• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

개인정보보호인증으로 대국민 신뢰도 수직상승! 2015.02.02

우정사업본부 PIPL 인증, 정보보안 교육도 계획

\r\n


\r\n

[시큐리티월드 김태형] 우정사업본부는 미래창조과학부 소속기관으로 전국 3,700여개 우체국 네트워크를 기반으로 우편서비스와 우체국예금·우체국보험 서비스를 제공하는 국가기관으로 국민이 언제어디서나 편리하게 서비스를 이용할 수 있도록 최선을 다하고 있다. 우정사업 정보시스템의 안정적 운영을 위해 우정사업정보센터를 두고 있으며, 우편, 금융, 사무 및 보안 전산시스템의 운영과 정보보안 실무를 수행하고 있다.

\r\n

\r\n

\r\n\r\n\r\n
\r\n


\r\n

우정사업본부는 최근 국가기관으로는 처음으로 한국정보화진흥원(NIA)이 부여하는 개인정보보호 인증(PIPL)을 취득했다. PIPL 은 개인정보보호법의 적용을 받는 공공기관 및 민간기업의 개인정보보호 수준을 점검해 인증서 및 인증마크를 부여하는 제도로 내부적 관리체계의 수립과 이행에 대한 일정기준을 충족해야 한다. PIPL을 취득한 기관은 행정자치부가 실시하는 개인정보보호 기획조사를 면제 받을 수 있으며 과태료 경감 등의 혜택도 받을 수 있다.

\r\n


우정사업본부가 PIPL 취득을 추진한 이유는 한 가지. 대국민 서비스를 제공하고 있는 우정사업의 개인정보보호 강화 의지실현과 국민에게 신뢰받는 우정사업 구현을 위한 것으로 이를 통해 인터넷우체국 서비스의 대국민 신뢰도 향상과 이용객 증가를 기대하고 있다.

\r\n

기술·물리적 안전성 확보에 중점 우정사업본부는 지난 2006년 12월에 우체국 전자금융 시스템에서 금융고객 정보보호를 위해 정보보호관리체계(ISMS:Information Security Management System) 인증을 취득한 바 있다.

\r\n

이번 PIPL 획득 과정에서 가장 중점을 두었던 부분은 개인정보 관리체계 확립 및 개인정보처리 시스템의 기술적·물리적 안전성 확보를 위한 조치다.

\r\n

이 가운데 우정사업 정보센터는 인터넷우체국(www.epost.go.kr)의 전산 시스템을 관리하는 부서로서, PIPL의 65개 점검항목 중 전산 시스템과 관련된 사항을 분석하고 적절한 이행계획 수립 및 조치했다. 그리고 PIPL 심사 기관인 한국정보화진흥원의 인증수검을 받는 등 PIPL의 핵심적 역할을 수행했다.

\r\n

우정사업정보센터 정보기반과 정보보호팀 송화섭 주무관은 “이번 PIPL 획득 과정에서 인증대상에 대한 위험분석 및 평가에 따라 관련사항을 조치하는 데에 상당히 많은 시간이 소요되어 힘들었다. 하지만 이를 위한 자체 점검 분석팀을 구성해 인증 대상에 대한 평가와 분석을 진행한 후에 PIPL을 추진한다면 업무의 전문성도 높이고 인증 효과의 지속성도 높일 수 있을 것이다”라고 설명했다. 이어서 그는 “인증 추진 전에 한국정보화진흥원의 설명을 듣고 인증에 관한 사전 정보와 지식을 얻고 진행하는 것도 매우 좋은 방법이다”라고 덧붙였다.

\r\n

‘PIPL’ 적은 비용으로 전문성 향상 PIPL을 위해서 우정사업본부는 국가기관으로서 65개 모든 점검항목에 대해 점검이 진행됐다. 인증계획부터 인증자료 준비기간은 8개월, 한국정보화진흥원의 인증심사에 약 2개월 등 총 10개월이 소요됐다. 인증비용은 기관이나 기업별로 차이가 있겠지만, 기관 자체 인력으로 PIPL인증을 준비한다면 적은 비용으로 인증 획득이 가능하고 관련 업무의 전문성도 높일 수 있다는 부분에서 이점이 있다.

\r\n

우정사업본부의 전체적인 사내외 보안 체계와 정책은 관련법령과 국가정보보안기본지침의 준수를 기본으로 하고 있으며 사전예방에 중점을 두고 개인정보보호에 대한 기술적·관리적 보안정책을 추진하고 있다.

\r\n

송 주무관은 “우정사업본부의 정보보안 전담부서는 경영성과정보팀이다. 정보보호 정책을 수립하고 정보보호 실행부서로 우정사업정보센터에서 전산시스템을 관리·운영하며, 우체국의 정보보안담당관이 상시적 정보보호 확인·점검을 실시하는 등 본부부터 우체국까지 그물망 정보보안체계로 개인정보보호에 최선을 다하고 있다”고 말했다.

\r\n

2015년 정보보호 생활화 목표 우정사업본부의 경영성과정보팀의 주요 업무는 정보보호의 관리적 활동을 위한 내부지침 마련과 업무관리를 추진하고 기술적 활동으로 정보시스템에 대한 통합보안관제센터 운영, 상시 취약점 진단 실시 등이다.

\r\n

현재 우정사업본부는 개인정보 관리·보호 정책 법령에 따라 최소한의 정보를 수집·보유하고 있으며 업무망과 인터넷망을 분리하여 근본적으로 정보에 대한 비인가된 접근을 차단하고 있다.

또한, 보안관련 다양한 정책 및 시스템을 운영해 개인정보 관리 및 보호를 강화해 나가고 있다. 이번 PIPL과 함께 우정사업본부는 2015년에는 ‘정보보호 생활화’를 목표로 하고 있다. 정보보안에 대한 직원 개인의 인식이 중요하다고 판단했기 때문이다. 이를통해 직원에 대한 교육과 정보보안 의식 제고를 위한 다양한 활동을 전개해 나갈 예정며 정보보호를 위한 시스템 고도화를 지속적으로 추진해 나갈 계획이다.

\r\n

[김태형 기자(boan@boannews.com)]

\r\n

[월간 시큐리티월드 통권 216호 (sw@infothe.com)]

\r\n


\r\n

<저작권자 : (www.securityworldmag.co.kr) 무단전재-재배포금지>