• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

1사분기 개인정보보호 실태점검 결과 살펴보니... 2015.04.02

개인정보보호, 수탁사 관리·암호화 조치·접근기록 관리조치 미흡
[인터뷰] 행정자치부 개인정보보호과 조성환 과장

[보안뉴스 김경애] 개인정보 유출 이슈가 끊이지 않고 있는 가운데 개인정보보호에 대한 △수탁사 관리 미흡 △개인정보 전송시 암호화 미조치 △접근기록관리 조치 미흡이 여전히 문제가 되고 있다는 지적이다. 이로 인해 오는 4~5월에는 수탁사를 대상으로 미래부와 함께 집중적인 현장점검을 진행할 것으로 보인다.


1. 개인정보보호, 수탁사 관리 미흡

이번 1사분기 실태점검은 기획점검과 자율점검으로 나눠 진행됐으며, 기획점검의 경우 1월에는 공공기관, 2월은 복지부 소관 병원 및 의약 분야, 3월은 병원, 국립 의료원 등의 수탁사 대상을 중심으로 점검한 것으로 알려졌다. 또한, 민간 자율점검의 경우 협회 등과의 협업을 바탕으로 체크리스트와 공문 발송 등을 통한 사전 고지와 관련 협회 주관의 자율점검이 진행됐다는 게 행정자치부 측의 설명이다.


이렇듯 1사분기 자율점검을 진행한 결과 자율점검에 참여한 비율은 50%이며, 이중 위반사항이 발견된 병원 및 의료기관은 관련 협회에 개선계획서를 제출하도록 한 것으로 알려졌다. 자율점검에 참여하지 않은 기업은 향후 행자부에서 행정처분할 계획이다.


특히, 개인정보보호관련 법규나 조항을 위반한 병원 및 의약 분야 수탁사의 경우 바로 처벌할 수 없기 때문에 위탁사와 협의해서 개선계획서를 2~3달 안으로 제출하도록 하거나 개선사항 등을 통지할 방침이다.


지난 1사분기 개인정보보호 실태 점검 결과, 가장 문제가 된 부분과 관련해서 행자부 개인정보보호과 조성환 과장은  “수탁사 관리는 위탁자들의 통제범위 안에 들어와 있어야 제대로 관리가 된다”며 “그러나 위탁사 직원들 대부분이 관련 내용에 대해 잘 몰라 수탁사 관리가 제대로 되지 않고 있다. 자칫하다간 개인정보의 제3자 불법 제공으로 형사처벌을 받을 수 있다”고 지적했다.


이어 그는 “위수탁사 간 계약체결 시 목적외 개인정보 사용금지, 불법유통 금지 항목, 통제조항 등에 대한 명확한 내용이 포함돼야 한다”며 “개인정보보호 위반사항이 발생하지 않도록 꼼꼼히 체크하고, 해당 조항을 점검하는 등 수탁사 교육과 관리감독이 철저하게 이루어져야 한다”고 당부했다. 


현재 국내 IT 분야에서 프로그램 개발업체는 약 2만여 곳 이상에 달할 것으로 행자부는 추측하고 있다. 이중 개인정보와 관련된 프로그램을 개발·공급·운영하는 업체는 약 6천여 곳인데, 이 가운데 2천여 곳은 집중관리 대상으로 자체 점검 실시 후, 이를 근거로 다시 권고할 방침이다.


2. 개인정보 전송시 암호화 조치 미흡

다음으로는 개인정보 전송시 암호화 조치 미흡이다. 일례로 지난 1월 설 연휴 열차표 예매를 위한 코레일 예매 사이트에서 코레일멤버십번호와 비밀번호가 암호화되지 않은 채 평문으로 전송된 바 있다.


하지만 실태점검 결과 암호화 조치가 미흡한 기업이 상당수인 것으로 드러났다. 공공기관의 경우도 마찬가지다. 최근 공공아이핀 이슈로 공공기관에 대한 개인정보보호 우려가 커지고 있는 상황에서도 개인정보 전송시 암호화 조치가 여전히 미흡한 실정이라는 얘기다. 일부 공공기관의 경우 현재 자가진단과 함께 행자부가 확인 중에 있는 것으로 알려졌다.  


이러한 암호화 조치 미흡과 관련해 조 과장은 “규모가 큰 기업은 암호화 조치가 비교적 잘 되어 있는 반면, 임시 사이트 이용이나 실수 등으로 문제가 불거졌으며, 소규모 기업은 예산, 인원 등의 문제로 여전히 미흡하다”고 지적했다. 특히, 비용이 소요되는 부분은 쉽게 개선되지 않고 있다며, 이에 대해 행자부는 향후 과태료를 부과할 방침이다.


3. 6개월 이상 접근기록 관리 미흡 상당수

마지막으로 이번 실태점검 결과, 접근기록 관리가 미흡한 곳이 대다수인 것으로 드러났다. 개인정보 접근기록 관리를 어떻게 하느냐에 따라 개인정보보호 수준에 상당한 영향을 미칠 수 있다. 개인정보보호를 위해서는 개인정보 접속기록 생성은 물론 접속기록 모니터링을 통해 개인정보 부정사용 예방과 함께 이상징후 발생시 신속한 대응이 가능하기 때문이다.

 ▲행정자치부 개인정보보호과 조성환 과장

이에 대해 조 과장은 “현장 점검을 해보니 개인정보에 있어 기본적인 접근기록이 6개월 이상 관리되지 않은 곳이 상당수였다”고 지적했다.


이외에도 수탁사에서 사용하는 개인정보 관련 프로그램에서 문제가 발생하고 있다고 밝힌 조 과장은 “개인정보 수집과정에서 비밀번호 프로그램을 만들 때 최소 6자리 이상으로 비밀번호를 만들어야 하는데, 대부분 단순하게 설정하고 있다”고 우려했다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>