경기도평택교육지원청, 실수로 지방공무원의 개인정보 첨부해 발송
주민번호, 이름, 연락처 등 500여명의 개인정보 담겨...삭제요청 조치 등 대응
보안전문가, DLP 솔루션으로 개인정보 포함 여부 파악 가능한 정책 설정 필요
[보안뉴스 김경애 기자] 경기도평택교육지원청에서 500여명에 이르는 지방공무원의 개인정보가 유출된 사건이 발생했다.
[이미지=경기도평택교육지원청]
경기도평택교육지원청은 지난 23일 ‘2024년 하반기 지방공무원 관내 전보 내신 제출 안내’란 제목의 첨부 파일 공문을 발송하는 과정에서 공문내 인사기록이 함께 유출됐다고 실수를 인정했다.
경기도평택교육지원청의 실수로 유출된 개인정보는 주민번호, 이름, 연락처 등으로 경기도평택교육지원청은 첨부파일 삭제 요청 조치와 함께 사과문을 전달한 것으로 알려졌다.
하지만 이와 별개로 경기도평택교육지원청 홈페이지 공지사항에도 고지해야 함에도 불구하고, 공지사항에는 올리지 않고 개별적으로 안내 및 사과문을 발송한 데에 대해 문제가 있다는 지적이 일고 있다.
이와 관련 경기도평택교육지원청은 ‘알림마당’ 내 ‘지방공무원인사정보’에 대해 △게시되는 글의 본문이나 첨부파일에 개인정보(주민등록번호, 휴대폰번호, 주소, 은행계좌번호, 신용카드번호 등 개인을 식별할 수 있는 모든 정보)를 포함시키지 않도록 주의 △개인정보가 게시되어 노출될 경우 해당 게시물 작성자가 관련 법령에 따라 처분을 받을 수 있으니 유의 △게시글에 이미지 삽입시 [상세 내용]을 ‘그림설명’에 입력 △외부 동영상 탑재 시 콘텐츠(음성정보 등)에 대한 대체수단(자막삽입 또는 본문설명) 제공 △저작권자의 허락없이 제작물(사진, 그림, 영상, 폰트 등)을 올릴 경우 저작권법에 의해 처벌 유의 등의 내용을 당부하고 있다.
이번 사건과 관련해 더열심히 김성훈 CISO는 “일반적으로 DLP 솔루션을 갖추고 있는 조직에서는 일정 수량 이상의 개인정보가 포함된 문서는 첨부될 수 없도록 정책을 적용할 수 있다”며 “개인정보 유출방지에 좀 더 특화된 솔루션도 있는데, 조직 내에 보안 솔루션이 없었거나 보안정책을 제대로 적용하지 않았거나 개인정보보호 담당자가 없었거나 업무 담당자가 절차를 지키지 않은 것 등이 원인이 될 수 있다”고 지목했다.
위즈코리아 김훈 부문장은 “실수로 유출되는 것을 방지하기 위한 조치로 PC에 보관하는 개인정보 파일에 대한 관리 규정을 강화해 직원들에게 교육이 필요하다”며 “하지만 이것 만으로는 조치가 어려울 수 있으니 첫째, 개인정보에 대한 접근 제어를 강화해 최소한의 개인정보에만 접근하는 절차를 도입할 수 있고, 둘째는 개인정보가 포함된 파일을 암호화해 저장하고 전송하도록 해야 한다”고 설명했다.
이어 김훈 부문장은 “마지막으로는 이를 탐지하고 차단할 수 있는 PC 보안 제품 등을 도입해 실수에 의한 유출을 방지해야 한다”며 “이러한 방지책이 있더라도 발생된 유출사고라면 사용 중인 시스템의 개선이 필요한데, 이를테면 공문 발송 시스템에서 첨부파일을 등록하는 경우 개인정보가 포함돼 있는지 검증하는 기능이 필요하다”고 설명했다.
또한 리니어리티 한승연 대표는 “업무처리 과정에서 담당자의 실수로 개인정보가 외부로 유출되는 사고는 심심치 않게 발생한다”면서, “기관 및 기업에서 개인정보를 처리하는 담당자를 식별할 수 있는 기술적·관리적 체계를 구축하고, 관련 사례 및 처벌 수위 등을 담당자 교육에 반영하는 등의 조치가 필요하다”고 말했다.
