중앙행정기관인 통일부·법무부·국방부·행안부의 2019년 개인정보보호 실적
2020 개인정보보호 연차보고서에는 기관별 개인정보보호 주요 실적을 소개하고 있다. 이번에는 중앙행정기관 중 △통일부 △법무부 △국방부 △행정안전부의 2019년 개인정보보호 주요 실적을 살펴본다.
[이미지=utoimage]
1. 통일부
가. 개인정보의 안전한 관리기반 마련
통일부는 개인정보 처리 업무 특성에 따라 여러 가지 개인정보보호시스템을 운영하고 있다. 그중 하나로 통일부와 산하 공공기관 등에서 운영하고 있는 대국민 웹사이트에 이용자의 고의 또는 실수로 개인정보가 노출되는 경우 이를 탐지해 적절한 조치를 할 수 있도록 개인정보 노출모니터링시스템을 운영, 2019년 현재 21개의 웹사이트에 적용하고 있다.
또한, 개인정보 오·남용을 예방하기 위한 접속기록 통합관리시스템을 2017년부터 운영함으로써 남북교류협력시스템·이산가족정보통합시스템 등 중요 개인정보처리시스템의 접속기록을 실시간으로 수집해 분석할 수 있는 체계를 갖추고 있다. 2019년 7월부터는 매월 접속기록에 대한 점검을 통해 의심행위로 분류된 접속에 대해서는 해당 부서의 소명을 통해 통일부 개인정보보호책임자(CPO)에게 보고하고 있다.
아울러 통일 사이버안전센터 주관으로 정보시스템에 대한 24시간 365일 보안 관제, 모의해킹, 취약점 진단 등을 통해 선제적인 예방 활동을 실시하고 있다. 특히, 북한이탈주민 대상 상담 및 취업 지원 등을 담당하는 민간 위탁기관인 하나센터에 대한 사이버 위협이 지속되고 있어 전국 하나센터 네트워크를 VPN으로 통합하고 보안장비를 도입하는 등 자체 보안 인프라 구축과 더불어 2019년 1월부터는 보안관제를 실시했다.
나. 개인정보보호 컨설팅 추진을 통한 개인정보 관리수준 제고
통일부는 기관의 개인정보보호 관리수준을 높이기 위해 본부와 소속·산하기관, 하나센터(10개소) 등을 대상으로 개인정보보호 관리실태 현장점검을 2019년 6월부터 11월까지 실시했다. 각 기관에 대한 실태점검은 개인정보취급자, 개인정보처리시스템, 영상정보처리기기 등 3개의 영역으로 나누고 최근 개정된 개인정보보호 관련 법령 및 가이드라인을 참고해 실태점검 지표를 구성함으로써 내실 있게 진행했다.
특히, 개인정보보호에 취약할 수밖에 없는 하나센터 전 직원의 PC 내 개인정보 보유현황을 전수 조사해 분석된 결과를 바탕으로 개별 컨설팅을 실시했다. 개인정보보호 컨설팅 사업을 추진하는 동안 직원 개개인의 개인정보 처리 업무를 지원하기 위해 개인정보보호 관련 동향 및 참고자료를 부내 게시판을 통해 공유했으며, 개인정보보호 전문가가 상주하는 헬프데스크를 운영했다. 통일부는 개인정보보호 업무가 개인정보를 취급하는 담당자의 당연한 업무로 자리 잡을 수 있도록 지속적으로 컨설팅을 추진해 관리수준을 제고할 계획이다.
2. 법무부
가. 개인정보 유·노출 대응 체계 구축
법무부는 2015년부터 단계적으로 추진한 ‘개인정보보호 및 사이버 안전 관리체계 강화 사업’을 통해 법무부 전 기관(본부 및 198개 소속기관)의 업무망과 인터넷망 분리를 완료해 사이버 위협 및 자료 유출사고에 더욱 안전한 법무행정 환경을 마련했다. 또한, 법무사이버안전센터는 365일 실시간 보안관제를 실시하고, 개인정보처리시스템에 대한 보안 취약점 점검 및 개선, 사이버 위기대응 훈련, 개인정보 유출 모의훈련 등을 실시해 개인정보 침해사고를 사전에 예방하기 위해 최선을 다하고 있다.
