개인정보 유출방지 대책 ‘3단계 안전조치’ 등 강화계획 주요 내용 시행령 개정에 반영
“소극적인 인식 개선하고 실수 용납되지 않도록 개인정보보호 교육 강화해야”
[보안뉴스 김경애 기자] 2023년 한해도 수많은 개인정보 유출사고가 발생했다. △하남종합운동장 국민체육센터 홈페이지 회원 6,658명 개인정보 유출 △모아저축은행, ‘대출 신청 서버 해킹’으로 개인정보 유출 △입시전문학원 ‘시대인재’ 개인정보 유출 △스타벅스 크리덴셜 스터핑 공격으로 일부 회원 계정정보 유출 △숙명여대 해킹으로 개인정보 유출 △구미대, 해킹으로 개인정보 유출 △의약품 제조 기업 ‘한독’ 개인정보 유출 △해병대 여군·군무원 등 800여명 개인정보 유출 △조립피씨 전문업체 ‘조이젠’, 고객 개인정보 유출사고 등 올해 하반기만 하더라도 수많은 개인정보가 유출되는 사건이 발생했다.
[이미지 = gettyimagesbank]
이에 <보안뉴스>는 개인정보보호위원회 조사총괄과 박영수 과장과의 인터뷰를 통해 2023년 개인정보 유출사건과 관련해 제기된 주요 개인정보보호 이슈 및 문제점, 그리고 재발방지 대책 등을 들어봤다.
보안뉴스 : 개인정보보호위원회 조사총괄과에 대한 소개 부탁드립니다.
박영수 과장 : 개인정보위원회는 현재 4개국, 15개 과, 총 172명의 정원으로 구성되어 있는데요. 장관급 중앙행정기관 중 작은 규모에 속합니다. 그 가운데 조사총괄과(15명)는 조사조정국 소관 업무의 기획 및 총괄, 침해조사 관련 제도 및 법령 제·개정, 공공기관 개인정보 처리 실태조사 및 처분 업무 등을 수행하고 있습니다.
[자료=개인정보보호위원회]
보안뉴스 : 올해 조사총괄과의 주요 성과가 궁금합니다.
박영수 과장 : 공공부문의 개인정보 오·남용과 고의적 유출 등을 예방하기 위해 올해 4월 관계부처 합동으로 ‘공공부문 집중관리 시스템 개인정보 안전조치 강화계획’을 수립하고, 1,515개 집중관리 시스템에 대해 3년(2023년~2025년)간 순차적으로 강화계획 이행실태를 점검할 예정인데요. 올해는 주민등록과 연계된 단일접속 시스템 55개와 교육분야 7개 등 총 62개 시스템에 대해 점검했습니다.
또한, 유출방지 대책의 ‘3단계 안전조치’로 ①업무상 접근권한이 있는 직원만 시스템에 접속 ②개인정보 관련 문제발생 시 책임소재를 밝힐 수 있도록 접속기록 반드시 보관 ③대규모 또는 민감한 개인정보 처리에 대해서는 사전 또는 사후로 내부통제 절차 도입 등 강화계획 주요 내용을 시행령 개정(2023년 9월 15일)에 반영했습니다. 개정일로부터 1년간 시행을 유예(준비·계도기간)해 내년 9월부터 시행될 예정입니다. 아울러 법령에 의거해 개인정보를 대량으로 다루는 공공기관에 대한 처분 수준을 높여 경각심을 고취하도록 하겠습니다.
특히 주로 과태료만 부과받던 공공기관도 과징금 부과 대상이 되었는데요. 공무원이 개인정보를 고의적으로 유출하거나 부정 이용함으로써 국민에게 중대한 2차 피해를 야기한 경우에는 단 한 번이라도 바로 공직에서 퇴출(파면·해임) 가능토록 징계기준을 강화했습니다.
보안뉴스 : 올해 공공기관의 대표적인 개인정보 유출사고 사례를 꼽아주신다면? 선정한 이유와 배경도 함께 설명을 부탁드립니다.
박영수 과장 : 첫째, ㅇㅇㅇ 병원의 개인정보 유출 이슈입니다. 이는 북한 해커조직 소행으로 추정되는 사건으로 환자들의 민감한 정보가 유출됐습니다. 이 사건을 통해 해당 병원이 시스템 개선 등 안전조치를 강화하게 됐고, 민감한 정보를 대량으로 다루는 의료 분야에 경각심을 일깨워주는 계기가 되었습니다.
