개인정보보호 관리체계의 전면 점검으로 보호수준 향상
[보안뉴스 김태형] 국민연금공단이 지난 11월 행정자치부 산하 한국정보화진흥원으로부터 개인정보보호 인증(PIPL)을 취득했다. PIPL 인증은 행정자치부가 주관하는 개인정보보호 관련 인증제도로 ‘개인정보보호법’ 도입 취지에 따라 개인정보보호 관리체계 구축 및 개인정보보호 조치사항을 이행하고 일정한 보호수준을 갖춘 경우에 부여하고 있다. PIPL 인증의 경우 내년부터는 개인정보보호 관리체계(PIMS)와 통합 운영된다.
▲ 국민연금공단이 11월 한국정보화진흥원으로부터 개인정보보호 인증(PIPL)을 취득했다.
국민연금은 지난 5월부터 개인정보보호 인증 취득을 위해 기존의 개인정보 관리체계에 대한 미비점을 개선·보완해 개인정보보호 관리체계 15개 항목 및 보호대책 50개 항목의 심사에서 우수한 평가를 받았다. 이에 국민연금공단 개인정보보호부 안홍식 차장을 만나 인증 획득 과정과 함께 공단 측의 개인정보보호 강화방안에 대해 들어봤다.
국민연금공단은 국민의 노령, 장애 또는 사망에 대한 연금 급여를 지급함으로써 국민의 생활안정과 복지증진에 이바지하기 위해 지난 1987년 9월에 설립되었으며, 1988년부터 국민연금제도를 운영해 오고 있다. 공단은 전 국민을 대상으로 연금제도를 시행하고 있어 약 106종 22억건의 개인정보 파일을 관리하고 있기 때문에 국민의 개인정보보호에 만전을 기하고 있다.
이에 대해 국민연금공단 개인정보보호부 안홍식 차장은 “국민들의 개인정보를 보호하기 위해 공단의 이번 개인정보보호 인증 취득은 기획재정부지정 기금관리형 공공기관 중 국민연금이 처음”이라면서 “그동안 국민연금은 매년 실시하는 보건복지부 소속 산하기관 개인정보 실태 점검에서 5년 연속 우수한 평가를 받았다. 이번 인증으로 국민연금공단의 개인정보보호 수준이 우수하다는 것을 공식적으로 인정받게 됐다”고 설명했다.
국민연금공단의 연금업무 시스템은 지난 2002년부터 국가 주요정보통신기반시설로 지정·관리되고 있다. 특히 국민들의 개인정보보호를 위해서는 개인정보보호법을 기반으로 개인정보보호규정 및 시행규칙, 내부관리계획 등을 수립하고, 개인정보보호 업무 전담부서인 개인정보보호부를 두어 체계적인 개인정보보호 정책을 운영하고 있다.
이에 대해 안 차장은 “공단은 업무이사를 개인정보보호책임자로 지정해 개인정보보호 정책의 수립, 개인정보 처리실태 및 관리의 정기적인 확인·개선, 개인정보 오남용 방지를 위한 모니터링, 개인정보보호 교육, 개인정보파일의 보호 및 관리 등의 개인정보보호 업무를 수행하고 있다”며 “개인정보처리가 수반되는 사업의 경우 법적 영향평가 대상 이외의 사업인 경우에도 자체적으로 사전 영향평가를 실시해 개인정보 침해요인을 최소화하고 있다”고 말했다.
또한, 정보보안과 관련해서는 정보통신기반보호법과 국가 정보보안 기본지침을 기반으로 정보보안관련 정책을 수립하고, 정보보안 업무 전담부서로 정보보안부를 두고 이사장 직속의 정보화본부장을 정보보안최고책임자(CISO)로 지정하여 운영하고 있다.
공단은 개인정보보호를 위한 정책의 수립 및 관리·감독 기능 강화를 위해 정보보호조직과 개인정보보호조직을 이원화하여 운영하고 있다. 개인정보보호 조직은 부장 이외에 총 8명으로 구성되어 앞서 언급된 개인정보보호 업무를 수행하고 있다. 또한, 사이버침해 예방과 대응을 위해 정보보안부를 별도로 두고 있으며, 정보보안부 조직은 부장을 포함해 8명으로 구성돼 있다. 주요 업무로 보안정책 수립과 취약점 개선 및 보안시스템 운영과 사이버위협 관제업무를 수행하고 있는 것으로 알려졌다.
