·법원·헌법재판소·중앙선거관리위원회의 개인정보보호 실적 분석
2020 개인정보보호 연차보고서에는 기관별 개인정보보호 주요 실적도 정리돼 있다. 먼저 헌법기관인 △국회 △법원 △헌법재판소 △중앙선거관리위원회의 개인정보보호 주요 실적을 소개한다.
[이미지=utoimage]
1. 국회
가. 국회 개인정보보호시스템 강화
국회는 매년 국회 정보통신기반시설의 취약점 분석·평가를 위한 정보보호 컨설팅을 실시하고, 각종 사이버 침해행위에 적극적으로 대응할 수 있는 체계를 확보하기 위해 노후 정보보호시스템을 교체 및 증설하고 있으며, 개인용 컴퓨터와 서버의 바이러스 침입을 방지하고 있다. 이와 관련 2019년에는 개인정보보호 강화를 위한 정보보호시스템 도입 및 노후 장비 교체 사업을 추진했다. 웹쉘차단시스템·웹위변조탐지시스템 등 신규 정보보호시스템을 도입(12월)하고, 침입차단시스템·침입방지시스템 등 노후 정보보호시스템을 교체(12월)해 국회 정보보호시스템의 보안성을 강화했다. 또한, 백신 소프트웨어 및 보안서버 연간사용권을 구매·적용(6월)해 백신 및 서버의 최신성 및 안전성을 유지하고 있다. 2020년에는 네트워크 접근 제어시스템을 업그레이드 및 증설하고 웹 방화벽, 침입방지시스템을 교체하는 등의 정보보호 강화 사업을 진행할 계획이다.
나. 개인정보보호 관련 교육 및 홍보
국회는 매년 소속 직원들의 정보보호 인식 제고를 위한 교육을 실시하고 있다. 2019년에는 정보보호 관련 외부 전문가를 초빙해 ‘공직자가 알아야 할 사이버 안전수칙’을 주제로 사이버보안의 기본 개념, 보안위협 동향, 국내외 침해사고 사례 및 대응 방안 등을 교육했다(11월). 또한, 각 건물 게시판에 정보보호 안내 포스터를 게시하고 안전수칙 리플릿을 배포(1~12월)하는 등의 정보보호 홍보 활동을 했다. 이 외에도 차세대 보안 콘퍼런스(4월), 국제 시큐리티 콘퍼런스(10월) 등 개인정보보호 업무담당자가 보안 관련 외부 세미나 및 교육에 참석해 업무담당자의 정보보호 의식과 정보보호 역량을 강화했다. 또한 매월 모의훈련을 실시해 국회 정보통신기반시설의 안전성 및 신뢰성을 제고(1~12월)했다.
2. 법원
가. 개인정보보호 정책 및 제도 개선
대법원은 개인정보 최소수집의 원칙에 따라 업무 수행에서 ‘불가피한 경우’에 한해 민감정보·고유식별정보를 처리할 수 있고, 필요한 안전 조치를 취하도록 하는 내용으로 ‘법원 개인정보보호에 관한 규칙’ 일부를 개정했다. 또한, 각급 법원에서 운용하는 개인정보파일 삭제 권한을 사법부 개인정보보호책임자에서 각급 법원 개인정보보호책임자의 권한으로 변경하는 내용으로 ‘법원 개인정보보호 지침’을 개정해 개인정보파일의 등록·변경 및 삭제의 일원화 시스템을 구축했다. 2019년 법원행정처 개인정보보호 시행계획을 수립·시행하고, 개인정보의 안전성 확보 조치에 관한 사법부 개인정보보호 내부관리계획을 2차례 개정했다. 이 외에도 개인정보보호와 관련된 업무 가이드라인을 재정비하고, ‘대법원 전산정보센터 개인정보 침해·유출사고 대응 매뉴얼’을 작성했다.
