중앙행정기관인 공정위·금융위·국민권익위·원안위의 2019년 개인정보보호 실적
2020 개인정보보호 연차보고서에는 기관별 개인정보보호 주요 실적도 소개하고 있다. 중앙행정기관 중 △공정위 △금융위 △국민권익위 △원안위의 개인정보보호 주요 실적을 살펴본다.
[이미지=utoimage]
1. 공정위
가. 개인정보처리시스템 안전성 확보
공정거래위원회(이하 공정위)는 개인정보 처리 시 안전성 확보를 위해 대표 홈페이지, 1372상담센터 등 개인정보처리시스템에 대한 관리실태 점검(8~9월)을 통해 개인정보의 암호화 저장·네트워크 구간의 암호화 통신 및 개인정보파일 보관 등을 확인하고 불필요한 개인정보 백업파일은 삭제하는 한편, 개인정보가 저장되는 데이터베이스에 대한 취약점 여부도 점검해 비밀번호 사용기간 미설정, 기본 비밀번호 설정 사용 등 점검 결과 나타난 문제점을 보완 조치했다.
개인정보의 접속기록 수집·보관 및 통합 관리를 위한 개인정보 접속기록관리시스템을 도입해 내부 업무포털, 대표 홈페이지 등 개인정보처리시스템을 대상으로 모든 접속로그를 저장하고 정기적으로 비인가자 등의 개인정보 무단열람 등 부정행위를 점검하는 등 관리수준을 한층 강화했다. 또한, 개인정보처리시스템 외에 개인별 업무용 PC에 보관 중인 개인정보에 대한 일제정비(6월)를 통해 보유 목적을 달성한 개인정보는 모두 삭제하고 업무처리 등을 위해 보유 중인 개인정보는 문서보안(DRM: Digital Rights Management) 후, 보관하도록 조치했다.
나. 개인정보 침해대응 및 유·노출 예방 활동
공정위 사이버안전센터는 365일 24시간 실시간 보안관제를 시행하고 있으며, 이를 통해 위원회 및 소속·산하기관의 홈페이지를 통한 개인정보 유·노출 여부 등도 상시 점검하고 있다. 이와 함께 운영 중인 각종 홈페이지의 보안취약점을 정기적으로 점검 조치함으로써 보안수준을 지속적으로 강화하고, 침해사고 발생에 대비한 해킹메일 대응·전산망 모의침투 등 침해사고 위기대응 훈련을 매년 실시하고 있다.
다. 개인정보보호 교육 및 홍보
공정위는 개인정보취급담당자·정보처리시스템 담당자 등 대상별 개인정보보호에 대한 인식 향상을 위한 교육을 진행했고, 용역사업자 대상으로 개인정보 업무처리 기준사항에 따른 맞춤형 교육을 실시해 개인정보보호 관련 업무를 체계적으로 관리했다. 개인정보보호책임자(CPO)의 워크숍 참석 및 개인정보보호담당자의 영향평가 순회교육·전문교육·워크숍 참석 등을 통해 개인정보보호 역량을 강화했으며, 내부 업무포털시스템에 등록된 온라인 교육 및 개인정보보호 관련 규정·지침 등을 지속적으로 게시하는 등 직원들의 개인정보보호 인식 제고를 위해 노력하고 있다.
2. 금융위
가. 개인정보보호 정책 및 제도 개선
금융위원회(이하 금융위)는 개인정보 수집현황을 주기적으로 전수 조사해 과다 보유하거나 불필요한 개인정보파일을 정비함으로써 개인정보 처리의 적정성과 투명성을 확보했다. 개인정보처리시스템상 개인정보파일을 점검해 보존기간이 경과한 개인정보는 파기하고, 개인정보파일대장을 현행화했다. 업무용 PC에 보유하고 있는 불필요한 개인정보를 삭제하고, 업무에 필요한 개인정보는 암호화 조치했다.