이번 개인정보보호 인증 취득과 관련해 공단 측은 자율적인 개인정보보호활동 강화라는 정부정책 취지에 부합하고 인증심사를 통해 공단의 개인정보보호 관리수준을 전면적으로 점검·개선하여 선진적인 보호체계를 구축하고자 추진하게 됐다고 밝혔다.
공단은 정보보호관리체계(ISO27001, ISMS) 인증은 2016년 추진할 사업으로 예정되어 있으며, 사전 준비를 위해 2014년부터 국내외 인증관련 통제항목을 통합한 공단 자체 정보보안관리체계(nISMS)를 도입 운영하고 있다.
안홍식 차장은 “PIPL 인증은 개인정보보호관리체계와 개인정보보호대책 등 두 가지 영역에서 65개 항목, 156개 점검사항을 중점 심사해 높은 수준의 보호기준을 만족한 경우에만 인증마크를 부여하게 된다”면서 “이번 인증 획득 과정에서 국민연금공단에서 가장 고려했던 것은 전체 영역에서 적정한 개인정보보호 수준이 유지되고 있느냐였으며, 이에 공단 전체 개인정보취급자에 대한 보안관리 수준을 보다 효율적으로 점검하고 유지하는 측면을 중점적으로 고려했다”고 덧붙였다.
이어서 그는 “공단과 같은 대규모의 공공기관 중에서 인증을 취득한 기관이 없어 사전 준비과정에서 벤치마킹 사례가 부족해서 어려웠다”면서 “또한, 개인정보취급자가 공단의 거의 모든 부서에 분포돼 있어 이들 부서간의 의사소통과 이행실적 관리 등 효율적인 심사 대응에도 어려움이 많았다”고 말했다.
.jpg)
▲ 국민연금공단 개인정보보호부 안홍식 차장
이러한 문제를 해결하기 위해 공단은 인증기관인 한국정보화진흥원과의 수차례에 걸친 면담으로 인증심사 준비 요구사항을 면밀히 분석·확인하면서 인증획득을 위한 보다 철저한 사전준비를 진행했다. 특히, 공단 8개 부서 총 17명으로 전담 TF를 구성해 인증심사에 효과적으로 대응했다는 것.
안 차장은 “이번 인증심사를 진행하면서 인증심사수수료로 약 3천 7백만원가량이, 인증심사기간은 올해 7월∼11월까지 약 4개월이 소요됐다. 공단의 2015년 보안관련 예산은 총 78억원(정보화예산 대비 29.8%)으로, 주민번호 암호화와 정보보호 시스템 개선에 투입하고 있다”고 덧붙였다.
이번 인증 획득에 따른 가장 큰 효과는 공단의 개인정보보호 관리수준을 전면적으로 재점검해 도출된 개선사항을 보완함으로써 한층 향상된 관리수준을 구축할 수 있게 됐다는 점이다. 또한, 매년 시행될 인증유지 심사를 통해 공단의 개인정보보호 관리수준이 지속적으로 향상될 수 있도록 노력한다는 방침이다. 이와 함께 인증마크의 획득으로 국민들에게 공단의 개인정보보호 수준을 알릴 수 있어 공단에 대한 신뢰가 제고된다는 점도 구축효과로 꼽았다.
2016년에도 공단은 보안강화 사업을 꾸준히 추진해 현재 본부만 적용하고 있는 인터넷망 분리사업을 지사 전역으로 확대할 예정이다. 이러한 정보보호 강화 노력을 통해 국민들이 맡겨준 개인정보를 소중히 다루고, 어떠한 침해사고도 발생되지 않도록 최선의 노력을 다한다는 방침이다.
특히, 올 12월에 전 직원을 대상으로 공모한 개인정보보호 슬로건 중에서 우수작로 선정된 “국민연금의 1급 비밀은 바로 고객의 소중한 개인정보입니다”라는 슬로건을 기반으로 공단은 앞으로도 국민의 소중한 개인정보를 철저히 보호하기 위해 개인정보보호 관리체계를 지속적으로 점검·개선해 나갈 계획이다.
