중앙행정기관인 해양수산부·중기부·국세청·관세청·조달청의 2019년 개인정보보호 실적
2020 개인정보보호 연차보고서에서는 기관별 개인정보보호 주요 실적을 소개하고 있다. 중앙행정기관 중 △해양수산부 △중소벤처기업부 △국세청 △관세청 △조달청의 개인정보보호 주요 실적을 살펴본다.
[이미지=utoimage]
1. 해양수산부
가. 해양수산 분야 개인정보 관리 및 실태점검 대비 매뉴얼 제작·배포
해양수산부는 본부 및 소속·산하기관이 안전한 개인정보 관리와 개인정보 처리를 위해 자체점검을 실시하고, 행정안전부의 실태점검 및 관리수준 진단에 대비할 수 있도록 개인정보처리실태 점검 주요 항목별(총 25개 분야 82개 세부 항목) 매뉴얼을 제작해 배포했다.
나. 해양수산부 개인정보보호 관리체계 강화 사업 추진
해양수산 분야 개인정보관리의 미흡 사항 파악 및 개선 지원 등 해양수산부 개인정보보호관리체계 강화 사업을 추진했다. 동 사업을 통해 본부와 소속·산하기관의 개인정보보호 관리수준 진단 대응 지원, 개인정보처리 실태 자체점검 지원, 개인정보보호 교육 및 컨설팅을 제공했다. 그 결과 본부와 소속·산하기관의 개인정보보호 관리체계 미흡사항을 개선하고 수준 진단 대응력을 향상할 수 있었다.
다. 해양수산 분야 개인정보처리 실태 자체 점검
해양수산 분야 39개 기관(본부, 소속·산하기관)의 개인정보 안전성 확보 및 관리수준 제고를 위해 개인정보 처리실태 점검을 실시했다. 전체 39개 기관을 대상으로 1차 서면점검(25개 분야, 82개 항목)을, 미흡기관 등을 대상으로 2차 현장점검(15개 기관)을 실시했다. 개인정보의 수집, 이용 및 동의, 파기, 고유식별정보 처리 등 분야별 실태 점검표(82개 항목)를 기준으로 전화 및 방문 컨설팅·교육을 진행했다. 점검 후 미흡기관에 대해선 미흡 사항 개선 조치를 요청하고, 우수기관에 대해서는 장관 포상 등 인센티브를 부여함으로써 개인정보담당자의 업무 의욕을 고취했다.
2. 중소벤처기업부
가. 개인정보보호 관리수준 진단 수준 대폭 상승
중소벤처기업부는 개인정보 관리수준 우수부처 및 우수기관을 대상으로 벤치마킹을 실시하고, 한국인터넷진흥원의 사전 컨설팅을 통해 미흡했던 관리수준 진단항목을 집중 개선했다. 이러한 노력에 힘입어 2019년 개인정보 관리수준 진단평가 결과가 2018년 ‘미흡’에서 2019년 ‘양호’로 크게 향상됐다. 또한, 개인정보보호책임자 주도로 전 직원 대상 교육·홍보를 실시하고, 소속·산하기관 대상 개인정보 관리실태 점검을 통해 개인정보보호 수준 향상을 지속적으로 도모하고 있다.
나. 개인정보 처리실태 관리·감독 확대를 통한 기관별 관리수준 강화
중소벤처기업부는 소속·산하기관 대상의 개인정보 관리실태 점검을 기존 선별점검에서 전수 현장점검으로 강화하고, 2018년 공공기관으로 신규 지정된 2개 기관(장애인기업종합지원센터, 공영홈쇼핑)에 대해서는 개선 필요 사항에 대한 컨설팅 및 지속적인 관리를 실시했다. 그 결과 2019년 개인정보 관리수준 진단평가에서 장애인기업종합지원센터는 2018년 ‘보통’ 대비 2019년 ‘우수’ 등급을 받았고, 공영홈쇼핑도 2018년 ‘미흡’에서 2019년 ‘보통’ 등급으로 향상됐다.
