올해 공공 및 기업들의 개인정보 관리 실태 점검 방향은 어떻게 될까. 지난 4월 2일 양재동 더케이호텔서울에서 800여 명의 개인정보보호 담당자들이 대거 참가한 가운데 개최된 국내 최대 개인정보보호 컨퍼런스 G-Privacy 2015에서 행정자치부 개인정보보호과 조성환 과장(사진)은 ‘2015년 개인정보 관리실태 점검 방향 및 사례’에 대해 발표했다.

조성환 과장은 “2012년부터 2014년까지 총 1천267개소를 점검한 결과 1천39개소가 처분을 받았다. 위반율이 82%에 달한다”며 “주요 위반사항은 CCTV 설치, 운영 위반이 가장 많았고 개인정보보호 안전조치 미흡, 위-수탁 위반, 동의 없는 수집이용 및 고지의무 불이행, 동의 방법 위반, 개인정보 미파기 등이 가장 많이 적발됐다”고 설명했다.
 
한편 올해부터 개인정보 합동 점검 방향이 바뀐다고 언급했다. 국내 사업체는 380만개로 이중 홈페이지 보유 사업체는 약 71만개 정도다. 하지만 현 점검 인력으로는 71만개를 효과적으로 점검하기란 불가능하다. 현재 연간 500개 기관을 대상으로 현장점검이 가능하기 때문에 71만개를 점검하려면 대략 1천420년이 걸릴 정도다.
 
이에 행자부는 점검 결과를 분석하고 점검 방향을 수탁자 중심으로 초점을 맞추겠다고 밝혔다. 점검결과, 법 위방 중 수탁자 책임형이 66%에 달했고 개인정보 유출건도 수탁자에서 77% 가량 적발됐다. 그리고 사업자의 84%가 시스템 개발 및 운영업무를 위탁하고 있는 상황이기 때문이다.

 
조성환 과장은 “홈페이지 제작 및 호스팅 서비스 업체를 점검한 결과 병의원, 중소기업, 쇼핑몰, 학교, 학원, 펜션 등 몇 천개 사업자 홈페이지를 관리하면서 고지사항 및 처리방침 공개 미흡, 접근권한 관리, 접근기록 관리, 전송구간 암호화 적용 등이 미흡해 적발된 경우가 많다”며 “이외에도 개인 사업자 대상 ASP 사업자들도 미흡한 부분이 많았고 의료기관 IT 수탁사들도 EMP, OCS, PACS, 보험심사청구시스템 등을 수탁관리하면서 접근권한, 접근기록, 전송구간 암호화 등에 미흡한 점이 대거 적발됐다”고 지적했다.
 
행자부는 올해부터 수탁자를 중점적으로 점검할 방침이다. 업종별 위탁규모가 큰 주요 수탁자를 집중 점검하고 시스템 기획 및 개발단계부터 접 준수를 유도한다는 계획이다. 이를 위해 부처간 협력을 강화하고 해당 분야 주요 민간 협단체와 자율점검과 실태점검 예고 제도를 시행한다고 밝혔다.

 
민간 협단체와 점검 대상을 사전 협의하고 우선 자율점검 가이드라인을 배포해 회원사들이 자율점검을 실시해 개선 계획을 수립하고 이행하도록 유도해 관련 업계의 전반적인 개인정보보호 수준을 제고하고 이후 현장점검을 실시해 미 수행 기관에 과태료 등 행정처분을 내린다는 것이다. 이때 자율점검 및 이행 계획을 수립한 기관은 처분 유예 등 인센티브를 부여하겠다는 것도 포함돼 있다.
 
또 전산개발, 운영 주요 수탁사 중점 점검 대상은 매출규모 30억 이상 약 2천개 사업체를 대상으로 집중 점검에 나서겠다고 밝혔다.  
 
주요 점검 사항은 다음과 같다. 개인정보 파기 여부, 개인정보 수집, 이용, 제공 등에 대한 고지 여부, 개인정보처리방침 수립 여부, 개인정보 내부관리계획 수립, 시행 여부, 접근통제 및 접근권한 조치여부, SSL 암호화 적용 여부, 접속기록 보관 및 위변조 방지 조치, 보안프로그램 설치, 물리적 보안 조치, 업무 위탁에 따른 개인정보 처리 제한 등이 해당된다.
 
조성환 과장은 또 올해 강화되는 제도에 대해 “개인정보 관리 시스템을 공급단계에서부터 법을 준수해 시스템을 공급하도록 의무조항 신설 및 처벌이 강화되며 경각심 고취와 예방적 효과를 위해 법 위반자 공표를 강화할 것”이라고 밝히고 “공급 및 수탁 사업자에 대한 개발직원 대상 자체 교육을 의무적으로 부여할 방침”이라고 강조했다.
 
올해 월별 개인정보 실태점검 대상 등이 포함된 G-Privacy 2015 행자부 조성환 과장의 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com