| 2016년 행자부 보안·개인정보보호 계획, 4人 4色 직격인터뷰 | 2015.12.28 | ||||||||||||||||||||||||||||||||||||||||||||||||
행자부 개인정보보호정책관 산하 4개 과장에게 2015년 성과와 2016년 계획을 듣다
“개인정보보호 정상화 대책 가운데 절반 이상 달성, 2017년엔 본 궤도 올라” [시큐리티월드 김경애] 2015년 한해 동안 정부부처의 사이버보안 및 개인정보보호정책과 관련해서 많은 변화가 있었다. 2016년에도 관련 정부 정책 및 제도가 한층 강화될 전망이다. 이에 본지는 행정자치부 개인정보보호정책관 산하의 개인정보보호정책과, 정보기반보호정책과, 개인정보보호협력과, 개인정보안전과 4개 과장과의 인터뷰를 통해 2015년 성과와 2016년 계획 등에 대해 들어봤다.
개인정보보호정책과 장 한 과장: 지난해 카드사 사태 이후 개인정보보호 정상화 대책을 관계부처와 추진한 결과 2017년 목표 과제중 절반 정도를 완료하는 등 많은 성과가 있었다. 올해는 다행히 큰 사고가 거의 없었던 데다가 △개인정보 범죄 이득에 따른 추징몰수 근거 마련(지난 7월부터 시행) △징벌적 손해배상제도 도입(2016년 8월 7일 시행) △개인정보보호위원회 기능 강화 △법제도, 거버넌스 체계 등 체계 정비 △개인정보보호 정책, 과단위에서 국단위로 기능 승격 △한국정보화진흥원과 한국인터넷진흥원으로 분담됐던 개인정보보호 업무, 한국인터넷진흥원으로 일원화(2016년 1월 1일) 등 많은 정책을 추진하고 성과를 달성한 한해였다. 앞으로도 특별한 문제가 발생하지 않는다면 당초 계획했던 98개 과제가 차질 없이 진행될 것으로 보인다. 이로 인해 2017년이 되면 개인정보보호 수준도 어느 정도 궤도에 오를 것으로 기대하고 있다. 내부적으로는 8월 7일부터 시행된 주민번호 법정주의에 따라 주민번호를 수집하는 기관의 275개 법령들에 대해 관계부처와 협의해 개정작업을 했다는 점이 큰 성과라고 볼 수 있다. 이로써 22일부터 1차 시행되며, 일괄 개정된다. 또한, 지자체 및 산하기관에서 주민번호를 수집하던 5000여개 자치법규나 조례를 발굴해 정비하는 중이다. 이를 통해 앞으로는 주민번호 수집 활용이 줄어들 것으로 보인다. 정보기반보호정책과 하승철 과장: 가장 큰 성과는 사이버위기상황이 고조될 때마다 사전점검 및 비상대응 활동을 전개해 큰 사고 없이 한해를 마무리했다는 점이라고 할 수 있다. 이와 함께 항구적인 대응태세를 갖추기 위해 공직 내에 보안전문가를 충원하고, 중앙부처와 지자체의 사이버보안 조직을 확충했다는 점을 꼽고 싶다. 개인정보안전과 마용현 과장: 개인정보안전과에서의 가장 큰 성과는 현장에서 진행된 개인정보보호 실태점검이다. 실태점검은 매월 진행되는 분야별 정기점검과 개인정보 유출 사고 및 이슈 발생시 점검하는 불시점검이 있다. 12월에는 공공기관을 대상으로 지난주 정기점검이 진행됐다. 지난 1년간 정기점검은 2인1조로 4개반을 꾸려 한 달에 평균 16개, 총 256개 기관 및 기업을 점검했다. 수시점검은 58개 기관을 대상으로 진행했으며, 정기와 수시를 합해 총 314개 기관을 점검했다. 내년에도 큰 이슈가 없는 이상 정기점검은 수탁사 60%, 일반업체 40% 비율로 지난해 기준과 비슷하게 진행할 방침이다. Q. 성과가 컸던 반면, 아쉬웠던 부분도 있었을텐데? 장 한 과장: 국내 개인정보보호법이 다른 국가에 비해 수준이 높은 편이다. 그러다보니 빅데이터, 클라우드, IoT 등 신기술 서비스에 있어 원칙적으로 동의를 받아야 하는 문제가 기술 발전에 있어 저해요소로 작용한다는 논란이 제기되고 있다. 이러한 지적에도 공감하지만 보호와 활용의 균형점으로 내놓을 만한 성과가 없었다는 건 아쉬운 점이라고 할 수 있다.