나. 개인정보보호 관련 행정규칙, 내부 규정 정비
「개인정보보호법」, 「표준 개인정보 보호지침」 등 개인정보 관련 법·제도를 내부 규정(법무부 개인정보보호지침)에 반영해 업무처리 근거를 명확히 했다. 개인정보 자료 제공 기준 및 절차, 개인정보 침해사고 대응계획, 개인정보처리시스템 재해/재난 위기대응 절차 등을 마련하고, 소속기관 개인정보·정보보안 업무담당자에게 찾아가는 교육을 실시하는 등 개인정보 사고 발생 예방 및 사고 발생 시 위기대응 능력을 강화했다.
다. 개인정보보호 관리실태 점검
본부 및 소속·산하기관에 대해 상·하반기 개인정보보호 실태점검을 실시해 개인정보 관리에 대한 법적 의무사항 및 기술적 조치사항, 기관 내부관리계획 이행 여부, 개인정보 관리 현황 및 안전성 확보조치 여부 등을 점검하고 미흡한 점을 개선하도록 지원했다. 매년 개인정보파일 및 영상정보처리기기에 대한 전수조사를 실시해 보유근거 및 기간, 제3자 제공근거의 적정성을 검토·파기하고 개인정보처리시스템 접속기록 점검(매월), 전 직원 PC 개인정보 검출 및 암호화(매주) 조치 등으로 개인정보를 안전하게 보호하기 위해 지속적으로 노력하고 있다.
라. 개인정보보호담당자협의체 구성·운영
개인정보보호담당자협의체를 구성·운영(7회)해 개인정보 관련 정책 추진에 관한 사항, 개인정보처리시스템에 대한 안전성 확보 조치 방안 논의 등 담당자 간 협력체계를 강화했다. 또한, 개인정보보호 대상자별(책임자·담당자·취급자) 교육 계획 수립·시행, 학습동아리(개인정보지키미)를 통해 최신 교육자료를 공유해 직원들의 개인정보보호 전문성을 제고했다.
3. 국방부
가. ‘국방 개인정보보호 훈령’ 개정
국방부는 개인정보취급자 교육 확대 및 체계적 시행을 위해 ‘국방 개인정보보호 훈령’을 정했다. 각 군 및 기관별 업무 특성을 반영한 개인정보취급자 교육을 명시해 개인정보취급자들의 개인정보보호 인식을 제고하고자 했다. 또한, 개인정보취급자 자체교육계획을 수립하고, 교육실시 결과를 국방부에 보고하도록 함으로써 개인정보취급자 교육에 대한 관리 감독을 강화했다. 행정안전부의 「개인정보의 안전성 확보조치 기준」 개정에 따라 국방부도 ‘국방 개인정보보호 훈령’을 재개정했다. 접속기록의 항목을 추가하고 접속기록의 보관기간 및 점검주기를 ‘국방 개인정보보호 실무지침서’에서 정할 수 있게 해 개인정보보호 법령 및 고시 개정 사항을 적기에 반영할 수 있도록 했다. 이에 따라 개인정보보호 실무지침서도 개정하는 등 「개인정보 안전성 확보조치 기준」 개정사항을 반영했다.
나. 개인정보 처리실태 점검 실시
국방부는 2019년 11월, 12월 각 군 및 기관을 대상으로 개인정보 처리실태를 점검했다. 기존의 미비점을 보완한 점검표를 활용해 자체점검을 실시했으며 이를 통해 업무 담당자들의 개인정보 처리에 대한 경각심을 높이고 안전하게 업무를 처리하도록 했다. 또한, 실태 점검 시 「개인정보보호법」상 의무 준수 여부를 확인하고 미비한 점을 개선하도록 권고했다.
다. 개인정보 침해사고 대응 절차 강화
국방부는 다양한 재해·재난 상황 발생 시 개인정보 유출사고에 신속히 대응하기 위해 개인정보처리시스템 위기대응 매뉴얼을 개정했다. 초기 대응 절차를 명확히 하고 비상연락망을 최신화했으며 상황 발생 단계에 따른 임무 분담을 세분화했다. 또한, 개인정보 침해사고에 적극적으로 대응하기 위해 개인정보 침해사고 대응 절차를 강화해 국방 개인정보보호 실무지침서를 개정했다. 침해사고 발생 시 재발을 막기 위한 재발 방지 조치 계획 수립을 명시하고 피해자 불안 해소 절차를 강화했다.
