2024-03-29 00:10 (금)
박나룡 CISO "ISMS 인증 의무 대상에 일정 규모 이상의 국가·공공기관 포함시켜야"
상태바
박나룡 CISO "ISMS 인증 의무 대상에 일정 규모 이상의 국가·공공기관 포함시켜야"
  • 길민권 기자
  • 승인 2018.11.18 17:03
이 기사를 공유합니다

"국가 공공기관을 위한 ISMS-G 시스템 필요하다"

▲ K-CYBER SAFETY 2018에서 박나룡 브로콜리 CISO(보안전략연구소 소장)가 '공공기관 개인정보 관리실태 점검 주요 이슈 체크'를 주제로 강연을 진행하고 있다.
▲ K-CYBER SAFETY 2018에서 박나룡 브로콜리 CISO(보안전략연구소 소장)가 '공공기관 개인정보 관리실태 점검 주요 이슈 체크'를 주제로 강연을 진행하고 있다.
행정안전부, 산업통상자원부, 경기도 주최 K-SAFETY EXPO 2018이 지난 11월 14~16일까지 킨텍스 제1전시장에서 개최됐다. 이 가운데 15일 킨텍스 제1전시장 3층 그랜드볼룸에서 개인정보보호 및 정보보안 등 사이버안전을 중심으로 실무자 대상 '대한민국 정부, 공공, 지자체 사이버안전 컨퍼런스' <K-CYBER SAFETY 2018>이 200여 명의 실무자가 참석한 가운데 개최됐다.

이 자리에서 박나룡 브로콜리 CISO(보안전략연구소 소장)는 '공공기관 개인정보 관리실태 점검 주요 이슈 체크'를 주제로 강연을 진행했다.

그는 "2015년부터 과태료 부과 업체와 과태료 금액이 대폭 상승하는 등 행정 처분이 증가하는 추세다. 즉 개인정보보호 상황이 개선되고 있다고 보기 어렵다"며 "국가·공공기관을 위한 ISMS-G 시스템이 필요하다"고 밝혔다.

위반 내용에서 안전조치 미흡이 32.81%로 가장 많았고, CCTV 관리 위반(22.22%), 미동의·과도 수집(10.39%), 동의·고지 방법 위반(10.14%), 위수탁 관리 위반(9.45%)등 다양한 분야에서 위반 사항들이 나타나는 것을 알 수 있다.

PK-2.jpg
박나룡 CISO는 "이러한 상황은 현재의 국가·공공기관을 포함해 조직에서의 개인정보 관리 방식이 적절한지 재검토할 필요성을 느끼게 한다"며 "특히 담당자의 업무가 바뀌는 조직의 경우 체크리스트 기반의 개인정보 업무와 점검 방식은 일회성 대응밖에 되지 않는다. 체계적인 보안 관리를 수행하며 지속적으로 개선하기에는 한계가 있는 것이 국가·공공기관의 특성이다"라고 지적했다.

그는 이어 "국가·공공기관의 일회성 점검과 체크리스트 방식의 보호 대책들을 지양하고 정보보호 전 분야를 체계적으로 시스템화 할 수 있는 ISMS-P(정보보호 및 개인정보보호 관리체계 인증)을 적극 활용할 필요가 있다"며 "이를 위해 관련 법률의 개정을 통해 ISMS 인증 의무 대상으로 일정 규모 이상의 국가, 공공기관을 포함해야 한다"고 강조했다.

박나룡 CISO의 K-CYBER SAFETY 2018 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★