다. 개인정보보호 기반 마련을 위한 인력·예산 확보
2018년에는 중소벤처기업부 내 개인정보보호담당자가 1명이었으나, 2019년에는 실무인력 1명을 확충했다. 이 외에도 2019년 개인정보 관련 예산을 2018년 7억9,000만원 대비 814% 증가한 72억2,800만원(보호시스템 운영 72억1,900만원, 교육 및 홍보 900만원)으로 편성했다.
3. 국세청
가. 빅데이터 분석 환경 구축을 위한 개인정보보호 체계 마련
국세청은 2019년 ‘국세청 빅데이터센터’ 조직 신설에 따라 직원들이 안전하게 데이터를 분석·활용할 수 있도록 별도의 개인정보보호 지침을 마련했다. 빅데이터 활용에 필요한 개인정보의 안전한 관리·사용을 위해 2019년 8월 국세청 환경에 부합되는 ‘빅데이터 개인정보 관리 방안’을 제정했고 데이터 활용에 대한 사전 적정성 평가를 위해 외부 전문위원이 포함된 ‘국세청 비식별 조치 적정성 평가위원회’를 구성해 평가회의를 개최(12월)했다.
나. 필요 최소한의 개인정보 수집 및 불필요 개인정보에 대한 파기
국세청은 정보주체로부터 개인정보의 수집 동의를 받을 때 동의서의 중요한 내용을 정보주체가 명확히 확인 가능하도록 하기 위해 관련 부서들과 기존 민원서식에 대한 검토를 실시해 ‘국세 증명발급 등 민원신청서’를 포함한 국세청 민원서식 4종을 개정·시행(7월)했고, 인터넷 홈택스 서비스 ‘민원증명 발급예약’의 수집·동의 사항인 개인정보 수집·이용내역을 개선해 정보주체가 명확하게 알 수 있도록 했다. 또한, 연말정산 간소화 서비스, 취업 후 학자금 상환 서비스(ICL) 등 국세청 대민 인터넷 서비스의 보유 개인정보는 보유기간 경과 후 즉시 파기해 수집된 개인정보를 안전하게 관리하고, 보안시스템을 통해 국세청 전 직원 업무용 PC의 개인정보파일에 대해 주기적으로 자동 암호화하고 불필요한 파일은 삭제했다.
다. 개인정보보호 의식 생활화 위해 온라인을 통한 교육·평가 등 강화
국세청은 직원들의 개인정보보호 의식 생활화를 위해 온라인을 이용한 사이버교육, 단문메시지 전송 및 온라인 평가를 실시했다. 각 관서 개인정보보호담당자는 인터넷 사이트 ‘개인정보보호 종합포털’ 및 ‘나라배움터’에서 개인정보보호 사이버과정을 수료(4~5월)했고, 4급 이상 관리자는 ‘나라배움터’에서 개인정보보호 사이버과정을 수료(4~5월)했다. 또한, 개인정보보호 의식 수준 제고를 위해 개인정보보호와 관련한 최근 이슈와 꼭 지켜야 할 사항 등을 매주 수요일 단문메시지로 전 직원에게 전송(연간 총 48회)하는 한편, 개인정보보호 관련 법령·규정과 필수 수칙에 대한 온라인 평가를 2019년 상반기·하반기 총 2회 실시(5월, 11월)하고 그 결과는 관서장 성과평가에 반영했다.
4. 관세청
가. 개인정보보호 정책 및 제도 개선
관세청은 2019년 5월 재해복구시스템 가동 절차 및 국가정보자원관리원 장애 대응 세부 절차 변경 사항 등을 반영해 ‘정보시스템 위기대응 실무 매뉴얼’을 개정했다. 이를 통해 재해·재난 등 전산시스템 위기상황 발생 시 효과적인 대응태세 확립을 위한 토대를 마련했다. 또한, 해킹 등에 의한 개인정보 침해 시도 또는 사고 발생에 효과적으로 대응하기 위해 ‘개인정보 침해사고 대응지침’을 개정(6월)했다.