4. 행정안전부
가. 행정안전부 개인정보보호 관리실태 점검
행정안전부는 개인정보보호 관리실태 점검을 정기적으로 실시하고 있다. 2019년 점검은 3월부터 5월까지 부서 자체평가 및 현장 점검 평가로 진행됐다. 개인정보파일에 대한 점검항목은 생명주기, 관리체계, 안전조치 총 3개 분야 40개 항목으로 구성돼 있다. 관리실태 점검 결과 미흡사항에 대한 보완조치 및 추가 점검을 실시하고, 현장 컨설팅을 통해 미흡사항을 개선하도록 지원했다. 그 결과 총 63건의 미흡사항 중 57건이 2019년 중 개선됐다. 이러한 노력을 바탕으로 ‘2019년 공공기관 개인정보보호 관리수준 진단’에서 총점 99.45점의 우수한 실적을 기록했다.
나. 개인정보보호 특별교육 및 소속·산하기관 실무협의회 개최
행정안전부는 개인정보보호의 주관 부처인 동시에, 주민등록번호를 포함한 전 국민의 개인정보를 관리·운용하고 있다. 따라서 개인정보보호 업무의 담당자뿐 아니라 조직 구성원 모두의 개인정보보호 인식 제고, 보호역량 강화의 필요성이 대단히 강조되고 있다. 이러한 점을 고려해 행정안전부 전 직원에 대한 개인정보보호 특별교육을 실시하기로 결정하고, 총 2차례에 걸쳐 저명한 외부 강사를 초빙해 교육을 진행했다. 2차에 걸친 교육에 총 871명의 직원이 참여해 높은 관심도를 반영했으며, 개인정보보호에 대한 인식을 새롭게 할 수 있었다는 긍정적인 평가가 있었다.
한편, 소속·산하기관 개인정보보호 업무 담당자를 대상으로 실무협의회를 개최했다. 행정안전부는 앞으로도 개인정보보호에 대한 인식 제고와 보호 업무의 원활한 추진을 위해 직원 교육 및 지원 대책을 적극적으로 추진할 계획이다.
[자료=2020 개인정보보호 연차보고서, 정리=박미영 기자]
2020 개인정보보호 연차보고서에는 기관별 개인정보보호 주요 실적을 소개하고 있다. 이번에는 중앙행정기관 중 △통일부 △법무부 △국방부 △행정안전부의 2019년 개인정보보호 주요 실적을 살펴본다.
[이미지=utoimage]
1. 통일부
가. 개인정보의 안전한 관리기반 마련
통일부는 개인정보 처리 업무 특성에 따라 여러 가지 개인정보보호시스템을 운영하고 있다. 그중 하나로 통일부와 산하 공공기관 등에서 운영하고 있는 대국민 웹사이트에 이용자의 고의 또는 실수로 개인정보가 노출되는 경우 이를 탐지해 적절한 조치를 할 수 있도록 개인정보 노출모니터링시스템을 운영, 2019년 현재 21개의 웹사이트에 적용하고 있다.
또한, 개인정보 오·남용을 예방하기 위한 접속기록 통합관리시스템을 2017년부터 운영함으로써 남북교류협력시스템·이산가족정보통합시스템 등 중요 개인정보처리시스템의 접속기록을 실시간으로 수집해 분석할 수 있는 체계를 갖추고 있다. 2019년 7월부터는 매월 접속기록에 대한 점검을 통해 의심행위로 분류된 접속에 대해서는 해당 부서의 소명을 통해 통일부 개인정보보호책임자(CPO)에게 보고하고 있다.
아울러 통일 사이버안전센터 주관으로 정보시스템에 대한 24시간 365일 보안 관제, 모의해킹, 취약점 진단 등을 통해 선제적인 예방 활동을 실시하고 있다. 특히, 북한이탈주민 대상 상담 및 취업 지원 등을 담당하는 민간 위탁기관인 하나센터에 대한 사이버 위협이 지속되고 있어 전국 하나센터 네트워크를 VPN으로 통합하고 보안장비를 도입하는 등 자체 보안 인프라 구축과 더불어 2019년 1월부터는 보안관제를 실시했다.
