중앙행정기관인 감사원·방통위·국무조정실의 2019년 개인정보보호 실적

2020 개인정보보호 연차보고서에는 기관별 개인정보보호 주요 실적도 소개하고 있다. 중앙행정기관 중 첫 번째로 △감사원 △방송통신위원회 △국무조정실의 개인정보보호 주요 실적을 살펴본다.


[이미지=utoiamge]

1. 감사원
가. 개인정보 처리방침 재작성 및 내부관리계획 등 수립
감사원은 ‘감사원 개인정보 처리방침’을 전면 재작성해 개인정보의 보유기간·개인정보의 파기 등 개인정보보호 처리방침에 기재해야 할 사항을 ‘행안부 개인정보 처리방침 표준안’에 맞게 재작성한 후 감사원 대외 홈페이지에 공개했다. 그리고 개인정보 처리의 안전성 확보에 필요한 기술적·관리적 안전 조치에 관한 ‘내부관리계획’을 수립·시행했고, 재해·재난 등 비상시 개인정보처리시스템의 신속한 복구와 원활한 업무 처리의 재개를 위한 ‘재해·재난 시 개인정보처리 위기 대응 매뉴얼’ 및 개인정보 유출에 따른 피해 확산 및 추가 유출을 효과적으로 방지하기 위한 ‘개인정보 침해대응 매뉴얼’을 작성해 내부관리계획에 포함·시행했다.

나. 개인정보보호 조직·예산 등 관리체계 강화
감사원은 정보보안 위협이 증가함에 따라 사이버 침해대응 역량을 강화하고 감사 업무 관련 디지털 자료의 유출·훼손을 방지하는 등 개인정보처리시스템에 축적된 개인정보 등의 보호를 위해 사이버 보안센터 구축을 위한 용역을 실시했고, 개인정보관리 보안솔루션을 도입하는 등 개인정보보호를 위한 관리체계를 강화했다.

다. 개인정보취급자에 대한 교육 실시
감사원은 업무 특성상 잦은 출장으로 집합교육이 어려운 점 등을 고려해 감사출장 전 개인정보보호 교육 실시 공지 및 교육교재를 배포함으로써 내실 있는 교육을 실시했다. 또 신규 직원 대상 교육 과정에 ‘개인정보 수집 및 관리 요령’ 과목을 포함하는 등 전 직원의 개인정보보호 인식 제고 및 개인정보의 오·남용 또는 유출을 예방하기 위한 교육을 실시했다.

2. 방송통신위원회
가. 개인정보의 안전한 이용 및 관리
방송통신위원회(이하 방통위)는 처리 중인 개인정보의 안전한 이용 및 관리를 위해 매년 내부관리계획을 수립하고 위원회 개인정보 관련 정책·지침 및 처리방침을 재정비하고 있다. 또한, 개인정보처리시스템에 대한 개인정보필터링, 침입차단시스템, 외부 불법 접근제어, 접속기록 보관 및 점검 등 개인정보 관리실태를 매월 점검하고 내부 직원 및 수탁사업자에 대한 정보시스템 접근 제한을 강화하는 등 개인정보의 안전성 확보를 위한 보호 활동에 노력하고 있다. 이와 함께 대표 홈페이지와 개인정보처리시스템에 대해 취약점 점검 및 모의해킹을 수행하고 발견된 취약점은 즉시 조치했으며, 홈페이지에 대해 개인정보 유·노출 점검을 실시해 불필요한 개인정보가 노출되고 있는지 점검하고 있다.

나. 개인정보보호 교육 내실화
방통위는 개인정보보호에 대한 인식 제고를 위해 전 직원 대상 개인정보보호 수칙, 사고 사례, 침해사고 대응방법 등의 교육을 반기별로 진행했으며, 용역사업자들에게도 개인정보보호 관련 교육 및 관리·감독을 주기적으로 실시하고 있다. 개인정보보호 업무담당자는 개인정보보호 콘퍼런스·전문교육·워크숍 등에 참석해 전문 역량을 강화했으며, 내부 업무포털에 개인정보보호 관련 규정·수칙 등을 게시하고 있다. 아울러 방통위 및 소속·산하기관 개인정보보호담당자를 대상으로 개인정보보호협의회를 개최하고 전문교육을 실시했다.

다. 개인정보 침해대응 체계 점검 및 강화
최근 사이버 공격을 통한 개인정보 유출사고가 지속적으로 발생함에 따라 방통위는 악성코드를 심은 이메일 발송을 통한 실전 대응 훈련을 실시했으며, 방통위 소관 주요 정보통신기반시설 관리기관을 대상으로 침해사고 발생 상황에 대비한 모의훈련을 통해 대응 능력을 향상시켰다. 또한 산하·유관기관과 개인정보 침해사고 대응 합동 모의훈련을 실시해 체계적이고 신속한 상황전파 체계 및 피해 방지를 위한 임무와 역할 숙지 여부를 종합 점검했다.

3. 국무조정실
가. 개인정보보호 지침 및 내부 규정 정비
국무조정실은 「개인정보보호법 시행령」(1월) 및 「개인정보의 안전성 확보조치 기준」(6월) 개정에 맞춰 ‘개인정보보호 지침’ 및 내부관리계획을 정비했다. 이를 통해 개인정보 유출사고 대응절차를 구체화하고 개인정보처리시스템 접속기록 점검주기를 변경하는 등 일부 조항을 신설·보완했다. 또한 개인정보보호 관리체계를 강화하기 위해 ‘개인정보 목적 외 이용·제3자 제공 절차서’ ‘침해사고 대응 절차서’ ‘개인정보처리시스템 재해·재난 대응 절차서’를 제정·정비했다. 이를 내부 게시판에 공지해 개인정보취급자와 직원들이 업무 절차를 준수할 수 있도록 안내했다. 아울러 전 직원 교육 시에도 활용해 개인정보보호 업무 절차의 이해도를 향상시켰다.

나. 산하 연구기관 개인정보 관리실태 지도·점검
국무조정실은 산하기관 개인정보 관리체계 개선을 위해 경제·인문사회 분야 연구기관 27개 중 18개 기관에 대해 3월, 10월 두 차례에 걸쳐 개인정보 관리실태 지도·점검을 시행했다. ‘개인정보 처리업무 위탁’ ‘내부관리체계’ ‘개인정보 처리방침’ 등 5개 분야, 15개의 항목을 지도·점검했으며 점검 결과 미흡 사항에 대해서는 기관별로 이행계획을 세워 개선하도록 했다. 그리고 개인정보 관리수준이 우수한 기관에 대해서는 국무조정실장 표창을 수여해 산하 연구기관 개인정보보호 관심 제고를 위해 노력했다.

다. 개인정보 수집·이용 동의 실태분석 및 개선
국무조정실은 정보주체의 개인정보를 보호하기 위해 주기적으로 개인정보 수집 및 이용 실태를 점검했다. 개인정보 수집·이용 공통양식에 제3자 제공 내용을 추가해 내부 게시판에 공지하는 한편, 소관 웹사이트를 대상으로 개인정보 수집·이용 및 제3자 제공 동의절차 이행 여부를 점검해 미흡한 사항을 개선했다. 또한 개인정보 수집·이용 여부를 점검해 업무 수행 중 불필요하게 과다 수집·운용 중인 개인정보파일에 대해서는 파기 또는 보유기간을 수정하도록 했고, 행정규칙 중 법적 근거 없이 고유식별정보를 수집하는 서식은 해당 부서에 개선을 권고했다.
[자료=2020 개인정보보호 연차보고서, 정리=박미영 기자]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>