나. 개인정보보호시스템 운영체계 강화
금융위 및 산하기관의 개인정보 관리실태 자가진단을 실시하고 미흡한 점에 대해서는 보호대책을 수립했다. 개인정보 수집현황을 전수 조사해 불필요한 개인정보 수집을 중단하고, 개인정보파일을 점검해 보존기간이 경과한 개인정보는 파기했으며, 개인정보파일대장을 현행화했다. 또한, 정보시스템 및 업무용 PC에 보유하고 있는 개인정보파일을 점검해 불필요한 개인정보를 삭제하고 업무에 필요한 개인정보는 암호화를 실시했다. 이뿐만 아니라 정보화 조직 및 개인정보보호 전담인력 확보를 위해 관련 기관·부서와 지속적으로 협의하고, 정보화 예산 편성 시 개인정보보호 활동을 위한 소요비용을 산정해 사업 추진 기반을 확보하는 데 노력했다.
다. 개인정보보호 교육 및 홍보
개인정보보호담당자·취급자 등 대상별 차별화된 교육 계획을 수립해 개인정보보호 인식 제고와 전문역량 강화를 위해 자체 집합교육을 실시하고, ‘금융정보보호 콘퍼런스 2019’를 개최해 디지털 금융소비자 보호·사이버 금융사기 대응사례 등 금융보안에 대한 최신 정보와 지식을 공유했다. 또한, 개인정보보호 관리수준 향상과 상호 정보 공유를 위해 산하기관과의 워크숍을 정기적으로 개최하고 있다.
3. 국민권익위
가. 개인정보보호 인프라 강화를 통한 개인정보 유·노출 방지
국민권익위원회(이하 권익위)는 개인정보 처리 업무 수탁자를 통한 개인정보 유·노출을 방지하고 사이버보안을 강화하기 위해 기관 내에 상주하는 외주업체 직원들이 사용하는 인터넷용 PC를 대상으로 VDI(Virtual Desktop Infrastructure) 체계를 구축했다. 또한, 업무망 PC에 고유식별정보 등 개인정보를 보유하는 것을 지양하고 불가피하게 개인정보를 보유할 경우 암호화 조치를 할 수 있는 개인정보 검출 및 암호화 솔루션을 도입·적용해 매월 개인정보 보유현황을 전수조사하고 고유식별정보에 대해 암호화 조치를 취하고 있다. 이러한 조치를 통해 불필요한 개인정보를 보유하지 않도록 하고 개인정보 유·노출 방지를 강화하는 효과를 달성했다.
나. 개인정보 수집 최소화를 통한 개인정보보호 강화
국민권익위는 훈령, 예규 등 행정규칙을 제·개정함에 있어 관행적인 개인정보 수집실태를 점검해 불필요하거나 반복적으로 이뤄지는 개인정보 수집을 제한하고 업무 수행에 필요한 최소한의 개인정보만 수집하는 방향으로 개선 권고하는 개인정보 수집 최소화를 지속적으로 추진했다. 이러한 개인정보 수집 최소화 추진을 통해 ‘부패행위 신고자 보호사무 운영지침’ ‘공익신고자 보호사무 운영지침’ ‘부패신고 구조금사무 운영지침’ ‘부패행위 신고사무 운영지침’ 등 4개 예규 29종 서식에서 수집하는 주민등록번호를 생년월일 등으로 대체하도록 관련 규칙을 개정해 정보주체의 개인정보보호를 강화했다.
다. 개인정보보호 의식 고취를 위한 개인정보보호 교육 추진
국민권익위는 개인정보취급자의 개인정보보호 의식을 고취하기 위해 전 직원을 대상으로 「개인정보보호법」 설명·위반 사례 소개 및 준수사항 등을 주제로 2회에 걸쳐 594명이 참여하는 집합교육을 실시했으며, 110콜센터 상담사 및 개인정보처리시스템 위탁운영 사업자 등 개인정보 처리 업무 수탁자를 대상으로 총 35회에 걸쳐 연인원 2,014명이 참여하는 개인정보보호 교육을 실시했다.
