개인정보보호위원회(이하 개인정보위)가 지난 20일 제23회 전체회의에서 57개 공공시스템(이하 집중관리시스템)을 운영하는 38개 기관을 점검하고 일부 이행이 미흡한 기관에 시정 권고를 했다고 21일 밝혔다.
개인정보위는 집중관리시스템 운영기관에 대해 강화된 안전조치 의무를 신설, 지난해 9월부터 시행 중이다. 집중관리시스템은 △개인정보 보유량 100만건 이상 △개인정보 취급자 수 200명 이상 △민감정보, 주민등록번호 등 특수 유형 개인정보 취급 등을 기준으로 선정된다. 개인정보위는 2023년부터 올해까지 3년간 의무 이행실태를 점검했다.
올해 3년 차 점검은 개인정보보호법에 근거해 사전 실태점검 후 시정 권고 방식으로 진행됐다. 권고받은 기관이 수락하면 사전 점검을 본조사의 시정명령·권고로 갈음한다. 개인정보위는 지난 4~10월 7개월간 서면조사와 현장점검을 병행했다. 국민신문고, 홈택스 등 57개 집중관리시스템과 38개 운영기관을 대상으로 점검한 결과 36개 기관에 시정명령을 했다. 국세청과 한국부동산원은 10대 과제를 모두 이행해 시정권고를 받지 않았다. 처분 사실은 개인정보위 홈페이지에 1년간 공표된다.
지난 3년간 안전조치 특례 이행률은 전반적으로 향상됐다. 시스템 관리체계 분야는 △개인정보보호 협의회 설치·운영 비율은 34%에서 91%로 증가했고 △책임자 지정 비율도 90%에서 98%로 증가했다. △안전조치방안 수립 비율은 48%에서 95%로 개선됐다.
접근권한 관리 분야에서는 △인사 정보 연계 비율이 34%에서 72%로 △비공무원 계정발급 절차 도입 이행률이 68%에서 90%로 증가했다. 다만 접근권한 현행화는 이용기관 협조 부족 등으로 이행률이 30%로 낮았다.
접속기록 점검 분야에서는 △이용기관 접속기록 점검 비율이 45%에서 58%로 △이상행위 탐지 이행률이 52%에서 70%로 증가했다. 기능 도입에 필요한 예산확보 어려움 등으로 다른 분야에 비해 점진적인 개선 추세를 보였다.
마지막으로 인력 및 시스템 확충 분야에서는 △전담 인력 확충 이행률이 기관별 평균 1.7명에서 2.7명으로 대폭 증가했고 △시스템 개선계획 수립 비율도 85%에서 98%로 증가했다.
개인정보위는 3년간 전수점검 결과를 바탕으로 내년부터 '공공기관 보호수준 평가'를 실시해 상시 점검할 방침이다. 아울러 최근 증가하는 공공부문 유출에 대응해 모의해킹 등 취약점 점검 의무를 강화하는 방향으로 집중관리시스템 안전조치 특례제도를 개선한다. 인적 과실, 웹 취약점, 관리 사각지대 등 주요 취약점 보완방안을 마련하는 등 선제적 예방조치도 확대한다.
독자들의 PICK!
한편 국토부(주택소유확인시스템), 한국전력공사(송변전보상지원시스템), 국세청(세정업무포털)은 10대 과제 이행이 우수한 사례로 꼽혔다. 개인정보위는 이번 점검 결과와 우수사례를 공유하고 시정 권고에 대한 기관별 이행상황을 엄정하게 모니터링할 예정이다.
