개인정보보호위원회는 9월 11일 제15회 전체회의에서, 부동산·지방세 등 전국 공통 사용분야 민원시스템 총 35개와 해당시스템 운영기관에 대해 안전조치를 보다 강화하는 ‘개선 권고’를 의결했다. 이는 이들 기관에 대한 운영 실태점검 결과를 반영한 조치이다.
이번 점검은 오는 9월 15일 공공기관에 대한 안전조치 특례 시행을 앞두고 선제적으로 취약점을 개선하고 계도하기 위한 목적으로 추진한 것이다.
개인정보위는 국민들의 데이터를 대규모로 처리하는 공공시스템의 개인정보 유출로 사회적으로 심각한 피해가 발생하는 문제를 해결하기 위해 관계기관 합동으로 '공공기관 유출방지 대책(‘22.7.)'및'집중관리시스템 개인정보 안전조치 강화계획(’23.4.)'을 수립·발표하고, 지난해부터 3년간(’23. ~ ’25.) 집중관리시스템 운영기관을 대상으로 이행실태를 집중 점검 중이다.
실태점검 2년차인 올해에는 중앙과 지방이 함께 이용중인 공공분야 표준배포시스템(건축(부동산)·지방세·교육 등)을 대상으로 집중관리시스템 개인정보 안전조치 강화 계획 상의 4대 분야 10대 이행과제를 점검했다. 구체적으로는 ▲협의회 설치·운영, ▲시스템별 책임자 지정 및 ▲안전조치 방안 수립, ▲권한 없는 자의 접근 방지 위한 인사정보 연계(비공무원 관리 포함), ▲접속기록 점검 강화, ▲전담인력·시스템 확충 계획 등에 초점을 맞췄다.
표준배포시스템 자체에 대해서는 기능구현 여부를 중심으로, 이용기관 시스템의 경우에는 실제 안전조치 이행 여부에 대해 집중 점검했다.
구체적으로 살펴보면, 인사정보 연계 기능의 경우 7종 중 5종(71%)이 구현되어 상대적으로 양호한 것으로 나타났고, 협의회 설치(3% → 94%), 책임자 지정(45% → 97%), 안전조치방안 수립(25% → 66%), 전담인력 보유(평균 0.35명 → 평균 1.7명) 등 이용 기관의 관리적 보호체계도 ’23년 집중관리시스템 개인정보 안전조치 강화계획 수립 이전에 비해 전반적으로 빠르게 개선 중인 것으로 확인됐다.
그러나, 접근권한 현행화(29%), 비공무원 계정발급 절차 도입(40%)은 이행률이 저조했고, 이상행위 탐지(내부 이용자 접속기록 관련 특이사항 모니터링) 및 사전승인·사후보고 절차 도입 등은 이행이 더뎌 향후 추가적인 개선이 필요한 것으로 조사됐다.
개인정보위는 35개 시스템 운영·이용기관의 점검 결과에 따라, 상대적으로 이행이 용이한 협의회 설치, 시스템별 책임자 지정, 안전조치 방안 수립, 인사정보 연계, 접근권한 현행화, 비공무원 계정발급 절차 도입, 사전·사후절차 도입 등은 올해 안으로 개선을 마치도록 권고했다. 다만, 이용기관 접속기록 점검권한 부여, 이상행위 탐지 기능 구현 등 예산 확보와 시스템 개선이 필요한 과제는 활용가능한 예산 범위 내에서 우선 추진하면서, 내년도 예산을 편성하여 적극 이행토록 개선 권고했다.
개인정보위는 이러한 10대 안전조치 이행과제가 ’24.9.15일부터는 의무화되는 만큼 공공기관들의 개인정보 관리 및 보호에 대한 각별한 주의를 당부했다.
아울러, 향후 점검이 예정된 시스템 운영기관들에 대해서도 이번 점검결과와 우수사례 등을 공유함으로써 선제적으로 개선작업이 진행되도록 하여 공공기관의 개인정보 유출 방지에 지속적으로 노력할 계획이다.
[보도자료출처: 개인정보보호위원회]