[김경애 기자(boan3@boannews.com)]
주민번호, 이름, 연락처 등 500여명의 개인정보 담겨...삭제요청 조치 등 대응
보안전문가, DLP 솔루션으로 개인정보 포함 여부 파악 가능한 정책 설정 필요
[보안뉴스 김경애 기자] 경기도평택교육지원청에서 500여명에 이르는 지방공무원의 개인정보가 유출된 사건이 발생했다.
[이미지=경기도평택교육지원청]
경기도평택교육지원청은 지난 23일 ‘2024년 하반기 지방공무원 관내 전보 내신 제출 안내’란 제목의 첨부 파일 공문을 발송하는 과정에서 공문내 인사기록이 함께 유출됐다고 실수를 인정했다.
경기도평택교육지원청의 실수로 유출된 개인정보는 주민번호, 이름, 연락처 등으로 경기도평택교육지원청은 첨부파일 삭제 요청 조치와 함께 사과문을 전달한 것으로 알려졌다.
하지만 이와 별개로 경기도평택교육지원청 홈페이지 공지사항에도 고지해야 함에도 불구하고, 공지사항에는 올리지 않고 개별적으로 안내 및 사과문을 발송한 데에 대해 문제가 있다는 지적이 일고 있다.
이와 관련 경기도평택교육지원청은 ‘알림마당’ 내 ‘지방공무원인사정보’에 대해 △게시되는 글의 본문이나 첨부파일에 개인정보(주민등록번호, 휴대폰번호, 주소, 은행계좌번호, 신용카드번호 등 개인을 식별할 수 있는 모든 정보)를 포함시키지 않도록 주의 △개인정보가 게시되어 노출될 경우 해당 게시물 작성자가 관련 법령에 따라 처분을 받을 수 있으니 유의 △게시글에 이미지 삽입시 [상세 내용]을 ‘그림설명’에 입력 △외부 동영상 탑재 시 콘텐츠(음성정보 등)에 대한 대체수단(자막삽입 또는 본문설명) 제공 △저작권자의 허락없이 제작물(사진, 그림, 영상, 폰트 등)을 올릴 경우 저작권법에 의해 처벌 유의 등의 내용을 당부하고 있다.
이번 사건과 관련해 더열심히 김성훈 CISO는 “일반적으로 DLP 솔루션을 갖추고 있는 조직에서는 일정 수량 이상의 개인정보가 포함된 문서는 첨부될 수 없도록 정책을 적용할 수 있다”며 “개인정보 유출방지에 좀 더 특화된 솔루션도 있는데, 조직 내에 보안 솔루션이 없었거나 보안정책을 제대로 적용하지 않았거나 개인정보보호 담당자가 없었거나 업무 담당자가 절차를 지키지 않은 것 등이 원인이 될 수 있다”고 지목했다.
위즈코리아 김훈 부문장은 “실수로 유출되는 것을 방지하기 위한 조치로 PC에 보관하는 개인정보 파일에 대한 관리 규정을 강화해 직원들에게 교육이 필요하다”며 “하지만 이것 만으로는 조치가 어려울 수 있으니 첫째, 개인정보에 대한 접근 제어를 강화해 최소한의 개인정보에만 접근하는 절차를 도입할 수 있고, 둘째는 개인정보가 포함된 파일을 암호화해 저장하고 전송하도록 해야 한다”고 설명했다.
이어 김훈 부문장은 “마지막으로는 이를 탐지하고 차단할 수 있는 PC 보안 제품 등을 도입해 실수에 의한 유출을 방지해야 한다”며 “이러한 방지책이 있더라도 발생된 유출사고라면 사용 중인 시스템의 개선이 필요한데, 이를테면 공문 발송 시스템에서 첨부파일을 등록하는 경우 개인정보가 포함돼 있는지 검증하는 기능이 필요하다”고 설명했다.
또한 리니어리티 한승연 대표는 “업무처리 과정에서 담당자의 실수로 개인정보가 외부로 유출되는 사고는 심심치 않게 발생한다”면서, “기관 및 기업에서 개인정보를 처리하는 담당자를 식별할 수 있는 기술적·관리적 체계를 구축하고, 관련 사례 및 처벌 수위 등을 담당자 교육에 반영하는 등의 조치가 필요하다”고 말했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