4. 원안위
가. 개인정보보호 기준 마련·보급 및 법·제도 개선 연구
원자력안전위원회(이하 원안위)는 개인정보 침해·유출사고에 대한 신속 대응으로 정보주체의 피해를 최소화하기 위해 ‘개인정보 침해·유출사고 대응 절차서’와 수집한 개인정보를 목적과 다르게 이용하거나 제3자에게 제공하는 경우 준수사항·제공 방법 등을 담은 ‘개인정보 목적 외 이용 및 제3자 제공 절차서’를 개인정보보호 관련 법률의 개정 내용에 맞춰 개정했다. 또한, 원안위의 ‘개인정보보호 내부관리계획’을 보완해 업무 목적에 따라 업무처리담당자를 명확하게 구분하고 개인정보처리시스템의 접근 허용범위와 접근권한을 조정·부여하는 절차를 구체적으로 제시하는 등 개인정보 누출사고 방지를 위한 기반을 마련했다.
나. 개인정보보호시스템 강화 및 개인정보 모니터링 시스템 개선
2019년에 신설된 행정사무정보화 사업을 통해 원안위의 개인정보보호시스템 강화를 위한 홈페이지의 전면 개편·매체제어 시스템 고도화를 추진했으며, ‘내 PC 지키미’ ‘개인정보 모니터링 시스템’ 개선 등을 통해 원안위 및 개인정보 수탁기관에 대한 개인정보보호 관리수준 실태 점검·상시 모니터링 등 개인정보보호시스템을 강화했다. 또한, 개인정보 최소 수집과 관련한 지속적인 정책 개선 및 법정 서식 검토 등을 통해 비예산 분야에서도 불필요하게 수집되는 개인정보가 최소화되도록 노력했다.
다. 개인정보보호 교육·홍보 강화
원안위는 개인정보보호책임자·담당자·취급자의 역량을 강화하고 일반직원의 개인정보보호 관련 인식 제고를 위해 교육 대상별 차별화된 개인정보보호 교육 계획을 수립해 시행하고 있다. 개인정보보호책임관은 행안부 주관 CPO 워크숍에 참석하고, 개인정보보호담당자는 전문기관에서 실시하는 교육에 참석해 개인정보보호 역량 강화를 위해 노력했다. 또한, 전 직원을 대상으로 사이버 교육과 전문강사 초청 개인정보보호 교육을 실시했으며, 수탁기관 근무자를 대상으로 시스템 관리 방안·침해사고 유형과 예방 및 대응 방안에 대한 교육을 실시했다.
[자료=2020 개인정보보호 연차보고서, 정리=박미영 기자]
2020 개인정보보호 연차보고서에는 기관별 개인정보보호 주요 실적도 소개하고 있다. 중앙행정기관 중 △공정위 △금융위 △국민권익위 △원안위의 개인정보보호 주요 실적을 살펴본다.
[이미지=utoimage]
1. 공정위
가. 개인정보처리시스템 안전성 확보
공정거래위원회(이하 공정위)는 개인정보 처리 시 안전성 확보를 위해 대표 홈페이지, 1372상담센터 등 개인정보처리시스템에 대한 관리실태 점검(8~9월)을 통해 개인정보의 암호화 저장·네트워크 구간의 암호화 통신 및 개인정보파일 보관 등을 확인하고 불필요한 개인정보 백업파일은 삭제하는 한편, 개인정보가 저장되는 데이터베이스에 대한 취약점 여부도 점검해 비밀번호 사용기간 미설정, 기본 비밀번호 설정 사용 등 점검 결과 나타난 문제점을 보완 조치했다.
개인정보의 접속기록 수집·보관 및 통합 관리를 위한 개인정보 접속기록관리시스템을 도입해 내부 업무포털, 대표 홈페이지 등 개인정보처리시스템을 대상으로 모든 접속로그를 저장하고 정기적으로 비인가자 등의 개인정보 무단열람 등 부정행위를 점검하는 등 관리수준을 한층 강화했다. 또한, 개인정보처리시스템 외에 개인별 업무용 PC에 보관 중인 개인정보에 대한 일제정비(6월)를 통해 보유 목적을 달성한 개인정보는 모두 삭제하고 업무처리 등을 위해 보유 중인 개인정보는 문서보안(DRM: Digital Rights Management) 후, 보관하도록 조치했다.
나. 개인정보 침해대응 및 유·노출 예방 활동
공정위 사이버안전센터는 365일 24시간 실시간 보안관제를 시행하고 있으며, 이를 통해 위원회 및 소속·산하기관의 홈페이지를 통한 개인정보 유·노출 여부 등도 상시 점검하고 있다. 이와 함께 운영 중인 각종 홈페이지의 보안취약점을 정기적으로 점검 조치함으로써 보안수준을 지속적으로 강화하고, 침해사고 발생에 대비한 해킹메일 대응·전산망 모의침투 등 침해사고 위기대응 훈련을 매년 실시하고 있다.