둘째, ㅇㅇ대학교 해킹 동아리 학생들이 습득한 해킹수법을 적용해 개인정보를 탈취한 사건입니다. 이 사건의 경우 단순한 호기심에 저지른 불법 행위가 사회에 미치는 악영향을 단적으로 보여준 사례입니다.
보안뉴스 : 개인정보 유출사고와 관련해 공공기관과 기업의 공통된 문제점은 무엇인가요? 또한, 개인정보 유출사고 예방을 위해 당부하고 싶은 부분은?
박영수 과장 : 개인정보보호는 규제기관의 역할뿐만 아니라 관리주체와 정보주체 스스로의 노력이 필요합니다. 개인정보보호에 대한 각 주체의 제대로 된 인식이 그 시작점이라고 생각되는데요. 국민의 개인정보를 대량으로 다루는 공공기관은 스스로 개인정보보호에 대한 소극적인 인식을 개선하고, 단순 실수조차 용납하지 않는다는 자세로 직원들에 대한 개인정보보호 교육도 더욱 철저하게 진행돼야 합니다.
특히, 디지털 전환 가속화로 웹 취약점을 악용한 사이버 공격 등이 다양화된 현실에서는 불법적인 접근시도에 대비한 취약점 점검 등 과하다 싶은 정도로 안전조치에 힘써야 합니다.
보안뉴스 : 개인정보보호를 위한 공공기관의 애로사항은 무엇인가요?
박영수 과장 : 다수의 공공기관에서는 개인정보 관련 업무량과 책임에 비해 조직과 개인정보 담당자의 전문성 부족, 시스템 기능 개선에 필요한 예산확보 등에 대해 어려움을 호소하고 있습니다.
보안뉴스 : 개인정보 유출사고를 인지했다면 어떤 순서로 대응해야 하나요?
박영수 과장 : 우선 개인정보 유출 사실을 알게 된 경우에는 피해 확산방지와 복구 등을 위한 긴급조치가 우선돼야 합니다. 이어 원인 분석을 통해 재발 방지를 위한 개선 대책을 마련해 시행해야 합니다.
첫 번째 대응은 긴급조치로 (해킹의 경우) 시스템 분리·차단 조치, 로그 등 증거자료 확보, 사고원인 분석, 개인정보취급자 비밀번호 변경 등입니다. 두 번째는 정보주체 스스로도 비밀번호 변경 등 보호조치를 할 수 있도록 유출사실을 통지하고, 객관적인 시각에서 피해확산 방지태세를 확인할 수 있도록 규제당국에 신고해야 합니다. 세 번째는 유출로 인한 피해 신고·접수·상담·문의 등 민원 응대 방안을 마련하고 2차 피해 방지를 위한 유의사항 안내, 유출원인 분석 등을 통한 개선방안을 마련해서 시행해야 합니다.
보안뉴스 : 개인정보 제공자가 주의해야 할 사항은 무엇인가요?
박영수 과장 : 사회 및 산업구조의 다양화, 신산업·신기술의 발전 양태에 따라 개인정보보호 이슈도 새로운 방식으로 전개되는 현실을 고려해야 합니다. 기관, 기업 등 개인정보를 처리하는 주체는 변화된 환경에 맞춰 개인정보보호 노력을 더욱 강화해 나가야 합니다.
정보주체인 국민 또한 일상생활 속에서 △신뢰할 수 없는 웹사이트 방문하지 않기 △의심스러운 앱 다운로드하지 않기 △인터넷 웹사이트 비밀번호 주기적으로 변경하기 △PC·스마트폰에 비밀번호 설정기능 사용하고 주기적으로 변경하기 △PC방 등에서 금융거래 하지 않기 △출처가 불분명한 이메일은 열어보지 말고 삭제하기 △의심스러운 문자 메시지의 링크 등을 클릭하지 말고 삭제하기 △인터넷에 접속하는 기기(PC·스마트폰) 운영체제 및 소프트웨어 최신 보안 업데이트 △PC·스마트폰에 백신프로그램 설치하고 바이러스 검사 등과 같은 생활습관을 가져야 합니다.