나. 개인정보보호시스템 운영
관세청은 개인정보통합관제시스템을 연중 운영함으로써 각종 개인정보 유출 위험을 사전에 감지하는 등 선제적 보호조치를 수행하고 있다. 또한, 영상정보 확인장소 분리 및 보관기간 수정 등의 내용을 담은 ‘영상정보처리기기 운영·관리 방침’을 개정해 개인정보 유·노출 대응을 강화했다. 아울러 업무용 PC에 저장된 개인정보파일을 매주 주기적으로 점검해 강제 암호화했다. 소속기관 보안관리실태 지도점검을 실시해 정보보안 업무 수행 및 「개인정보보호법」 준수 여부를 점검하고 위반 사항에 대해 개선하도록 지도했다.
개인정보가 포함돼 문서 보안(DRM)이 적용된 파일을 외부로 반출하는 경우 이메일 인증방식을 적용해 특정 수신자만 사용 가능하도록 사용자 제한 조치(4월)를 실시했다. 또한 개인정보처리시스템에 대한 업무 목적 외 불필요한 접근을 최소화하고, 인가되지 않은 접근을 차단하는 등 접근권한 관리의 기준 및 절차를 수립(6월)했으며, 개인정보 처리 업무 수탁업체를 대상으로 개인정보 처리 실태를 점검(6월)했다.
다. 개인정보보호 교육·홍보
개인정보보호 업무담당자들이 평소 업무에 활용할 수 있도록 관련 규정과 참고자료로 구성된 개인정보보호 업무가이드를 전자책(e-Book)으로 제작·배포했다. 또한, 공공기관 개인정보 유출 사례를 소속기관에 전파해 전 직원이 평소에도 개인정보보호에 만전을 기하도록 했으며, 직원 및 수탁업체를 대상으로 최근 사이버 위협 및 대응방안·「개인정보보호법」 준수사항 및 안전성 확보조치에 대해 전문가 초빙 특별교육을 실시(6월)했다.
5. 조달청
가. 개인정보보호 정책 및 제도 개선
2019년 6월 「개인정보의 안전성 확보조치 기준」이 개정됨에 따라 개인정보처리시스템 접속기록 강화 등의 내용을 조달청 개인정보 내부관리계획에 반영했으며, 분야별 개인정보보호 관리자 용어 정리 등을 통해 개인정보보호담당자와 부서 관리자의 업무 책임을 명확히 구분했다. 또한, 그동안 정보보안 분야에서만 진행했던 신규 정보화 사업 보안성 검토를 개인정보보호 분야에도 확대해 신규 개인정보처리시스템 개발 사업에서 개인정보 수집동의, 개인정보파일 등록 등 개인정보보호 관련 필요 사항을 검토하는 절차를 도입했다.
나. 개인정보보호시스템 운영
개인정보처리시스템의 보안 취약점 제거를 위해 전문업체의 취약점 자체점검을 수행해 11개 시스템에서 20건의 취약점을 발견해 보안 조치했으며, 국가정보자원관리원과 국가정보원의 취약점 점검을 받아 21건의 취약점을 제거하는 등 개인정보처리시스템의 침해위협 예방 활동을 활발히 수행해 정보주체의 개인정보가 해킹 위협으로부터 유출되는 것을 방지하고 있다. 또한, 개인정보 유·노출 방지를 위해서 ‘서버·DB 개인정보 탐지솔루션’ ‘PC 개인정보 탐지솔루션’ ‘게시판 개인정보 업로드 방지시스템’ 등 3종의 개인정보보호 솔루션을 운영하고 있으며, 개인정보의 오·남용 방지 및 개인정보 유출 경로 추적을 위한 ‘개인정보처리시스템 접속기록 솔루션’을 운영하고 있다.
다. 개인정보보호 교육·홍보
조달청은 직원들의 개인정보보호 의식 향상을 위해 전문 강사를 초빙해 집체교육을 실시했다. 특히, 지방조달청과 교대근무로 인해 참석이 어려운 콜센터 직원을 대상으로 집체교육 녹화 동영상을 활용한 교육을 실시하는 등 모든 직원이 교육에 참여할 수 있는 여건을 마련했다. 그리고 개인정보보호 관련 내부규정을 모든 직원이 열람 가능하도록 업무포털 게시판과 정보보안·개인정보보호 전용 시스템 공지사항에 게시했으며, 규정 개정 시에는 전 부서에 공문을 발송해 직원들이 관련 규정을 준수할 수 있도록 독려했다.
