암호화 기술 수준 미흡 및 미조치, 개인정보취급자 등 안전조치 의무 위반 가장 많아

주민등록번호 보관 위반, 보호실태 미흡 등 기관 8곳...과태료 부과 및 개선 권고

[보안뉴스 김경애 기자] 개인정보 관리수준이 미흡한 기관 8곳이 과태료 총 3,240만원 부과 및 개선 권고를 받았다. 점검결과 안전조치 의무 위반이 가장 많았으며, 과태료 처분 기관은 총 7곳으로 코레일로지스(과태료 540만원), 일제강제동원피해자지원재단(과태료 450만원), 한국제품안전관리원(과태료 540만원), 한국출판문화산업진흥원(과태료 360만원), 한국탄소산업진흥원(과태료 540만원), 인천광역시계양구시설관리공단(과태료 450만원)이다.

​

[이미지 = gettyimagesbank]

개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 14일 전체회의를 열어 개인정보 관리수준 진단 미흡기관 및 코로나19 방역시스템 운영기관의 실태점검 결과를 심의하고 시정조치를 의결했다.

개인정보 관리수준 진단 미흡기관 관련

이번 실태점검은 개인정보보호법 제11조제2항에 근거해 총 799개 공공기관을 대상으로 ①법적의무사항 ②개인정보 처리방침·안전조치·위수탁·보호관리 등의 적절성, 이행·개선노력, 유출사고 대응 등에 대한 진단항목을 점검했다. 이번 과태료 부과 및 개선 권고는 진단에서 미흡 판정을 받은 기관에 대해 실시했다.

그중 가장 높은 과태료(540만원)를 부과받은 기관은 코레일로지스, 한국제품안전관리원, 한국탄소산업진흥원이다. 위반 사항으로는 암호화 미조치, 접근통제 의무 위반, 접속기록 관리 위반 사실 등이 확인됐다.

과태료 부과 산정 기준에 대해 개인정보위 관계자는 “개인정보보호법 시행령 63조 과태료 부과 기준 위반 규정에 따라 산정된다”며 “각 기관의 개인정보보호법 위반 내용과 정도 등에 따라 과태료 금액이 가중 또는 감경 책정됐다”고 밝혔다.

코레일로지스의 위반 사항에 대해 개인정보위 관계자는 “암호화 조치는 했으나, 복호화될 수 있는 위험성이 있는 것으로 조사됐으며, 암호화 기술 수준 등이 미흡했다”고 밝혔다.

한국제품안전관리원의 경우 개인정보 취급자가 어떤 개인정보를 처리했는지 접속 기록이 보관되지 않았고, 인사이동, 퇴직 등에 따른 개인정보 취급자의 권한 변경에 대한 기록이 없는 것으로 조사됐다.

한국탄소산업진흥원의 위반사항에 대해 개인정보위 관계자는 “2차 인증 등 인증수단의 안전성 미흡과 개인정보 처리자에 대한 접속기록이 없었다”고 밝혔다.

과태료 450만원을 부과받은 일제강제동원피해자지원재단의 경우 집속기록 관리 미흡과 인증수단의 안전성이 미흡했고, 인천광역시계약구시설관리공단은 개인정보 취급자 권한 변경 내역에 대한 기록이 없었다.

과태료 360만원을 부과받은 한국출판문화산업진흥원은 개인정보 취급자별로 계정을 발급받아 사용해야 하는데, 여러 명의 개인정보 취급자가 계정을 공유해 함께 사용한 것으로 조사됐다. 대구공공시설관리공단은 주민등록번호 보관 위반으로 이미지에 있는 주민번호를 암호화 하지 않아 과태료 처분을 받았다.

평창군시설관리공단은 2022년 보호 실태가 미흡했었는데, 보호수준이 미흡해 개선 권고를 받았다.

코로나19 방역시스템 운영기관 관련

또한 코로나19 대응 과정에서 개인정보 관리 관련 국민 불안 해소를 위해 방역시스템 운영기관에 대해 실태점검한 결과, 접속기록 누락 등 일부 안전조치 미흡 사항이 확인됐다. 다만, 구 ‘개인정보보호법’(이하 보호법)의 경우 긴급한 공중위생 관련 사항은 보호법 적용이 제외되어 별도의 법적 처분은 하지 않되, 보호법 개정(2023년 9월 15일)으로 향후 공중위생 관련해서도 보호법이 적용됨에 따라 개인정보의 안전한 관리를 위한 안전조치 의무가 발생하게 된 점 등을 고려해 질병관리청 등 관계기관에 주의를 당부했다.

지난해 3월 개정된 보호법은 공중위생 관련 사항도 보호법을 적용하도록 했다(2023년 9월 15일 이후 행위부터 적용).

개인정보위는 ‘개인정보보호법’ 개정 등에 따라 2023년 9월 15일 이후 발생한 공공기관의 개인정보 유출·침해 등에 대해서는 제재 수위가 대폭 강화(기존과태료→변경과징금 부과 원칙, 임직원 처벌 강화)된 만큼 기관과 담당자의 세심한 관심과 주의를 당부하는 한편, ‘관계부처와 함께 주요 시스템에 대한 사전 점검 및 평가(공공기관 개인정보 관리수준 진단 → 공공기관 개인정보 보호수준 평가로 강화) 등을 통해 국민의 개인정보를 대규모로 처리하는 공공기관의 개인정보 보호 수준을 높이는데 지속 노력해 나갈 계획이라고 밝혔다.

[김경애 기자(boan3@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=126707&page=1&mkind=1&kind=2)]​