다. 개인정보보호 교육 및 홍보
공정위는 개인정보취급담당자·정보처리시스템 담당자 등 대상별 개인정보보호에 대한 인식 향상을 위한 교육을 진행했고, 용역사업자 대상으로 개인정보 업무처리 기준사항에 따른 맞춤형 교육을 실시해 개인정보보호 관련 업무를 체계적으로 관리했다. 개인정보보호책임자(CPO)의 워크숍 참석 및 개인정보보호담당자의 영향평가 순회교육·전문교육·워크숍 참석 등을 통해 개인정보보호 역량을 강화했으며, 내부 업무포털시스템에 등록된 온라인 교육 및 개인정보보호 관련 규정·지침 등을 지속적으로 게시하는 등 직원들의 개인정보보호 인식 제고를 위해 노력하고 있다.
2. 금융위
가. 개인정보보호 정책 및 제도 개선
금융위원회(이하 금융위)는 개인정보 수집현황을 주기적으로 전수 조사해 과다 보유하거나 불필요한 개인정보파일을 정비함으로써 개인정보 처리의 적정성과 투명성을 확보했다. 개인정보처리시스템상 개인정보파일을 점검해 보존기간이 경과한 개인정보는 파기하고, 개인정보파일대장을 현행화했다. 업무용 PC에 보유하고 있는 불필요한 개인정보를 삭제하고, 업무에 필요한 개인정보는 암호화 조치했다.
나. 개인정보보호시스템 운영체계 강화
금융위 및 산하기관의 개인정보 관리실태 자가진단을 실시하고 미흡한 점에 대해서는 보호대책을 수립했다. 개인정보 수집현황을 전수 조사해 불필요한 개인정보 수집을 중단하고, 개인정보파일을 점검해 보존기간이 경과한 개인정보는 파기했으며, 개인정보파일대장을 현행화했다. 또한, 정보시스템 및 업무용 PC에 보유하고 있는 개인정보파일을 점검해 불필요한 개인정보를 삭제하고 업무에 필요한 개인정보는 암호화를 실시했다. 이뿐만 아니라 정보화 조직 및 개인정보보호 전담인력 확보를 위해 관련 기관·부서와 지속적으로 협의하고, 정보화 예산 편성 시 개인정보보호 활동을 위한 소요비용을 산정해 사업 추진 기반을 확보하는 데 노력했다.
다. 개인정보보호 교육 및 홍보
개인정보보호담당자·취급자 등 대상별 차별화된 교육 계획을 수립해 개인정보보호 인식 제고와 전문역량 강화를 위해 자체 집합교육을 실시하고, ‘금융정보보호 콘퍼런스 2019’를 개최해 디지털 금융소비자 보호·사이버 금융사기 대응사례 등 금융보안에 대한 최신 정보와 지식을 공유했다. 또한, 개인정보보호 관리수준 향상과 상호 정보 공유를 위해 산하기관과의 워크숍을 정기적으로 개최하고 있다.
3. 국민권익위
가. 개인정보보호 인프라 강화를 통한 개인정보 유·노출 방지
국민권익위원회(이하 권익위)는 개인정보 처리 업무 수탁자를 통한 개인정보 유·노출을 방지하고 사이버보안을 강화하기 위해 기관 내에 상주하는 외주업체 직원들이 사용하는 인터넷용 PC를 대상으로 VDI(Virtual Desktop Infrastructure) 체계를 구축했다. 또한, 업무망 PC에 고유식별정보 등 개인정보를 보유하는 것을 지양하고 불가피하게 개인정보를 보유할 경우 암호화 조치를 할 수 있는 개인정보 검출 및 암호화 솔루션을 도입·적용해 매월 개인정보 보유현황을 전수조사하고 고유식별정보에 대해 암호화 조치를 취하고 있다. 이러한 조치를 통해 불필요한 개인정보를 보유하지 않도록 하고 개인정보 유·노출 방지를 강화하는 효과를 달성했다.