[김경애 기자(boan3@boannews.com)]
“소극적인 인식 개선하고 실수 용납되지 않도록 개인정보보호 교육 강화해야”
[보안뉴스 김경애 기자] 2023년 한해도 수많은 개인정보 유출사고가 발생했다. △하남종합운동장 국민체육센터 홈페이지 회원 6,658명 개인정보 유출 △모아저축은행, ‘대출 신청 서버 해킹’으로 개인정보 유출 △입시전문학원 ‘시대인재’ 개인정보 유출 △스타벅스 크리덴셜 스터핑 공격으로 일부 회원 계정정보 유출 △숙명여대 해킹으로 개인정보 유출 △구미대, 해킹으로 개인정보 유출 △의약품 제조 기업 ‘한독’ 개인정보 유출 △해병대 여군·군무원 등 800여명 개인정보 유출 △조립피씨 전문업체 ‘조이젠’, 고객 개인정보 유출사고 등 올해 하반기만 하더라도 수많은 개인정보가 유출되는 사건이 발생했다.
[이미지 = gettyimagesbank]
이에 <보안뉴스>는 개인정보보호위원회 조사총괄과 박영수 과장과의 인터뷰를 통해 2023년 개인정보 유출사건과 관련해 제기된 주요 개인정보보호 이슈 및 문제점, 그리고 재발방지 대책 등을 들어봤다.
보안뉴스 : 개인정보보호위원회 조사총괄과에 대한 소개 부탁드립니다.
박영수 과장 : 개인정보위원회는 현재 4개국, 15개 과, 총 172명의 정원으로 구성되어 있는데요. 장관급 중앙행정기관 중 작은 규모에 속합니다. 그 가운데 조사총괄과(15명)는 조사조정국 소관 업무의 기획 및 총괄, 침해조사 관련 제도 및 법령 제·개정, 공공기관 개인정보 처리 실태조사 및 처분 업무 등을 수행하고 있습니다.
[자료=개인정보보호위원회]
보안뉴스 : 올해 조사총괄과의 주요 성과가 궁금합니다.
박영수 과장 : 공공부문의 개인정보 오·남용과 고의적 유출 등을 예방하기 위해 올해 4월 관계부처 합동으로 ‘공공부문 집중관리 시스템 개인정보 안전조치 강화계획’을 수립하고, 1,515개 집중관리 시스템에 대해 3년(2023년~2025년)간 순차적으로 강화계획 이행실태를 점검할 예정인데요. 올해는 주민등록과 연계된 단일접속 시스템 55개와 교육분야 7개 등 총 62개 시스템에 대해 점검했습니다.
또한, 유출방지 대책의 ‘3단계 안전조치’로 ①업무상 접근권한이 있는 직원만 시스템에 접속 ②개인정보 관련 문제발생 시 책임소재를 밝힐 수 있도록 접속기록 반드시 보관 ③대규모 또는 민감한 개인정보 처리에 대해서는 사전 또는 사후로 내부통제 절차 도입 등 강화계획 주요 내용을 시행령 개정(2023년 9월 15일)에 반영했습니다. 개정일로부터 1년간 시행을 유예(준비·계도기간)해 내년 9월부터 시행될 예정입니다. 아울러 법령에 의거해 개인정보를 대량으로 다루는 공공기관에 대한 처분 수준을 높여 경각심을 고취하도록 하겠습니다.
특히 주로 과태료만 부과받던 공공기관도 과징금 부과 대상이 되었는데요. 공무원이 개인정보를 고의적으로 유출하거나 부정 이용함으로써 국민에게 중대한 2차 피해를 야기한 경우에는 단 한 번이라도 바로 공직에서 퇴출(파면·해임) 가능토록 징계기준을 강화했습니다.
보안뉴스 : 올해 공공기관의 대표적인 개인정보 유출사고 사례를 꼽아주신다면? 선정한 이유와 배경도 함께 설명을 부탁드립니다.
박영수 과장 : 첫째, ㅇㅇㅇ 병원의 개인정보 유출 이슈입니다. 이는 북한 해커조직 소행으로 추정되는 사건으로 환자들의 민감한 정보가 유출됐습니다. 이 사건을 통해 해당 병원이 시스템 개선 등 안전조치를 강화하게 됐고, 민감한 정보를 대량으로 다루는 의료 분야에 경각심을 일깨워주는 계기가 되었습니다.