나. 개인정보보호 컨설팅 추진을 통한 개인정보 관리수준 제고
통일부는 기관의 개인정보보호 관리수준을 높이기 위해 본부와 소속·산하기관, 하나센터(10개소) 등을 대상으로 개인정보보호 관리실태 현장점검을 2019년 6월부터 11월까지 실시했다. 각 기관에 대한 실태점검은 개인정보취급자, 개인정보처리시스템, 영상정보처리기기 등 3개의 영역으로 나누고 최근 개정된 개인정보보호 관련 법령 및 가이드라인을 참고해 실태점검 지표를 구성함으로써 내실 있게 진행했다.
특히, 개인정보보호에 취약할 수밖에 없는 하나센터 전 직원의 PC 내 개인정보 보유현황을 전수 조사해 분석된 결과를 바탕으로 개별 컨설팅을 실시했다. 개인정보보호 컨설팅 사업을 추진하는 동안 직원 개개인의 개인정보 처리 업무를 지원하기 위해 개인정보보호 관련 동향 및 참고자료를 부내 게시판을 통해 공유했으며, 개인정보보호 전문가가 상주하는 헬프데스크를 운영했다. 통일부는 개인정보보호 업무가 개인정보를 취급하는 담당자의 당연한 업무로 자리 잡을 수 있도록 지속적으로 컨설팅을 추진해 관리수준을 제고할 계획이다.
2. 법무부
가. 개인정보 유·노출 대응 체계 구축
법무부는 2015년부터 단계적으로 추진한 ‘개인정보보호 및 사이버 안전 관리체계 강화 사업’을 통해 법무부 전 기관(본부 및 198개 소속기관)의 업무망과 인터넷망 분리를 완료해 사이버 위협 및 자료 유출사고에 더욱 안전한 법무행정 환경을 마련했다. 또한, 법무사이버안전센터는 365일 실시간 보안관제를 실시하고, 개인정보처리시스템에 대한 보안 취약점 점검 및 개선, 사이버 위기대응 훈련, 개인정보 유출 모의훈련 등을 실시해 개인정보 침해사고를 사전에 예방하기 위해 최선을 다하고 있다.
나. 개인정보보호 관련 행정규칙, 내부 규정 정비
「개인정보보호법」, 「표준 개인정보 보호지침」 등 개인정보 관련 법·제도를 내부 규정(법무부 개인정보보호지침)에 반영해 업무처리 근거를 명확히 했다. 개인정보 자료 제공 기준 및 절차, 개인정보 침해사고 대응계획, 개인정보처리시스템 재해/재난 위기대응 절차 등을 마련하고, 소속기관 개인정보·정보보안 업무담당자에게 찾아가는 교육을 실시하는 등 개인정보 사고 발생 예방 및 사고 발생 시 위기대응 능력을 강화했다.
다. 개인정보보호 관리실태 점검
본부 및 소속·산하기관에 대해 상·하반기 개인정보보호 실태점검을 실시해 개인정보 관리에 대한 법적 의무사항 및 기술적 조치사항, 기관 내부관리계획 이행 여부, 개인정보 관리 현황 및 안전성 확보조치 여부 등을 점검하고 미흡한 점을 개선하도록 지원했다. 매년 개인정보파일 및 영상정보처리기기에 대한 전수조사를 실시해 보유근거 및 기간, 제3자 제공근거의 적정성을 검토·파기하고 개인정보처리시스템 접속기록 점검(매월), 전 직원 PC 개인정보 검출 및 암호화(매주) 조치 등으로 개인정보를 안전하게 보호하기 위해 지속적으로 노력하고 있다.
라. 개인정보보호담당자협의체 구성·운영
개인정보보호담당자협의체를 구성·운영(7회)해 개인정보 관련 정책 추진에 관한 사항, 개인정보처리시스템에 대한 안전성 확보 조치 방안 논의 등 담당자 간 협력체계를 강화했다. 또한, 개인정보보호 대상자별(책임자·담당자·취급자) 교육 계획 수립·시행, 학습동아리(개인정보지키미)를 통해 최신 교육자료를 공유해 직원들의 개인정보보호 전문성을 제고했다.