Q. 모바일과 IoT 분야와 관련한 보안이슈와 이와 관련된 정책방향은? 하승철 과장: 모바일과 IoT 분야는 개인정보보호 이슈 이외에도, 무선통신과 모바일 단말기 자체의 보안취약점이 이슈가 되고 있 있다. 기존 유선과 PC 기반의 인터넷환경 보다 보안이 더욱 취약한 구조다. 이에 중앙부처 및 지자체에서는 국민들에게 제공하는 모바일서비스 또는 행정업무용 내부서비스를 개발·보급할 때 행정자치부가 제공하는 공통된 보안기능을 활용하도록 조치하고 있다. 또한, 필요시 행정자치부의 보안취약점 점검을 거치도록 하고 있다.
개인정보보호협력과 조성환 과장: 그동안은 국내 개인정보보호 이슈에만 초점을 맞췄다면 국제교류가 점차 늘면서 국외 이전 이슈와 외부 침해행위에 대한 국제협력 등의 수요도 증가하고 있다. 이러한 추세에 맞춰 개인정보보호정책관 산하에 개인정보보호협력과를 신설했고, 그동안 쌓은 현장점검 경험을 토대로 효율적인 법제화를 위한 업무를 진행해왔다. 현재 개인정보보호와 관련한 국제업무를 심도있게 논의하는 곳은 유럽밖에 없다. 국내에서도 해외로 나가는 개인정보를 어떻게 보호할지, 해외에 있는 개인정보를 어떻게 잘 활용할지를 두고 논의하고 있다. 이러한 상황에서 EU 개인정보 보호기준 적정성 평가 준비라는 새로운 프로젝트를 진행할 수 있게 돼 영광이면서도 어깨가 무거운 게 사실이다. 마용현 과장: 개인정보보호정책관 신설과 함께 이전의 개인정보보호과가 개인정보안전과로 명칭이 변경됐다. 주요 업무는 개인정보보호 실태점검을 통해 기업의 보호수준과 의식을 높이고, 개인정보보호법을 위반할 경우 과태료 처분을 하는 등 개인정보보호가 잘 이행될 수 있도록 현장점검에 주력하는 일이다. 지난 2011년 개인정보보호법 시행 이후 어느 정도 시간이 흘러 초기 단계는 지났고, 인식도 많이 개선됐다. 하지만 개인정보보호의 중요성은 날이 갈수록 커지고 있는 상황에서도 개인정보보호법을 위한 기업의 과태료 체납이 적지 않게 발생하고 있다. 2016년에는 이러한 부분에 대해 더욱 신경쓰고, 현재 부족한 실태점검 인력을 확대하는 일에도 적극 나설 계획이다. Q. 개인정보보호협력과의 주요 업무는 무엇인가요? 조성환 과장: 온라인 거래가 활성화되고, 해외직구 사이트도 증가하고 있다. 상품거래에 따라 개인정보가 이전되고 노출도 증가하는 추세다. 이러한 흐름에 발맞춰 EU는 개인정보보호와 관련해 28개국이 동일한 기준을 마련한 상태다. 우리나라에서도 해외로 나가는 개인정보를 어떻게 안전하게 보호할지를 두고 고민하고 있다. 또한, 국내 개인정보처리자들이 해외 개인정보를 어떻게 활용할 것인지에 대한 규정도 필요한 상황이다. 이러한 흐름에 따라 개인정보보호협력과는 개인정보 국외이전에 따른 규정과 법안을 만드는 등 국제업무를 담당하게 된다. 특히, 최근 개인정보 국외이전 문제가 부각되면서 국내 개인정보가 해외로 적게 이전되면서도 서비스가 감소되지 않도록 하는 방안 마련에 주력할 방침이다.