둘째, ㅇㅇ대학교 해킹 동아리 학생들이 습득한 해킹수법을 적용해 개인정보를 탈취한 사건입니다. 이 사건의 경우 단순한 호기심에 저지른 불법 행위가 사회에 미치는 악영향을 단적으로 보여준 사례입니다.
보안뉴스 : 개인정보 유출사고와 관련해 공공기관과 기업의 공통된 문제점은 무엇인가요? 또한, 개인정보 유출사고 예방을 위해 당부하고 싶은 부분은?
박영수 과장 : 개인정보보호는 규제기관의 역할뿐만 아니라 관리주체와 정보주체 스스로의 노력이 필요합니다. 개인정보보호에 대한 각 주체의 제대로 된 인식이 그 시작점이라고 생각되는데요. 국민의 개인정보를 대량으로 다루는 공공기관은 스스로 개인정보보호에 대한 소극적인 인식을 개선하고, 단순 실수조차 용납하지 않는다는 자세로 직원들에 대한 개인정보보호 교육도 더욱 철저하게 진행돼야 합니다.
특히, 디지털 전환 가속화로 웹 취약점을 악용한 사이버 공격 등이 다양화된 현실에서는 불법적인 접근시도에 대비한 취약점 점검 등 과하다 싶은 정도로 안전조치에 힘써야 합니다.
보안뉴스 : 개인정보보호를 위한 공공기관의 애로사항은 무엇인가요?
박영수 과장 : 다수의 공공기관에서는 개인정보 관련 업무량과 책임에 비해 조직과 개인정보 담당자의 전문성 부족, 시스템 기능 개선에 필요한 예산확보 등에 대해 어려움을 호소하고 있습니다.
보안뉴스 : 개인정보 유출사고를 인지했다면 어떤 순서로 대응해야 하나요?
박영수 과장 : 우선 개인정보 유출 사실을 알게 된 경우에는 피해 확산방지와 복구 등을 위한 긴급조치가 우선돼야 합니다. 이어 원인 분석을 통해 재발 방지를 위한 개선 대책을 마련해 시행해야 합니다.
첫 번째 대응은 긴급조치로 (해킹의 경우) 시스템 분리·차단 조치, 로그 등 증거자료 확보, 사고원인 분석, 개인정보취급자 비밀번호 변경 등입니다. 두 번째는 정보주체 스스로도 비밀번호 변경 등 보호조치를 할 수 있도록 유출사실을 통지하고, 객관적인 시각에서 피해확산 방지태세를 확인할 수 있도록 규제당국에 신고해야 합니다. 세 번째는 유출로 인한 피해 신고·접수·상담·문의 등 민원 응대 방안을 마련하고 2차 피해 방지를 위한 유의사항 안내, 유출원인 분석 등을 통한 개선방안을 마련해서 시행해야 합니다.
보안뉴스 : 개인정보 제공자가 주의해야 할 사항은 무엇인가요?
박영수 과장 : 사회 및 산업구조의 다양화, 신산업·신기술의 발전 양태에 따라 개인정보보호 이슈도 새로운 방식으로 전개되는 현실을 고려해야 합니다. 기관, 기업 등 개인정보를 처리하는 주체는 변화된 환경에 맞춰 개인정보보호 노력을 더욱 강화해 나가야 합니다.
정보주체인 국민 또한 일상생활 속에서 △신뢰할 수 없는 웹사이트 방문하지 않기 △의심스러운 앱 다운로드하지 않기 △인터넷 웹사이트 비밀번호 주기적으로 변경하기 △PC·스마트폰에 비밀번호 설정기능 사용하고 주기적으로 변경하기 △PC방 등에서 금융거래 하지 않기 △출처가 불분명한 이메일은 열어보지 말고 삭제하기 △의심스러운 문자 메시지의 링크 등을 클릭하지 말고 삭제하기 △인터넷에 접속하는 기기(PC·스마트폰) 운영체제 및 소프트웨어 최신 보안 업데이트 △PC·스마트폰에 백신프로그램 설치하고 바이러스 검사 등과 같은 생활습관을 가져야 합니다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