3. 국방부
가. ‘국방 개인정보보호 훈령’ 개정
국방부는 개인정보취급자 교육 확대 및 체계적 시행을 위해 ‘국방 개인정보보호 훈령’을 정했다. 각 군 및 기관별 업무 특성을 반영한 개인정보취급자 교육을 명시해 개인정보취급자들의 개인정보보호 인식을 제고하고자 했다. 또한, 개인정보취급자 자체교육계획을 수립하고, 교육실시 결과를 국방부에 보고하도록 함으로써 개인정보취급자 교육에 대한 관리 감독을 강화했다. 행정안전부의 「개인정보의 안전성 확보조치 기준」 개정에 따라 국방부도 ‘국방 개인정보보호 훈령’을 재개정했다. 접속기록의 항목을 추가하고 접속기록의 보관기간 및 점검주기를 ‘국방 개인정보보호 실무지침서’에서 정할 수 있게 해 개인정보보호 법령 및 고시 개정 사항을 적기에 반영할 수 있도록 했다. 이에 따라 개인정보보호 실무지침서도 개정하는 등 「개인정보 안전성 확보조치 기준」 개정사항을 반영했다.
나. 개인정보 처리실태 점검 실시
국방부는 2019년 11월, 12월 각 군 및 기관을 대상으로 개인정보 처리실태를 점검했다. 기존의 미비점을 보완한 점검표를 활용해 자체점검을 실시했으며 이를 통해 업무 담당자들의 개인정보 처리에 대한 경각심을 높이고 안전하게 업무를 처리하도록 했다. 또한, 실태 점검 시 「개인정보보호법」상 의무 준수 여부를 확인하고 미비한 점을 개선하도록 권고했다.
다. 개인정보 침해사고 대응 절차 강화
국방부는 다양한 재해·재난 상황 발생 시 개인정보 유출사고에 신속히 대응하기 위해 개인정보처리시스템 위기대응 매뉴얼을 개정했다. 초기 대응 절차를 명확히 하고 비상연락망을 최신화했으며 상황 발생 단계에 따른 임무 분담을 세분화했다. 또한, 개인정보 침해사고에 적극적으로 대응하기 위해 개인정보 침해사고 대응 절차를 강화해 국방 개인정보보호 실무지침서를 개정했다. 침해사고 발생 시 재발을 막기 위한 재발 방지 조치 계획 수립을 명시하고 피해자 불안 해소 절차를 강화했다.
4. 행정안전부
가. 행정안전부 개인정보보호 관리실태 점검
행정안전부는 개인정보보호 관리실태 점검을 정기적으로 실시하고 있다. 2019년 점검은 3월부터 5월까지 부서 자체평가 및 현장 점검 평가로 진행됐다. 개인정보파일에 대한 점검항목은 생명주기, 관리체계, 안전조치 총 3개 분야 40개 항목으로 구성돼 있다. 관리실태 점검 결과 미흡사항에 대한 보완조치 및 추가 점검을 실시하고, 현장 컨설팅을 통해 미흡사항을 개선하도록 지원했다. 그 결과 총 63건의 미흡사항 중 57건이 2019년 중 개선됐다. 이러한 노력을 바탕으로 ‘2019년 공공기관 개인정보보호 관리수준 진단’에서 총점 99.45점의 우수한 실적을 기록했다.
나. 개인정보보호 특별교육 및 소속·산하기관 실무협의회 개최
행정안전부는 개인정보보호의 주관 부처인 동시에, 주민등록번호를 포함한 전 국민의 개인정보를 관리·운용하고 있다. 따라서 개인정보보호 업무의 담당자뿐 아니라 조직 구성원 모두의 개인정보보호 인식 제고, 보호역량 강화의 필요성이 대단히 강조되고 있다. 이러한 점을 고려해 행정안전부 전 직원에 대한 개인정보보호 특별교육을 실시하기로 결정하고, 총 2차례에 걸쳐 저명한 외부 강사를 초빙해 교육을 진행했다. 2차에 걸친 교육에 총 871명의 직원이 참여해 높은 관심도를 반영했으며, 개인정보보호에 대한 인식을 새롭게 할 수 있었다는 긍정적인 평가가 있었다.
한편, 소속·산하기관 개인정보보호 업무 담당자를 대상으로 실무협의회를 개최했다. 행정안전부는 앞으로도 개인정보보호에 대한 인식 제고와 보호 업무의 원활한 추진을 위해 직원 교육 및 지원 대책을 적극적으로 추진할 계획이다.
[자료=2020 개인정보보호 연차보고서, 정리=박미영 기자]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