[김태형 기자(boan@boannews.com)]
[보안뉴스 김태형] 국민연금공단이 지난 11월 행정자치부 산하 한국정보화진흥원으로부터 개인정보보호 인증(PIPL)을 취득했다. PIPL 인증은 행정자치부가 주관하는 개인정보보호 관련 인증제도로 ‘개인정보보호법’ 도입 취지에 따라 개인정보보호 관리체계 구축 및 개인정보보호 조치사항을 이행하고 일정한 보호수준을 갖춘 경우에 부여하고 있다. PIPL 인증의 경우 내년부터는 개인정보보호 관리체계(PIMS)와 통합 운영된다.
▲ 국민연금공단이 11월 한국정보화진흥원으로부터 개인정보보호 인증(PIPL)을 취득했다.
국민연금은 지난 5월부터 개인정보보호 인증 취득을 위해 기존의 개인정보 관리체계에 대한 미비점을 개선·보완해 개인정보보호 관리체계 15개 항목 및 보호대책 50개 항목의 심사에서 우수한 평가를 받았다. 이에 국민연금공단 개인정보보호부 안홍식 차장을 만나 인증 획득 과정과 함께 공단 측의 개인정보보호 강화방안에 대해 들어봤다.
국민연금공단은 국민의 노령, 장애 또는 사망에 대한 연금 급여를 지급함으로써 국민의 생활안정과 복지증진에 이바지하기 위해 지난 1987년 9월에 설립되었으며, 1988년부터 국민연금제도를 운영해 오고 있다. 공단은 전 국민을 대상으로 연금제도를 시행하고 있어 약 106종 22억건의 개인정보 파일을 관리하고 있기 때문에 국민의 개인정보보호에 만전을 기하고 있다.
이에 대해 국민연금공단 개인정보보호부 안홍식 차장은 “국민들의 개인정보를 보호하기 위해 공단의 이번 개인정보보호 인증 취득은 기획재정부지정 기금관리형 공공기관 중 국민연금이 처음”이라면서 “그동안 국민연금은 매년 실시하는 보건복지부 소속 산하기관 개인정보 실태 점검에서 5년 연속 우수한 평가를 받았다. 이번 인증으로 국민연금공단의 개인정보보호 수준이 우수하다는 것을 공식적으로 인정받게 됐다”고 설명했다.
국민연금공단의 연금업무 시스템은 지난 2002년부터 국가 주요정보통신기반시설로 지정·관리되고 있다. 특히 국민들의 개인정보보호를 위해서는 개인정보보호법을 기반으로 개인정보보호규정 및 시행규칙, 내부관리계획 등을 수립하고, 개인정보보호 업무 전담부서인 개인정보보호부를 두어 체계적인 개인정보보호 정책을 운영하고 있다.
이에 대해 안 차장은 “공단은 업무이사를 개인정보보호책임자로 지정해 개인정보보호 정책의 수립, 개인정보 처리실태 및 관리의 정기적인 확인·개선, 개인정보 오남용 방지를 위한 모니터링, 개인정보보호 교육, 개인정보파일의 보호 및 관리 등의 개인정보보호 업무를 수행하고 있다”며 “개인정보처리가 수반되는 사업의 경우 법적 영향평가 대상 이외의 사업인 경우에도 자체적으로 사전 영향평가를 실시해 개인정보 침해요인을 최소화하고 있다”고 말했다.
또한, 정보보안과 관련해서는 정보통신기반보호법과 국가 정보보안 기본지침을 기반으로 정보보안관련 정책을 수립하고, 정보보안 업무 전담부서로 정보보안부를 두고 이사장 직속의 정보화본부장을 정보보안최고책임자(CISO)로 지정하여 운영하고 있다.
공단은 개인정보보호를 위한 정책의 수립 및 관리·감독 기능 강화를 위해 정보보호조직과 개인정보보호조직을 이원화하여 운영하고 있다. 개인정보보호 조직은 부장 이외에 총 8명으로 구성되어 앞서 언급된 개인정보보호 업무를 수행하고 있다. 또한, 사이버침해 예방과 대응을 위해 정보보안부를 별도로 두고 있으며, 정보보안부 조직은 부장을 포함해 8명으로 구성돼 있다. 주요 업무로 보안정책 수립과 취약점 개선 및 보안시스템 운영과 사이버위협 관제업무를 수행하고 있는 것으로 알려졌다.