나. 개인정보보호 교육·홍보
법원 직원의 개인정보보호 인식 제고 및 개인정보 처리 업무의 숙련도와 전문성 향상을 위해 각급 법원 자체적으로 교육 계획을 수립하고, 다양한 방법을 통해 전 직원 및 개인정보 업무처리 수탁자를 대상으로 자체 교육을 실시했다. 또 사법부 개인정보보호담당자는 개인정보취급자의 역량 강화를 위해 신규 직원 및 법원 관리자에 대한 개인정보보호 교육을 위한 강사 활동을 지원했다. 더불어 법원 개인정보보호담당자 역량 강화를 위해 다양한 콘퍼런스에 참석하고 국가공무원인재개발원에서 주관하는 개인정보보호 실무교육을 2회 이수했다. 법원 직원들의 개인정보보호 수준 향상을 위해 개인정보보호 및 보안관리를 내용으로 하는 웹툰을 IT게시판에 주기적으로 게시함으로써 실생활 속에서 쉽게 실천할 수 있도록 개인정보와 보안의 중요성을 강조하고 경각심을 줄 수 있도록 노력했다.
3. 헌법재판소
가. 개인정보보호 기본계획 및 시행계획 수립
헌법재판소는 개인정보보호를 위해 헌법재판소 개인정보보호 규칙 및 지침 등에 따라 지속적으로 기본계획과 시행계획을 수립·시행하고 있으며, 개인정보 보유현황을 주기적으로 점검하고 있다. 2019년에는 개인정보보호 기본계획(2021~2023) 및 2020년 개인정보보호 시행계획을 수립했고, 개인정보 및 영상정보의 현황과 관리실태를 점검해 그 결과를 개인정보 처리방침 개정에 적용했다. 개인정보보호 기본계획(2021~2023)에서는 4개의 과제를 선정해 추진하고 있다. 첫 번째는 3년간 기본계획 및 시행계획을 지속적으로 수립하고 관련 법규를 점검·개정하는 등의 ‘개인정보보호 제도 운영’, 두 번째는 개인정보보호담당자 및 취급자·외주업체 인력 등을 대상으로 개인정보보호 교육을 실시하는 ‘개인정보보호 역량 강화’, 세 번째는 개인정보파일의 투명한 공개 및 자체 점검을 강화하는 ‘개인정보 침해 예방 및 권리 보장’, 네 번째는 지속적으로 기술적 안전성 조치를 강화하는 ‘개인정보보호 안전성 조치 강화’이다.
나. 개인정보 침해 예방 및 개인정보보호 역량 강화
헌법재판소는 개인정보파일 보유현황 조사 및 일제정비를 실시해 개인정보파일에 대한 지속적인 운용 필요성·등록 항목의 적정성 등을 검토해 홈페이지의 개인정보파일 목록을 현행화했으며, 개인정보 검출시스템을 통해 개인별 관리실태를 점검하고 불필요한 개인정보파일 삭제 및 중요 개인정보파일 암호화 등의 보안 조치를 취했다. 헌법재판소 직원의 개인정보보호 인식 제고를 위해 개인정보 처리담당자를 대상으로 개인정보보호 교육 및 세미나에 참석하도록 했고, 업무부서의 개인정보취급자 및 개인정보수탁자를 대상으로 전문적인 개인정보보호 교육을 실시했다.
다. 개인정보보호 안전성 조치 강화
헌법재판소는 사이버안전센터를 24시간 운영해 개인정보 유·노출을 모니터링할 뿐만 아니라 내·외부 보안 위협으로부터 개인정보 유·노출을 사전에 탐지·차단하고, 모의훈련 등을 통해 침해사고 예방 절차를 점검해 침해사고 발생 시 신속하게 대응할 수 있게 하고 있다. 또한, 잠재된 취약점을 사전에 제거하기 위해 보안취약점 점검 사업을 매년 추진함으로써 개인정보 보안사고 예방에도 힘쓰고 있다.
4. 중앙선거관리위원회
가. 개인정보보호 정책 및 제도 개선
중앙선거관리위원회는 ‘선거관리위원회 개인정보보호에 관한 규칙’을 개정해 민감정보 및 고유식별정보 처리 규정을 정비하고, 안전성 확보 조치 대상에 민감정보를 추가했으며, 개인정보파일의 등록 및 공개대상 제외 규정을 신설해 개인정보파일 상세내역서의 홈페이지 등록 및 공개에 관한 사항을 반영했다. 이에 따라 홈페이지 내 ‘개인정보 보유현황’ 부분을 신설해 개인정보파일 상세내역서를 등록 및 공개함으로써 정보주체의 권리를 보장하고 개인정보파일을 체계적으로 관리하는 등 개인정보보호를 위해 노력했다. 또한, ‘개인정보보호법’ ‘선거관리위원회 개인정보보호에 관한 규칙’ 및 ‘개인정보의 안전성 확보조치 기준’ 등의 개정 사항을 반영한 ‘선거관리위원회 개인정보보호 지침’을 정비해 체계 정합성을 확보하는 등 개인정보보호 기반을 강화했다.