[자료=2020 개인정보보호 연차보고서, 정리=박미영 기자]
2020 개인정보보호 연차보고서에서는 기관별 개인정보보호 주요 실적을 소개하고 있다. 중앙행정기관 중 △해양수산부 △중소벤처기업부 △국세청 △관세청 △조달청의 개인정보보호 주요 실적을 살펴본다.
[이미지=utoimage]
1. 해양수산부
가. 해양수산 분야 개인정보 관리 및 실태점검 대비 매뉴얼 제작·배포
해양수산부는 본부 및 소속·산하기관이 안전한 개인정보 관리와 개인정보 처리를 위해 자체점검을 실시하고, 행정안전부의 실태점검 및 관리수준 진단에 대비할 수 있도록 개인정보처리실태 점검 주요 항목별(총 25개 분야 82개 세부 항목) 매뉴얼을 제작해 배포했다.
나. 해양수산부 개인정보보호 관리체계 강화 사업 추진
해양수산 분야 개인정보관리의 미흡 사항 파악 및 개선 지원 등 해양수산부 개인정보보호관리체계 강화 사업을 추진했다. 동 사업을 통해 본부와 소속·산하기관의 개인정보보호 관리수준 진단 대응 지원, 개인정보처리 실태 자체점검 지원, 개인정보보호 교육 및 컨설팅을 제공했다. 그 결과 본부와 소속·산하기관의 개인정보보호 관리체계 미흡사항을 개선하고 수준 진단 대응력을 향상할 수 있었다.
다. 해양수산 분야 개인정보처리 실태 자체 점검
해양수산 분야 39개 기관(본부, 소속·산하기관)의 개인정보 안전성 확보 및 관리수준 제고를 위해 개인정보 처리실태 점검을 실시했다. 전체 39개 기관을 대상으로 1차 서면점검(25개 분야, 82개 항목)을, 미흡기관 등을 대상으로 2차 현장점검(15개 기관)을 실시했다. 개인정보의 수집, 이용 및 동의, 파기, 고유식별정보 처리 등 분야별 실태 점검표(82개 항목)를 기준으로 전화 및 방문 컨설팅·교육을 진행했다. 점검 후 미흡기관에 대해선 미흡 사항 개선 조치를 요청하고, 우수기관에 대해서는 장관 포상 등 인센티브를 부여함으로써 개인정보담당자의 업무 의욕을 고취했다.
2. 중소벤처기업부
가. 개인정보보호 관리수준 진단 수준 대폭 상승
중소벤처기업부는 개인정보 관리수준 우수부처 및 우수기관을 대상으로 벤치마킹을 실시하고, 한국인터넷진흥원의 사전 컨설팅을 통해 미흡했던 관리수준 진단항목을 집중 개선했다. 이러한 노력에 힘입어 2019년 개인정보 관리수준 진단평가 결과가 2018년 ‘미흡’에서 2019년 ‘양호’로 크게 향상됐다. 또한, 개인정보보호책임자 주도로 전 직원 대상 교육·홍보를 실시하고, 소속·산하기관 대상 개인정보 관리실태 점검을 통해 개인정보보호 수준 향상을 지속적으로 도모하고 있다.
나. 개인정보 처리실태 관리·감독 확대를 통한 기관별 관리수준 강화
중소벤처기업부는 소속·산하기관 대상의 개인정보 관리실태 점검을 기존 선별점검에서 전수 현장점검으로 강화하고, 2018년 공공기관으로 신규 지정된 2개 기관(장애인기업종합지원센터, 공영홈쇼핑)에 대해서는 개선 필요 사항에 대한 컨설팅 및 지속적인 관리를 실시했다. 그 결과 2019년 개인정보 관리수준 진단평가에서 장애인기업종합지원센터는 2018년 ‘보통’ 대비 2019년 ‘우수’ 등급을 받았고, 공영홈쇼핑도 2018년 ‘미흡’에서 2019년 ‘보통’ 등급으로 향상됐다.
다. 개인정보보호 기반 마련을 위한 인력·예산 확보
2018년에는 중소벤처기업부 내 개인정보보호담당자가 1명이었으나, 2019년에는 실무인력 1명을 확충했다. 이 외에도 2019년 개인정보 관련 예산을 2018년 7억9,000만원 대비 814% 증가한 72억2,800만원(보호시스템 운영 72억1,900만원, 교육 및 홍보 900만원)으로 편성했다.