나. 개인정보 수집 최소화를 통한 개인정보보호 강화
국민권익위는 훈령, 예규 등 행정규칙을 제·개정함에 있어 관행적인 개인정보 수집실태를 점검해 불필요하거나 반복적으로 이뤄지는 개인정보 수집을 제한하고 업무 수행에 필요한 최소한의 개인정보만 수집하는 방향으로 개선 권고하는 개인정보 수집 최소화를 지속적으로 추진했다. 이러한 개인정보 수집 최소화 추진을 통해 ‘부패행위 신고자 보호사무 운영지침’ ‘공익신고자 보호사무 운영지침’ ‘부패신고 구조금사무 운영지침’ ‘부패행위 신고사무 운영지침’ 등 4개 예규 29종 서식에서 수집하는 주민등록번호를 생년월일 등으로 대체하도록 관련 규칙을 개정해 정보주체의 개인정보보호를 강화했다.
다. 개인정보보호 의식 고취를 위한 개인정보보호 교육 추진
국민권익위는 개인정보취급자의 개인정보보호 의식을 고취하기 위해 전 직원을 대상으로 「개인정보보호법」 설명·위반 사례 소개 및 준수사항 등을 주제로 2회에 걸쳐 594명이 참여하는 집합교육을 실시했으며, 110콜센터 상담사 및 개인정보처리시스템 위탁운영 사업자 등 개인정보 처리 업무 수탁자를 대상으로 총 35회에 걸쳐 연인원 2,014명이 참여하는 개인정보보호 교육을 실시했다.
4. 원안위
가. 개인정보보호 기준 마련·보급 및 법·제도 개선 연구
원자력안전위원회(이하 원안위)는 개인정보 침해·유출사고에 대한 신속 대응으로 정보주체의 피해를 최소화하기 위해 ‘개인정보 침해·유출사고 대응 절차서’와 수집한 개인정보를 목적과 다르게 이용하거나 제3자에게 제공하는 경우 준수사항·제공 방법 등을 담은 ‘개인정보 목적 외 이용 및 제3자 제공 절차서’를 개인정보보호 관련 법률의 개정 내용에 맞춰 개정했다. 또한, 원안위의 ‘개인정보보호 내부관리계획’을 보완해 업무 목적에 따라 업무처리담당자를 명확하게 구분하고 개인정보처리시스템의 접근 허용범위와 접근권한을 조정·부여하는 절차를 구체적으로 제시하는 등 개인정보 누출사고 방지를 위한 기반을 마련했다.
나. 개인정보보호시스템 강화 및 개인정보 모니터링 시스템 개선
2019년에 신설된 행정사무정보화 사업을 통해 원안위의 개인정보보호시스템 강화를 위한 홈페이지의 전면 개편·매체제어 시스템 고도화를 추진했으며, ‘내 PC 지키미’ ‘개인정보 모니터링 시스템’ 개선 등을 통해 원안위 및 개인정보 수탁기관에 대한 개인정보보호 관리수준 실태 점검·상시 모니터링 등 개인정보보호시스템을 강화했다. 또한, 개인정보 최소 수집과 관련한 지속적인 정책 개선 및 법정 서식 검토 등을 통해 비예산 분야에서도 불필요하게 수집되는 개인정보가 최소화되도록 노력했다.
다. 개인정보보호 교육·홍보 강화
원안위는 개인정보보호책임자·담당자·취급자의 역량을 강화하고 일반직원의 개인정보보호 관련 인식 제고를 위해 교육 대상별 차별화된 개인정보보호 교육 계획을 수립해 시행하고 있다. 개인정보보호책임관은 행안부 주관 CPO 워크숍에 참석하고, 개인정보보호담당자는 전문기관에서 실시하는 교육에 참석해 개인정보보호 역량 강화를 위해 노력했다. 또한, 전 직원을 대상으로 사이버 교육과 전문강사 초청 개인정보보호 교육을 실시했으며, 수탁기관 근무자를 대상으로 시스템 관리 방안·침해사고 유형과 예방 및 대응 방안에 대한 교육을 실시했다.
[자료=2020 개인정보보호 연차보고서, 정리=박미영 기자]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