나. 개인정보 영향평가 실시
현재 운영 중인 선거정보시스템 등에 대한 잠재적 위험 및 침해요인을 식별·분석하고 정보주체의 프라이버시에 미치는 영향을 파악해 권리 침해를 최소화하기 위해 선거관리시스템, 통합명부시스템, 동시조합장선거관리시스템, 재외선거관리시스템, 인터넷신고·신청시스템에 대한 개인정보 관리체계의 적정성 분석, 개인정보 처리단계별 보호 조치 및 시스템의 기술적 보호 조치의 적정성 여부 등에 대해 개인정보 영향평가를 실시했다. 영향평가 결과 각 시스템별 69개의 평가항목에 대해 평균 97.8%의 이행률을 기록해 우수한 평가의견을 획득했으며, 이행 결과 점검을 통해 개인정보 침해사고를 미연에 방지하고 적절한 개인정보보호 조치를 취하는 등 개인정보보호 인식 제고 및 수준 향상을 위해 노력했다.
다. 개인정보보호 지도·점검
정보주체의 개인정보보호 안전성을 강화하고 직원의 개인정보보호 중요성에 대한 인식을 확산하기 위해 개인정보 취급실태를 파악하고 ‘개인정보보호법’ 위반 사항을 점검했다. 특히 중앙선거관리위원회는 5개반 12명의 점검반을 편성해 9개 시·도위원회를 대상으로 개인정보보호 규정 준수 여부 및 내부관리계획 이행 여부 등을 지도·점검했으며, 모든 시·도위원회는 관할 구·시·군위원회가 보유한 업무용 PC에 대해 개인정보유출방지시스템을 실행하도록 하고 실행기록 요약서를 제출받는 자체 점검을 실시했다. 그 결과 개인정보보호 환경 변화에 대한 정보를 공유하고 직원들의 경각심을 제고하는 계기를 마련했으며, 점검 결과 및 개선 사항 공유·건의사항 반영 등을 통해 개인정보보호 역량을 강화했다.
[자료=2020 개인정보보호 연차보고서, 정리=박미영 기자]
2020 개인정보보호 연차보고서에는 기관별 개인정보보호 주요 실적도 정리돼 있다. 먼저 헌법기관인 △국회 △법원 △헌법재판소 △중앙선거관리위원회의 개인정보보호 주요 실적을 소개한다.
[이미지=utoimage]
1. 국회
가. 국회 개인정보보호시스템 강화
국회는 매년 국회 정보통신기반시설의 취약점 분석·평가를 위한 정보보호 컨설팅을 실시하고, 각종 사이버 침해행위에 적극적으로 대응할 수 있는 체계를 확보하기 위해 노후 정보보호시스템을 교체 및 증설하고 있으며, 개인용 컴퓨터와 서버의 바이러스 침입을 방지하고 있다. 이와 관련 2019년에는 개인정보보호 강화를 위한 정보보호시스템 도입 및 노후 장비 교체 사업을 추진했다. 웹쉘차단시스템·웹위변조탐지시스템 등 신규 정보보호시스템을 도입(12월)하고, 침입차단시스템·침입방지시스템 등 노후 정보보호시스템을 교체(12월)해 국회 정보보호시스템의 보안성을 강화했다. 또한, 백신 소프트웨어 및 보안서버 연간사용권을 구매·적용(6월)해 백신 및 서버의 최신성 및 안전성을 유지하고 있다. 2020년에는 네트워크 접근 제어시스템을 업그레이드 및 증설하고 웹 방화벽, 침입방지시스템을 교체하는 등의 정보보호 강화 사업을 진행할 계획이다.
나. 개인정보보호 관련 교육 및 홍보
국회는 매년 소속 직원들의 정보보호 인식 제고를 위한 교육을 실시하고 있다. 2019년에는 정보보호 관련 외부 전문가를 초빙해 ‘공직자가 알아야 할 사이버 안전수칙’을 주제로 사이버보안의 기본 개념, 보안위협 동향, 국내외 침해사고 사례 및 대응 방안 등을 교육했다(11월). 또한, 각 건물 게시판에 정보보호 안내 포스터를 게시하고 안전수칙 리플릿을 배포(1~12월)하는 등의 정보보호 홍보 활동을 했다. 이 외에도 차세대 보안 콘퍼런스(4월), 국제 시큐리티 콘퍼런스(10월) 등 개인정보보호 업무담당자가 보안 관련 외부 세미나 및 교육에 참석해 업무담당자의 정보보호 의식과 정보보호 역량을 강화했다. 또한 매월 모의훈련을 실시해 국회 정보통신기반시설의 안전성 및 신뢰성을 제고(1~12월)했다.