마용현 과장:공공기관은 개인정보보호 종합포털 사이트에 자율적으로 등록하도록 자율점검 체계로 진행하고 있다. 그럼에도 일부 공공기관에서는 안전성 조치 미흡, 보유기간이 지난 개인정보 보유, 행자부에 등록없이 개인정보 파일 임의 보유 등의 문제가 아직까지 개선되지 않고 있다. 이에 따라 개인정보보호 종합포털 사이트에 마련된 자율점검 시스템을 한 눈에 보기 쉽게 업데이트 하는 등 자율점검 체계를 강화하는 방향으로 정책을 추진할 예정이다. Q. 2016년 개인정보보호정책관 산하 4개과의 주요 계획이 궁금합니다. 장 한 과장: 지난해 10월부터 빅데이터 관련 개인정보보호 TF팀을 만들어 운영하고 있다. 현재 법, 학계 등 IT 관련 전문가들로 구성돼 있으며, 빅데이터상 개인정보의 안전한 보호와 활용에 대해 매월 논의하고 있다. 내년 상반기 중에는 개선방안을 마련할 계획이다. 또한, 개인정보는 최소필요 원칙에 따라 꼭 필요한 만큼만 수집하고, 이용목적 달성시 반드시 폐기해야 하기 때문에 각 분야별로 폐기실태를 점검할 방침이다. 이와 함께 개인정보보호법의 경우 개선할 부분은 없는지 검토한 후, 개정 준비작업도 계획하고 있다. 하승철 과장: 우선 전자정부를 운영하는 모든 중앙부처와 지자체들이 사이버테러위협에 효과적·능동적으로 대처할 수 있도록 행정적·재정적 지원을 강화할 계획이다. 특히, 각급 기관이 사이버보안 조직을 확충하고, 정보보호 직류 및 민간경력자 채용 등을 통해 보안전문가들이 공직에 진출할 수 있게 적극 지원할 방침이다. 이어 전자정부 지원사업 등을 통해 국가주요시설의 사이버테러 예방·대응 예산이 확보될 수 있도록 심혈을 기울일 예정이다. 아울러 각급 기관들이 전자정부 소프트웨어를 개발할 때 반드시 보안사항을 체크할 수 있게 함으로써 소프트웨어개발 보안제도(시큐어코딩)와 모바일 보안제도가 정착되는 데 기여하고 싶다. 이외에도 행정자치부 소관 각종 시스템의 안정적 운영을 지원하고, 행정전자서명, 국가정보통신망 등의 안정적인 운영과 사용자 편의를 위해 노력할 것이다. 조성환 과장: 우리나라 법제도가 잘 마련돼 있지만, EU 등과의 국제 교류를 통해 우리나라 개인정보보호법을 알리는 것도 매우 중요하다. 또한 현재 개발도상국 중에는 개인정보보호법이 존재하는 나라가 거의 없기 때문에 우리나라 법을 채택할 경우 국내 법 적용은 물론 국내 SW를 활용할 기회가 많아질 수 있다. 이와 함께 해외로 진출하는 국내 기업을 위해 각 국가별 개인정보보호체계를 알려주는 개인정보보호 가이드를 제작해 홍보할 계획이다. 마용현 과장: 점검해야 할 대상 사업체는 많은 반면, 점검을 위해 지원받는 인력은 4명에 불과하다. 6명이 지원될 수 있게 인원을 확대할 계획이다. 현재 한국인터넷진흥원의 인력 확대는 기획재정부의 승인을 받은 상태다. 점검체계와 관련해서는 공공기관의 경우 자율점검 체계를 강화하고, 민간기업을 점검대상에 확대시켜 나가는 등 점검 업체수를 최대한 늘려나갈 방침이다. [글 시큐리티월드 김경애 기자(sw@infothe.com)] <저작권자 : (http://www.securityworldmag.co.kr) 무단전재-재배포금지> |
|||||||||||||||||||||||||||||||||||||||||||||||||
 |
