2024-03-29 05:50 (금)
김종표 KISA 팀장 "안전조치 의무 위반, 32.8%로 가장 많아"...내년 안전성 확보조치 개선방향 공개
상태바
김종표 KISA 팀장 "안전조치 의무 위반, 32.8%로 가장 많아"...내년 안전성 확보조치 개선방향 공개
  • 길민권 기자
  • 승인 2018.11.18 14:33
이 기사를 공유합니다

최근 6년간 개인정보보호법 위반 기관 1천555개소...과태료만 35억7천만원

▲ K-CYBER SAFETY 2018에서 '개인정보보호 위반사례 및 안전성 확보조치 방안'에 대해 강연을 진행하고 있는 김종표 KISA 팀장.
▲ K-CYBER SAFETY 2018에서 '개인정보보호 위반사례 및 안전성 확보조치 방안'에 대해 강연을 진행하고 있는 김종표 KISA 팀장.
행정안전부, 산업통상자원부, 경기도 주최 K-SAFETY EXPO 2018이 지난 11월 14~16일까지 킨텍스 제1전시장에서 개최됐다. 이 가운데 15일 킨텍스 제1전시장 3층 그랜드볼룸에서 개인정보보호 및 정보보안 등 사이버안전을 중심으로 실무자 대상 '대한민국 정부, 공공, 지자체 사이버안전 컨퍼런스' <K-CYBER SAFETY 2018>이 200여 명의 실무자가 참석한 가운데 개최됐다.

이날 김종표 한국인터넷진흥원 김종표 팀장은 '개인정보보호 위반사례 및 안전성 확보조치 방안'을 주제로 첫 강연을 진행했다.

발표내용에 따르면, 최근 6년간 1,700여 개소 대상으로 개인정보 관리실태 현장 점검 결과 1,555개소가 개인정보보호법 위반으로 행정처분을 받은 것으로 조사됐다. 총 부과된 과태료만 35억7천만원이 넘어간다.

KIM-2.jpg
행정처분 내역을 위반 내용별로 분석해 보면 안전조치의무 위반이 32.8%로 가장 많았다. 다음이 CCTV 관리위반 22.22%, 방침수립 등 기타가 14.99%, 미동의/과도수집이 10.39%, 동의/고지 방법 위반이 10.14%, 위수탁 관리 위반이 9.45%로 집계됐다.

개인정보의 안전관리 조치사항에 대해 공공기관은 접속기록 관리, 송수신 암호화, 재해재난 대비 등이 가장 낮게 나타났다. 민간기업도 만찬가지다.

김종표 팀장은 "지난해 8월부터 올해 3월까지 행정처분을 받은 192개 기관 중 과태료 1천만원 이상 부과받은 20개 기관 행정처분 결과, 19개 기관이 안전조치 의무를 위반한 것이다. 주요 안전조치 위반사항으로는 접근권한 관리와 접근통제, 개인정보의 암호화, 접속기록 보관 및 점검 등이 안된 것으로 조사됐다"고 설명했다.

또 "올해 3월 교육분야 대상 현장 점검결과 15개 대학 및5개 민간교육기관 중 18개 기관에서 21건의 법 위반이 확인됐다. 주요 위반 사항 21건 중 15건이 안전조치의무 위반으로 가장 많았다. 접근권한 관리 위반이 가장 많았고 접근통제, 개인정보 암호화, 접속기록 보관 및 점검, 물리적 안전조치 등 순으로 조사됐다"고 밝혔다. 상당수 기관들이 개인정보 안전조치 의무를 위반하고 있는 상황이다.

개인정보보호법 제29조 안전조치의무에 따르면 "개인정보처리자는 개인정보가 분실•도난•유출•위조•변조 또는 훼손되지 아니 하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적•관리적 및 물리적 조치를 해야 한다"고 명시하고 있다. 이를 위반하면 2년 이하의 징역 또는 2천만원 이하 벌금과 3천만원 이하의 과태료를 받게 된다.

◇2019년 개인정보보호법 안전성 확보조치 개선 방향

한편 2019년 안전성 확보조치 개선 방향에 대해 김종표 팀장은 "지자체 등 다수의 공공기관에서 관례적으로 의무 보관기관 6개월이 경과한 접속기록은 더 이상 보관하지 않고 보로 삭제 조치하고 있다. 하지만 개인정보 유출사고는 사고 발생 1~@년 후에 발견되거나 접속기록이 없어 유출 원인을 추적하는데 어려움이 발생하고 있다. 이에 개인정보 유출사고 발견 시점, 예산소요, 타 법의 사례 등을 고려해 접속기록 보관기관을 중요도에 따라 차등적 연장을 검토하고 있다"고 전했다.

또 "접속기록에 정보주체에 대한 항목을 기록하지 않아 특정인의 개인정보 침해발생에 대한 추적이 곤란한 상황이고 대량의 개인정보를 다운로드하는 행위에 대한 접속기록 항목이 없어 이로인해 개인정보를 유출하기 위해 대량으로 개인정보를 다운로드해도 확인이 안돼 유출사고 예방에 한계가 있다"고 지적하고 "정보주체에 관한 사항(성명 또는 ID), 일정 규모 이상 개인정보 다운로드에 대한 기록 항목 등을 구체화, 표준화할 예정이다"라고 밝혔다.

이외에도 접속기록 점검 업무의 효율성으 확보하기 위해 점검 주기와 점검 주체에 대한 기준을 검토하고 있다고 한다.

김종표 팀장의 K-CYBER SAFETY 2018 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★