2. 법원
가. 개인정보보호 정책 및 제도 개선
대법원은 개인정보 최소수집의 원칙에 따라 업무 수행에서 ‘불가피한 경우’에 한해 민감정보·고유식별정보를 처리할 수 있고, 필요한 안전 조치를 취하도록 하는 내용으로 ‘법원 개인정보보호에 관한 규칙’ 일부를 개정했다. 또한, 각급 법원에서 운용하는 개인정보파일 삭제 권한을 사법부 개인정보보호책임자에서 각급 법원 개인정보보호책임자의 권한으로 변경하는 내용으로 ‘법원 개인정보보호 지침’을 개정해 개인정보파일의 등록·변경 및 삭제의 일원화 시스템을 구축했다. 2019년 법원행정처 개인정보보호 시행계획을 수립·시행하고, 개인정보의 안전성 확보 조치에 관한 사법부 개인정보보호 내부관리계획을 2차례 개정했다. 이 외에도 개인정보보호와 관련된 업무 가이드라인을 재정비하고, ‘대법원 전산정보센터 개인정보 침해·유출사고 대응 매뉴얼’을 작성했다.
나. 개인정보보호 교육·홍보
법원 직원의 개인정보보호 인식 제고 및 개인정보 처리 업무의 숙련도와 전문성 향상을 위해 각급 법원 자체적으로 교육 계획을 수립하고, 다양한 방법을 통해 전 직원 및 개인정보 업무처리 수탁자를 대상으로 자체 교육을 실시했다. 또 사법부 개인정보보호담당자는 개인정보취급자의 역량 강화를 위해 신규 직원 및 법원 관리자에 대한 개인정보보호 교육을 위한 강사 활동을 지원했다. 더불어 법원 개인정보보호담당자 역량 강화를 위해 다양한 콘퍼런스에 참석하고 국가공무원인재개발원에서 주관하는 개인정보보호 실무교육을 2회 이수했다. 법원 직원들의 개인정보보호 수준 향상을 위해 개인정보보호 및 보안관리를 내용으로 하는 웹툰을 IT게시판에 주기적으로 게시함으로써 실생활 속에서 쉽게 실천할 수 있도록 개인정보와 보안의 중요성을 강조하고 경각심을 줄 수 있도록 노력했다.
3. 헌법재판소
가. 개인정보보호 기본계획 및 시행계획 수립
헌법재판소는 개인정보보호를 위해 헌법재판소 개인정보보호 규칙 및 지침 등에 따라 지속적으로 기본계획과 시행계획을 수립·시행하고 있으며, 개인정보 보유현황을 주기적으로 점검하고 있다. 2019년에는 개인정보보호 기본계획(2021~2023) 및 2020년 개인정보보호 시행계획을 수립했고, 개인정보 및 영상정보의 현황과 관리실태를 점검해 그 결과를 개인정보 처리방침 개정에 적용했다. 개인정보보호 기본계획(2021~2023)에서는 4개의 과제를 선정해 추진하고 있다. 첫 번째는 3년간 기본계획 및 시행계획을 지속적으로 수립하고 관련 법규를 점검·개정하는 등의 ‘개인정보보호 제도 운영’, 두 번째는 개인정보보호담당자 및 취급자·외주업체 인력 등을 대상으로 개인정보보호 교육을 실시하는 ‘개인정보보호 역량 강화’, 세 번째는 개인정보파일의 투명한 공개 및 자체 점검을 강화하는 ‘개인정보 침해 예방 및 권리 보장’, 네 번째는 지속적으로 기술적 안전성 조치를 강화하는 ‘개인정보보호 안전성 조치 강화’이다.
