[보안뉴스 김경애] 한국남동발전은 주민등록번호를 인증수단으로 사용하는 데 따른 보안 취약 우려와 주민번호 수집 법정주의 이후 주민번호 관리 강화가 요구됨에 따라 개인정보보호 수준을 한층 강화했다.

이와 관련 한국남동발전의 박재현 차장은 ‘2015 개인정보보호페어&CPO워크숍’에서 “주민등록번호 뒷자리를 PC에 입력 시 개인정보 유·노출 및 타인 도용 우려가 있다”며 “보다 강력한 별도의 개인인증 방식과 개인정보취급자 등의 권한 오남용 방지, 개인정보 유·노출 사고 발생에 대비한 관리적·기술적 보호조치가 요구됐다”고 말했다.

이에 한국남동발전은 △OTP 인증 적용 △내부직원 개인정보 조회 시 SMS 발송 △개인정보처리시스템 접속권한 및 접근통제 △개인정보보호를 위한 기술적 보호조치 시행 △개인정보파일 자가진단 △개인정보보호 홍보 및 교육 개선활동 등을 통해 개인정보보호를 한층 강화했다.    

먼저 OTP 인증 적용의 경우, 인사노무시스템 접속 시 주민번호 뒷 7자리 입력대신 모바일 앱이나 카드 타입의 OTP 인증방식(1분마다 변경)을 적용했다.

두 번째 개선사항인 내부직원 개인정보 조회 시 SMS 발송은 임직원의 이메일 불법 조회나 임직원의 건강기록 불법 조회시 본사 개인정보보호담당자 및 개인정보주체에게 열람에 대한 SMS가 발송되도록 한 것이다.

세 번째 개선사항인 개인정보처리시스템 접속권한 및 접근통제는 개인정보처리시스템 접속 계정 생성 및 권한 부여시 정보시스템 운영부서(계정+권한생성)와 정보보안팀(권한 및 필수 보안요소 검토 후 승인과정)의 2단계 검토를 거친다. 또한, 개인정보처리 시스템 접속시 OTP 인증 후 관리자 전화 승인을 통해 인증(Cross Check)을 받도록 했다.

네 번째 개선사항인 개인정보보호를 위한 기술적 보호조치로는 개인정보파일 접속이력관리 시스템 구축을 통해 실시간 모니터링을 강화했다. 휴일 및 야간 등 업무시간 이외의 개인정보 조회, 개인정보 정상조회 설정한계치 이상의 과다조회, 개인정보취급자 이외의 비인가자 접근시도 감시, 고유식별정보(주민번호) 및 민감정보 접근자 감시 등이 실시간으로 이루어지고 있다.

이와 관련 박재현 차장은 “개인정보 유·노출사고에 대비하기 위한 책임추적 강화 차원에서의 기술적 보호조치로 정보시스템 서버팜을 구축해 개인정보처리시스템의 접근통제와 이력관리를 하고 있으며, 대형 로그저장 시스템을 구축해 접속이력을 5년 이상 보관하고 있다. 이와 함께 디지털 포렌식 전용장비도 운영하고 있다”고 설명했다.

다섯 번째 개선사항인 정보파일 자가진단의 경우 팝업 설문조사 형태로 업무포털 홈페이지에 게시하고, 점검결과는 시스템을 통해 자동 집계한다.

마지막으로 개인정보보호 홍보 및 교육활동에 대해 박재현 차장은 “별도의 교육과정을 개설하고, 전사 개인정보취급자 126명을 대상으로 집합교육을 진행했다”며 “이와 함께 외부 정보보안전문가를 초청해 본사 및 6개 사업소, 협력사 등 전사적으로 개인정보보호 순회교육을 시행했다”고 말했다. 또한, 그는 개인정보보호, 주민등록번호 수집금지 홍보 포스터 인쇄물을 협력사를 포함해 전사적으로 배포했다고 덧붙였다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>