개인정보 생성부터 삭제까지 ‘유통추적·이력관리·위협차단’

[보안뉴스 김태형] 관세청은 수출입 화물·해외여행자 등 통관과정에서 수집된 국민의 개인정보를 안전하게 보호하기 위해 ‘개인정보 통합관제 시스템’을 구축해 지난 7일부터 운영중이다. 관세청은 이번 통합관제 시스템 구축으로 강화된 개인정보보호법을 준수할 뿐만 아니라 자체적인 개인정보유출방지 종합대책을 수립해 정보보호에 만전을 기하고 있다.

관세청은 개인정보 통합관제 시스템의 구축·운영으로 관세청에서 관리하고 있는 모든 개인정보에 대한 열람, 휴대용 저장매체 복사, 전자우편 발송 등 유출 위험 수준을 실시간으로 관리할 수 있게 됐다. 특히, 직원들의 관리소홀 및 부주의로 인한 외부 유출을 방지할 수 있는 측면에서도 효과가 클 것으로 기대하고 있다.

이와 관련 관세청 정보협력국 정보관리과 개인정보보호 담당 차덕환 계장은 “관세청은 그동안 개인정보보호 우수기관의 사례를 연구하고 전문가와 직원들의 의견을 반영해 지난 2월부터 이 시스템을 시범 운영해왔다”면서 “4월부터는 전 직원을 대상으로 개인정보보호 관련 규정과 시스템 운영에 대한 현장교육 등을 실시했다. 관세청은 앞으로도 통관과정에서 수집된 모든 개인정보는 최선을 다해 안전하게 관리하고 시스템 구축 기술은 다른 기관과 공유할 수 있도록 노력할 방침”이라고 말했다.

관세청에서 이번에 구축한 개인정보 통합관제 시스템은 개인정보의 생성부터 삭제까지 개인정보의 흐름을 추적하고 개인별·부서별 사용이력 통합 관리 및 모니터링이 가능하다. 이를 통해 개인정보 접근·사용이력에 대한 이상징후를 실시간으로 모니터링 하기 때문에 정보유출 사고를 차단할 수 있다.

차덕환 계장은 “이와 같은 개인정보 통합관제 시스템 도입·운영으로 개인정보 보유·사용현황 등의 이력관리가 가능해졌고, 개인정보 유출 위험 탐지 및 상황이 신속하게 전파되고 각 부서별·개인별 위험도 및 위험지수에 대한 현황 파악도 쉬워져 이상징후에 대한 조기 발견과 조치가 가능해졌다는 점에서 매우 효율적”이라고 말했다. 다음은 관세청 개인정보 통합관제 시스템 구축과 관련해 차덕환 계장과의 일문일답이다.

관세청은 해외직구 등 수출입화물 통관관리, 해외여행자 휴대품 관리 및 FTA(자유무역협정) 집행을 총괄하고 있는 국가기관이다. 이러한 업무를 수행하다 보면 많은 개인정보 및 회사의 영업비밀 정보를 다루게 되는데 이러한 정보를 안전하게 관리하기 위해 다양한 정보보호 정책과 시스템을 마련해 업무를 수행하고 있다.

Q. 정보자산 보호를 위한 정책과 보안조치는 어떻게 진행되고 있는가?

관세청은 서버, PC, 네트워크 등을 통한 사이버공격을 방어하기 위해 지난 2004년부터 보안관리센터를 구축한 이래 인터넷망과 내부망을 분리해 운영하고 있다. 또 사이버 환경 변화에 맞추어 매년 통합보안관제 고도화 사업을 실시하고 있다. 특히, 관세청에서는 사이버보안에 효율적으로 대응하기 위해 보안시스템 고도화에도 노력하고 있지만, 사용자들의 보안의식 강화가 매우 중요하다는 인식하에 2014년부터는 인터넷 등을 통한 바이러스 감염정도가 일정한 기준을 초과한 사용자에 대해 인터넷 서비스를 제한하는 정책을 도입했다. 그 결과, 바이러스 감염 건수가 획기적으로 감축되는 성과를 거두고 있다. 관세청에서는 앞으로도 비인가 SW 설치 사용자와 스마트폰 연결 프로그램 설치 등으로 서비스 제한 정책을 확대해 나갈 계획이다.

Q. 개인정보 통합관제 시스템 구축 이전 가장 큰 보안위협은 무엇이었나?

관세청은 PC, 시스템, 네트워크 등에 대해 보안 시스템이 잘 구축되어 있으나 직원들의 개인정보보호 관련 규정 미숙지로 인한 개인정보 오·남용에 대한 부분을 시스템으로 관리하는데 한계가 있었다. 또한, 관세청은 카드사의 개인정보 유출 및 공공기관의 개인정보 유출사고가 빈번하게 발생하는 상황에서 정보보호 강화와 보안 위협에 대응하기 위해 자체적으로 ‘개인정보 유출방지 종합대책’을 수립하고 세부이행 과제로 이번 ‘개인정보 통합관제 시스템을 구축하게 됐다.

Q. 개인정보 통합관제 시스템 구축기간 및 구축 시 가장 고려했던 사항은?

이번 시스템 구축과정에서 개인정보 유출 및 오남용이 예상되는 위험군을 선정하기 위해 다른 기관의 사례를 벤치마킹했다. 하지만 외부기관에 운영을 위탁했기 때문에 운영자가 시스템에 접근해 관리하는데 한계가 있었고 위험군에 대한 보안설정이 느슨해 개인정보 유출을 방지하는 데도 한계가 있어 관세청 실정에 맞지 않는 경우가 많았다. 이에 개인정보보호 전문가와 일선 직원들을 대상으로 수차례 워크숍을 실시해 현장의 다양한 요구사항을 반영하는데 역점을 뒀다. 무엇보다 위험군을 선정해 제도화하고 시스템으로 처리하고 있는 소명과정의 정확도를 높이는 방안을 강구하는데 어려움이 있었지만 잘 해결할 수 있었다. 구축기간은 지난해 9월부터 올해 1월까지 약 5개월 가량 소요됐으며 예산은 약 4.2억원이 투입됐다.

Q. 개인정보 통합관제 시스템은 어떻게 운영되며 가장 큰 효과는 무엇인가?

개인정보 통합관제 시스템을 통해 관세청의 개인정보 이용현황을 한눈에 파악할 수 있었으며, 소명처리 과정에서 개인정보보호 교육이 자연스럽게 이루어져 직원들의 개인정보보호 의식이 향상되는 효과가 있었다. 시스템 운영은 통합관제 시스템 책임자 및 담당자 각 1명이 전담 운영하고 있으며, 중점 모니터링 대상은 개인정보파일을 USB에 저장하거나 전자우편을 이용해 외부에 전송하는 등 개인정보가 외부로 반출되는 경우 이를 위험군으로 분류해 실시간으로 관리하고 있다.

Q. 향후 추가적인 보안 시스템 도입이나 다른 계획이 있다면?

앞으로는 산하 세관의 PC 업무환경을 클라우드 기반으로 망분리 함으로써 인터넷을 통한 사이버 해킹사고를 원천 차단하고, 주요 업무자료는 네트워크 서버에서 통합 관리하기 위한 네트워크 문서관리 시스템을 구축할 예정이다. 또 기간이 경과한 노후화된 네트워크·보안장비 교체 및 성능개선을 위해 지속적으로 보안 시스템 고도화를 추진할 예정이다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>