나. 개인정보 침해 예방 및 개인정보보호 역량 강화
헌법재판소는 개인정보파일 보유현황 조사 및 일제정비를 실시해 개인정보파일에 대한 지속적인 운용 필요성·등록 항목의 적정성 등을 검토해 홈페이지의 개인정보파일 목록을 현행화했으며, 개인정보 검출시스템을 통해 개인별 관리실태를 점검하고 불필요한 개인정보파일 삭제 및 중요 개인정보파일 암호화 등의 보안 조치를 취했다. 헌법재판소 직원의 개인정보보호 인식 제고를 위해 개인정보 처리담당자를 대상으로 개인정보보호 교육 및 세미나에 참석하도록 했고, 업무부서의 개인정보취급자 및 개인정보수탁자를 대상으로 전문적인 개인정보보호 교육을 실시했다.
다. 개인정보보호 안전성 조치 강화
헌법재판소는 사이버안전센터를 24시간 운영해 개인정보 유·노출을 모니터링할 뿐만 아니라 내·외부 보안 위협으로부터 개인정보 유·노출을 사전에 탐지·차단하고, 모의훈련 등을 통해 침해사고 예방 절차를 점검해 침해사고 발생 시 신속하게 대응할 수 있게 하고 있다. 또한, 잠재된 취약점을 사전에 제거하기 위해 보안취약점 점검 사업을 매년 추진함으로써 개인정보 보안사고 예방에도 힘쓰고 있다.
4. 중앙선거관리위원회
가. 개인정보보호 정책 및 제도 개선
중앙선거관리위원회는 ‘선거관리위원회 개인정보보호에 관한 규칙’을 개정해 민감정보 및 고유식별정보 처리 규정을 정비하고, 안전성 확보 조치 대상에 민감정보를 추가했으며, 개인정보파일의 등록 및 공개대상 제외 규정을 신설해 개인정보파일 상세내역서의 홈페이지 등록 및 공개에 관한 사항을 반영했다. 이에 따라 홈페이지 내 ‘개인정보 보유현황’ 부분을 신설해 개인정보파일 상세내역서를 등록 및 공개함으로써 정보주체의 권리를 보장하고 개인정보파일을 체계적으로 관리하는 등 개인정보보호를 위해 노력했다. 또한, ‘개인정보보호법’ ‘선거관리위원회 개인정보보호에 관한 규칙’ 및 ‘개인정보의 안전성 확보조치 기준’ 등의 개정 사항을 반영한 ‘선거관리위원회 개인정보보호 지침’을 정비해 체계 정합성을 확보하는 등 개인정보보호 기반을 강화했다.
나. 개인정보 영향평가 실시
현재 운영 중인 선거정보시스템 등에 대한 잠재적 위험 및 침해요인을 식별·분석하고 정보주체의 프라이버시에 미치는 영향을 파악해 권리 침해를 최소화하기 위해 선거관리시스템, 통합명부시스템, 동시조합장선거관리시스템, 재외선거관리시스템, 인터넷신고·신청시스템에 대한 개인정보 관리체계의 적정성 분석, 개인정보 처리단계별 보호 조치 및 시스템의 기술적 보호 조치의 적정성 여부 등에 대해 개인정보 영향평가를 실시했다. 영향평가 결과 각 시스템별 69개의 평가항목에 대해 평균 97.8%의 이행률을 기록해 우수한 평가의견을 획득했으며, 이행 결과 점검을 통해 개인정보 침해사고를 미연에 방지하고 적절한 개인정보보호 조치를 취하는 등 개인정보보호 인식 제고 및 수준 향상을 위해 노력했다.
다. 개인정보보호 지도·점검
정보주체의 개인정보보호 안전성을 강화하고 직원의 개인정보보호 중요성에 대한 인식을 확산하기 위해 개인정보 취급실태를 파악하고 ‘개인정보보호법’ 위반 사항을 점검했다. 특히 중앙선거관리위원회는 5개반 12명의 점검반을 편성해 9개 시·도위원회를 대상으로 개인정보보호 규정 준수 여부 및 내부관리계획 이행 여부 등을 지도·점검했으며, 모든 시·도위원회는 관할 구·시·군위원회가 보유한 업무용 PC에 대해 개인정보유출방지시스템을 실행하도록 하고 실행기록 요약서를 제출받는 자체 점검을 실시했다. 그 결과 개인정보보호 환경 변화에 대한 정보를 공유하고 직원들의 경각심을 제고하는 계기를 마련했으며, 점검 결과 및 개선 사항 공유·건의사항 반영 등을 통해 개인정보보호 역량을 강화했다.
[자료=2020 개인정보보호 연차보고서, 정리=박미영 기자]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
