개인정보위, 공공분야 집중관리시스템 전수점검 ‘36개 기관에 시정권고’

개인정보보호위원회(위원장 송경희, 이하 개인정보위)는 제23회 전체회의에서 공공분야 집중관리시스템 57개를 운영하는 38개 기관의 점검을 마치고, 일부 의무 이행이 미흡한 36개 기관에 시정권고를 내렸다고 21일 밝혔다.

집중관리시스템은 개인정보 100만건 이상을 보유하거나 취급자가 200명 이상인 대규모 처리 시스템으로, 민감정보·주민등록번호 등 특수 유형의 개인정보를 다루는 곳이 포함된다. 개인정보위는 2023년부터 3년간 강화된 안전조치 의무 이행 여부를 집중적으로 점검해 왔다.

올해 점검은 4월부터 10월까지 약 7개월간 서면조사와 현장조사 방식으로 진행됐으며 사전 실태점검 후 시정권고 절차를 적용했다. 10대 과제를 모두 이행한 기관은 국세청과 한국부동산원 두 곳이었다.

점검에서는 ▲국토교통부 주택소유확인시스템 ▲한국전력공사 송변전보상지원시스템 ▲국세청 세정업무포털이 우수사례로 선정됐다. 국토부는 새벽 시간대 조회·다운로드량 등 구체적인 이상행위 기준을 마련하고 협의회 구성에도 시스템 특성을 반영했다. 한국전력공사는 비공무원 계정 발급 절차를 시스템화하고 보안서약서를 팝업으로 징구하는 기능을 도입했다. 국세청은 사전·사후보고 기능을 모두 운영하고, 부적정 접속기록이 확인될 경우 징계·고발까지 연계하는 체계를 구축했다.

3개년 점검 종합 결과, 시스템 관리체계와 인력·시스템 확충 분야는 이행률이 크게 개선됐다. 협의회 설치는 34%에서 91%로, 안전조치방안 수립은 48%에서 95%로 각각 상승했다. 전담인력은 기관 평균 1.7명에서 2.7명으로 늘었다.

접근권한 관리 분야도 전반적인 개선이 있었으나, 이용기관의 인지 부족 등으로 ‘접근권한 현행화’는 이행률이 30% 수준에 머물렀다.

접속기록 점검 분야에서는 이상행위 탐지·접속기록 점검이 점진적으로 개선됐으나, 기능 도입에 필요한 예산 확보 어려움 등으로 다른 분야에 비해 개선 속도가 다소 느렸다.

개인정보위는 내년부터 집중관리시스템 대상 기관을 ‘공공기관 보호수준 평가’ 체계로 전환해 상시 점검을 진행할 계획이다. 아울러 반복되는 공공기관 개인정보 유출 사고에 대응하기 위해 모의해킹 등 필수 점검 항목을 강화하고, 인적 과실·웹 취약점·관리 사각지대 등 주요 취약점 유형을 중심으로 맞춤형 개선 조치도 확대한다.

국가정보자원관리원 대전센터 화재와 관련해서는 ‘개인정보 안전관리 특별컨설팅’을 시행하고 있다. 현재 한국장례문화진흥원의 ‘e하늘장사정보시스템’과 한국사회보장정보원의 디지털돌봄시스템 등 3개 시스템에 대해 백업·복구 계획과 외부 불법접근 대응 방안을 점검 중이며, 추가 신청 기관에도 컨설팅을 지원할 예정이다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network