이번 개인정보보호 인증 취득과 관련해 공단 측은 자율적인 개인정보보호활동 강화라는 정부정책 취지에 부합하고 인증심사를 통해 공단의 개인정보보호 관리수준을 전면적으로 점검·개선하여 선진적인 보호체계를 구축하고자 추진하게 됐다고 밝혔다.
공단은 정보보호관리체계(ISO27001, ISMS) 인증은 2016년 추진할 사업으로 예정되어 있으며, 사전 준비를 위해 2014년부터 국내외 인증관련 통제항목을 통합한 공단 자체 정보보안관리체계(nISMS)를 도입 운영하고 있다.
안홍식 차장은 “PIPL 인증은 개인정보보호관리체계와 개인정보보호대책 등 두 가지 영역에서 65개 항목, 156개 점검사항을 중점 심사해 높은 수준의 보호기준을 만족한 경우에만 인증마크를 부여하게 된다”면서 “이번 인증 획득 과정에서 국민연금공단에서 가장 고려했던 것은 전체 영역에서 적정한 개인정보보호 수준이 유지되고 있느냐였으며, 이에 공단 전체 개인정보취급자에 대한 보안관리 수준을 보다 효율적으로 점검하고 유지하는 측면을 중점적으로 고려했다”고 덧붙였다.
이어서 그는 “공단과 같은 대규모의 공공기관 중에서 인증을 취득한 기관이 없어 사전 준비과정에서 벤치마킹 사례가 부족해서 어려웠다”면서 “또한, 개인정보취급자가 공단의 거의 모든 부서에 분포돼 있어 이들 부서간의 의사소통과 이행실적 관리 등 효율적인 심사 대응에도 어려움이 많았다”고 말했다.
▲ 국민연금공단 개인정보보호부 안홍식 차장
이러한 문제를 해결하기 위해 공단은 인증기관인 한국정보화진흥원과의 수차례에 걸친 면담으로 인증심사 준비 요구사항을 면밀히 분석·확인하면서 인증획득을 위한 보다 철저한 사전준비를 진행했다. 특히, 공단 8개 부서 총 17명으로 전담 TF를 구성해 인증심사에 효과적으로 대응했다는 것.
안 차장은 “이번 인증심사를 진행하면서 인증심사수수료로 약 3천 7백만원가량이, 인증심사기간은 올해 7월∼11월까지 약 4개월이 소요됐다. 공단의 2015년 보안관련 예산은 총 78억원(정보화예산 대비 29.8%)으로, 주민번호 암호화와 정보보호 시스템 개선에 투입하고 있다”고 덧붙였다.
이번 인증 획득에 따른 가장 큰 효과는 공단의 개인정보보호 관리수준을 전면적으로 재점검해 도출된 개선사항을 보완함으로써 한층 향상된 관리수준을 구축할 수 있게 됐다는 점이다. 또한, 매년 시행될 인증유지 심사를 통해 공단의 개인정보보호 관리수준이 지속적으로 향상될 수 있도록 노력한다는 방침이다. 이와 함께 인증마크의 획득으로 국민들에게 공단의 개인정보보호 수준을 알릴 수 있어 공단에 대한 신뢰가 제고된다는 점도 구축효과로 꼽았다.
2016년에도 공단은 보안강화 사업을 꾸준히 추진해 현재 본부만 적용하고 있는 인터넷망 분리사업을 지사 전역으로 확대할 예정이다. 이러한 정보보호 강화 노력을 통해 국민들이 맡겨준 개인정보를 소중히 다루고, 어떠한 침해사고도 발생되지 않도록 최선의 노력을 다한다는 방침이다.
특히, 올 12월에 전 직원을 대상으로 공모한 개인정보보호 슬로건 중에서 우수작로 선정된 “국민연금의 1급 비밀은 바로 고객의 소중한 개인정보입니다”라는 슬로건을 기반으로 공단은 앞으로도 국민의 소중한 개인정보를 철저히 보호하기 위해 개인정보보호 관리체계를 지속적으로 점검·개선해 나갈 계획이다.
[김태형 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
