실태점검결과 66점(미흡)...개인정보보호관리는 질병관리본부가

[보안뉴스 김정완] 보건복지부 소속 및 산하기관 중 2008년도 개인정보보호 실태점검 결과 유일하게 ‘불량’ 판정을 받아 개인정보관리 ‘최악’의 불명예를 안았던 국립장기이식관리센터가 2009년도 개인정보보호 실태점검 결과에서도 여전히 이를 그대로 방치하고 있는 것으로 드러났다.

손숙미 한나라당 국회의원이 복지부로부터 제출 받은 ‘2009년 개인정보보호 실태점검 결과보고서’에 따르면 점검 대상기관 19개 기관(본부 5개 시스템, ‘가’급 5개 기관, ‘나’급 9개 기관) 중 올해 처음으로 점검 대상기관이 된 8개 기관을 제외하고는 국립장기이식관리센터만이 유일하게 여전히 ‘불량’ 판정을 면한 ‘미흡’ 판정을 받은 것.

국립장기이식관리센터는 2008년도 점검 결과 60점을 받았으나, 2009년도에도 여전히 관리적·기술적·물리적 개인정보 보호조치 계획을 마련하지 않았으며 개인정보 유출 및 오·남용 발생에 따라 단기 보호조치를 적용하는 단계로 전체적인 개선이 필요한 수준인 ‘미흡’ 판정으로 66.9점을 받았다.

이번 실태점검은 지난해 11월9일부터 올해 3월8일까지 4개월에 걸쳐 복지부 본부 주요시스템과 소속기관 및 산하기관 등 총 19개 기관(시스템)에 대해 실시한 것으로, 2008년도 점검 대상기관 기준(11개 기관)으로 2008년도 평균 80.3점에서 2009년도에는 그와 비슷한 81.3점을 받아 전체적으로 개인정보보호 수준은 제자리 걸음인 것으로 나타났다.

하지만 다른 10개 기관들이 2008년도에 이어 ‘보통’ 수준 이상을 유지하고 있는데 반해 국립장기이식관리센터만이 여전히 2008년 실태점검 결과 복지부로부터 지적을 받았음에도 불구하고 여전히 평균 이하의 정보보호 수준으로 방치되고 있는 것.

이에 복지부 한 관계자는 “복지부 소속기관 보다는 산하기관(‘나’급 기관)의 개인정보보호 조치가 미흡한 것으로 나타났다”며 “이는 기관별로 중요도에 따라 정보보호 예산이 측정되는 만큼 산하기관들이 실태점검 결과가 낮게 나온 것”이라고 설명했다.

또한 한 보안전문가는 “질병관리본부는 내부의 시스템을 인터넷망과 업무망을 분리하고, 저장매체 관리도 강화해 높은 수준의 개인정보보호 수준을 유지하고 있지만 그 하위 조직의 보호수준이 낮다면 전체 보안수준은 낮은 수준의 기관이 평균이 된다”며 “애초에 각 기관과 업무 조율이 전혀 이루어지지 않을 것이라면 상관이 없겠지만 질병관리본부에서 개인정보보호관리를 담당하고 있다면 자연히 상호 연동돼 있다는 점에서 하위 기관에 대한 기술적·관리적 보호조치가 필요할 것”이라고 지적했다.

국립장기이식관리센터는 현재 질병관리본부에 소속돼 있으며, 개인정보보호관리책임자 역시 센터에서가 아닌 질병관리본부에서 맡고 있기 때문.

한편 국립장기이식관리센터는 2000년 2월에 설립돼 국내의 장기이식전반에 관한 사항을 총괄하고 있는 국가기관으로, 장기기증 희망자의 이름, 주민등록번호, 주소, 전화번호, 체중, 혈액형 등의 민감한 개인정보 및 의료정보 등을 보유하고 있다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>