3. 국세청
가. 빅데이터 분석 환경 구축을 위한 개인정보보호 체계 마련
국세청은 2019년 ‘국세청 빅데이터센터’ 조직 신설에 따라 직원들이 안전하게 데이터를 분석·활용할 수 있도록 별도의 개인정보보호 지침을 마련했다. 빅데이터 활용에 필요한 개인정보의 안전한 관리·사용을 위해 2019년 8월 국세청 환경에 부합되는 ‘빅데이터 개인정보 관리 방안’을 제정했고 데이터 활용에 대한 사전 적정성 평가를 위해 외부 전문위원이 포함된 ‘국세청 비식별 조치 적정성 평가위원회’를 구성해 평가회의를 개최(12월)했다.
나. 필요 최소한의 개인정보 수집 및 불필요 개인정보에 대한 파기
국세청은 정보주체로부터 개인정보의 수집 동의를 받을 때 동의서의 중요한 내용을 정보주체가 명확히 확인 가능하도록 하기 위해 관련 부서들과 기존 민원서식에 대한 검토를 실시해 ‘국세 증명발급 등 민원신청서’를 포함한 국세청 민원서식 4종을 개정·시행(7월)했고, 인터넷 홈택스 서비스 ‘민원증명 발급예약’의 수집·동의 사항인 개인정보 수집·이용내역을 개선해 정보주체가 명확하게 알 수 있도록 했다. 또한, 연말정산 간소화 서비스, 취업 후 학자금 상환 서비스(ICL) 등 국세청 대민 인터넷 서비스의 보유 개인정보는 보유기간 경과 후 즉시 파기해 수집된 개인정보를 안전하게 관리하고, 보안시스템을 통해 국세청 전 직원 업무용 PC의 개인정보파일에 대해 주기적으로 자동 암호화하고 불필요한 파일은 삭제했다.
다. 개인정보보호 의식 생활화 위해 온라인을 통한 교육·평가 등 강화
국세청은 직원들의 개인정보보호 의식 생활화를 위해 온라인을 이용한 사이버교육, 단문메시지 전송 및 온라인 평가를 실시했다. 각 관서 개인정보보호담당자는 인터넷 사이트 ‘개인정보보호 종합포털’ 및 ‘나라배움터’에서 개인정보보호 사이버과정을 수료(4~5월)했고, 4급 이상 관리자는 ‘나라배움터’에서 개인정보보호 사이버과정을 수료(4~5월)했다. 또한, 개인정보보호 의식 수준 제고를 위해 개인정보보호와 관련한 최근 이슈와 꼭 지켜야 할 사항 등을 매주 수요일 단문메시지로 전 직원에게 전송(연간 총 48회)하는 한편, 개인정보보호 관련 법령·규정과 필수 수칙에 대한 온라인 평가를 2019년 상반기·하반기 총 2회 실시(5월, 11월)하고 그 결과는 관서장 성과평가에 반영했다.
4. 관세청
가. 개인정보보호 정책 및 제도 개선
관세청은 2019년 5월 재해복구시스템 가동 절차 및 국가정보자원관리원 장애 대응 세부 절차 변경 사항 등을 반영해 ‘정보시스템 위기대응 실무 매뉴얼’을 개정했다. 이를 통해 재해·재난 등 전산시스템 위기상황 발생 시 효과적인 대응태세 확립을 위한 토대를 마련했다. 또한, 해킹 등에 의한 개인정보 침해 시도 또는 사고 발생에 효과적으로 대응하기 위해 ‘개인정보 침해사고 대응지침’을 개정(6월)했다.
나. 개인정보보호시스템 운영
관세청은 개인정보통합관제시스템을 연중 운영함으로써 각종 개인정보 유출 위험을 사전에 감지하는 등 선제적 보호조치를 수행하고 있다. 또한, 영상정보 확인장소 분리 및 보관기간 수정 등의 내용을 담은 ‘영상정보처리기기 운영·관리 방침’을 개정해 개인정보 유·노출 대응을 강화했다. 아울러 업무용 PC에 저장된 개인정보파일을 매주 주기적으로 점검해 강제 암호화했다. 소속기관 보안관리실태 지도점검을 실시해 정보보안 업무 수행 및 「개인정보보호법」 준수 여부를 점검하고 위반 사항에 대해 개선하도록 지도했다.
개인정보가 포함돼 문서 보안(DRM)이 적용된 파일을 외부로 반출하는 경우 이메일 인증방식을 적용해 특정 수신자만 사용 가능하도록 사용자 제한 조치(4월)를 실시했다. 또한 개인정보처리시스템에 대한 업무 목적 외 불필요한 접근을 최소화하고, 인가되지 않은 접근을 차단하는 등 접근권한 관리의 기준 및 절차를 수립(6월)했으며, 개인정보 처리 업무 수탁업체를 대상으로 개인정보 처리 실태를 점검(6월)했다.
다. 개인정보보호 교육·홍보
개인정보보호 업무담당자들이 평소 업무에 활용할 수 있도록 관련 규정과 참고자료로 구성된 개인정보보호 업무가이드를 전자책(e-Book)으로 제작·배포했다. 또한, 공공기관 개인정보 유출 사례를 소속기관에 전파해 전 직원이 평소에도 개인정보보호에 만전을 기하도록 했으며, 직원 및 수탁업체를 대상으로 최근 사이버 위협 및 대응방안·「개인정보보호법」 준수사항 및 안전성 확보조치에 대해 전문가 초빙 특별교육을 실시(6월)했다.
5. 조달청
가. 개인정보보호 정책 및 제도 개선
2019년 6월 「개인정보의 안전성 확보조치 기준」이 개정됨에 따라 개인정보처리시스템 접속기록 강화 등의 내용을 조달청 개인정보 내부관리계획에 반영했으며, 분야별 개인정보보호 관리자 용어 정리 등을 통해 개인정보보호담당자와 부서 관리자의 업무 책임을 명확히 구분했다. 또한, 그동안 정보보안 분야에서만 진행했던 신규 정보화 사업 보안성 검토를 개인정보보호 분야에도 확대해 신규 개인정보처리시스템 개발 사업에서 개인정보 수집동의, 개인정보파일 등록 등 개인정보보호 관련 필요 사항을 검토하는 절차를 도입했다.
나. 개인정보보호시스템 운영
개인정보처리시스템의 보안 취약점 제거를 위해 전문업체의 취약점 자체점검을 수행해 11개 시스템에서 20건의 취약점을 발견해 보안 조치했으며, 국가정보자원관리원과 국가정보원의 취약점 점검을 받아 21건의 취약점을 제거하는 등 개인정보처리시스템의 침해위협 예방 활동을 활발히 수행해 정보주체의 개인정보가 해킹 위협으로부터 유출되는 것을 방지하고 있다. 또한, 개인정보 유·노출 방지를 위해서 ‘서버·DB 개인정보 탐지솔루션’ ‘PC 개인정보 탐지솔루션’ ‘게시판 개인정보 업로드 방지시스템’ 등 3종의 개인정보보호 솔루션을 운영하고 있으며, 개인정보의 오·남용 방지 및 개인정보 유출 경로 추적을 위한 ‘개인정보처리시스템 접속기록 솔루션’을 운영하고 있다.
다. 개인정보보호 교육·홍보
조달청은 직원들의 개인정보보호 의식 향상을 위해 전문 강사를 초빙해 집체교육을 실시했다. 특히, 지방조달청과 교대근무로 인해 참석이 어려운 콜센터 직원을 대상으로 집체교육 녹화 동영상을 활용한 교육을 실시하는 등 모든 직원이 교육에 참여할 수 있는 여건을 마련했다. 그리고 개인정보보호 관련 내부규정을 모든 직원이 열람 가능하도록 업무포털 게시판과 정보보안·개인정보보호 전용 시스템 공지사항에 게시했으며, 규정 개정 시에는 전 부서에 공문을 발송해 직원들이 관련 규정을 준수할 수 있도록 독려했다.
[자료=2020 개인정보보호 연차보고서, 정리=박미영 기자]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
