안녕하십니까? 개인정보보호위원회 조사총괄과장입니다.

어제 개최한 21회 개인정보보호위원회 회의에서는 공공기관 개인정보 처리시스템 점검 결과에 대해 논의하고 미흡한 사항에 대해서는 시정 또는 개선토록 권고하였습니다.

논의된 2개 안건의 주요 내용에 대해 설명드리겠습니다.

먼저, 집중관리시스템 점검 결과입니다.

개인정보위는 작년 7월 관계기관 합동으로 발표한 공공기관 유출방지대책의 후속 실행계획으로 올해 4월 공공기관 안전조치 강화계획을 마련하였고 집중관리시스템 1,515개를 선정하여 2025년까지 3년간 순차적으로 그 이행실태를 점검 중입니다.

이번 1차 연도 실태점검은 국민의 민감한 개인정보를 대규모로 처리하여 점검이 시급한 주민등록 연계시스템 등 총 62개 시스템을 점검하였습니다.

점검 결과, 시스템별 책임자 지정, 안전조치 방안 수립, 비공무원 발급절차 마련, 개인정보 보호 전담인력 확보 등은 계획 발표 이전에 비해 전반적으로 빠르게 개선되고 있으나 시스템별 협의회 설치, 취급자 인사정보 연계, 이상행위 탐지 등 일부 과제는 상대적으로 개선이 더딘 것으로 확인되었습니다.

안전조치 강화계획에 담겨진 10대 과제의 주요 내용은 올해 9월 개정된 시행령에 담겨져서 내년 9월 시행될 예정입니다.

1년간 시행을 유예하여 계도기간으로 운영되는 만큼 이번에 점검한 18개 기관의 미흡사항은 개선을 권고하는 한편, 앞으로 점검할 기관들에도 점검 결과와 우수사례를 공유하여 선제적으로 개선작업이 진행되도록 할 계획입니다.

다음은 중앙선관위 시스템 사전 실태점검 결과입니다.

개인정보위는 언론, 국회 등의 지적에 따라 지난 11월부터 약 한 달간 중앙선관위 주요 시스템의 개인정보 보호 실태를 점검하였습니다.

이번 사전 실태점검은 개정보호법에 새로 도입된 조사 방식으로 유출사고 등이 일어나지 않더라도 위험성이 있는 경우 선제적으로 점검하여 예방적 차원에서 시정을 권고할 수 있는 제도입니다.

이번 점검에서는 선거인의 개인정보가 포함된 통합명부시스템과 선거 사무에 가장 많이 활용되는 선거알림시스템 등을 대상으로 개인정보의 수집·이용·파기, 안전성 확보조치 등 개인정보의 안전한 관리에 초점을 두고 처리과정 전반의 적정성을 중점적으로 살펴보았습니다.

점검 결과, 접근권한 통제, 암호 알고리즘, 접속기록 보관·관리 등에 일부 취약점이 확인되어 시정을 권고하였고, 공공시스템 안전조치 강화계획에 따른 이행실태도 함께 점검하여 시스템 협의회 구성 및 전담인력 확보 등 미흡한 사항에 대해 개선할 것을 권고하였습니다.

이번 두 가지 점검은 주요 공공시스템의 개인정보 관리체계 전반을 점검함으로써 개인정보 유출·침해사고를 예방하는 데 의의가 있다고 하겠습니다.

개인정보위는 개정보호법 시행으로 공공기관에 대한 제재 수준이 획기적으로 높아진 점을 적극적으로 알리고 공공부문 개인정보 보호 수준을 한 단계 높여 나갈 계획입니다.

이상으로 설명 마치겠습니다. 감사합니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> (온라인 질의 대독) 다음은 문자로 주신 질문에 대해서 저희가 답변하는 시간을 갖도록 하겠습니다. 먼저, KBS 기자분께서 질문해 주셨습니다. 주민등록 연계 등 공공기관의 62개 시스템은 어떤 걸 의미하는 건지요?

그리고 18개 운영기관은 시스템을 관리하는 민간업체인지 여부에 대해서 질문하셨고요.

그다음에 이행률이 개선됐다고 하셨는데 비교 기간이 언제인지, 2022년과 올해의 비교 이행률인지 이 부분에 대해서 질문 주셨습니다.

또 선관위 시스템에서 발견됐다고 지적한 미흡한 사례들을 설명했는데 각각 어떤 시스템에서 확인된 사실인지, 어느 정도 수준인 건지에 대해서 질문 주셨고요.

마지막으로, 이번 점검이 전체회의에서 의결된 개인정보 보호 시행계획과 별개로 진행된 점검이었는지 여부에 대해서 질문 주셨습니다. 답변 부탁드리겠습니다.

<답변> 답변드리겠습니다. 이번에 점검한 62개 시스템은 단일접속시스템 55개와 지난번에 경기도교육청의 학생 성적 유출과 관련해서 교육 분야 시스템 1개를 포함해서 62개 시스템을 선정해서 조사를 하게 됐습니다.

추가로 좀 더 말씀드리면 1,515개 집중관리시스템을 우리가 선정했을 때 시스템의 종류는 126종입니다. 단일접속시스템이 78개, 표준 배포 패키지가 8개, 개별 시스템이 40개가 되겠습니다. 이 중에서 점검 대상으로 잡은 부분은 단일접속시스템 중에서 주민등록시스템과 직접 연계된 46개와 직접 연결되지는 않더라 하더라도 주민등록시스템을 사용하는 시스템 9개 그리고 교육 분야 7개를 선정해서 조사했습니다.

그리고 18개 부처는 이번에 조사를... 실태 점검을 실시한 17개 부처를 말하는 거고 거기에는 17개 공공기관 관련 산하 공공기관도 포함돼 있습니다.

그리고 비교 기간에 대해서 말씀드리면 처음에 유출방지대책을 세울 때 그때 당시의 현황을 분석했었고, 그리고 올 4월에 안전조치 강화계획을 발표할 때도 사전에 미리 현황에 대해서는 조사한 바가 있는데 거기하고 비교했을 때를 말하는 것입니다.

그리고 51개 행정기관 개인정보 시행계획과는 별도로 이루어지는 것으로서 관계부처 합동으로 마련한 유출방지대책, 그 후속 대책인 안전조치 강화계획 그 계획에 따라서 조사... 실태점검이 실시되었습니다.

그리고 또 한 가지, 선관위 시스템 미흡 사례 관련해서 자세한 내용을 조금 알려 달라는 그런 질문이 있었는데 접근권한 통제 부분은 통합명부시스템과 지자체용 선거관리시스템 그리고 알고리즘은, 암호 알고리즘은 통합인증관리시스템에서 확인했고 접속기록 부분은 선거관리시스템 전반에서 미흡 사항이 확인되었습니다.

참고로 사전 의견을 받은 결과, 선관위에서는 담당자 접근권한 현행화 소홀, 연속 인증 실패 시 접근차단 미비, 구식 암호 알고리즘, 안전하지 않은 옛날 방식의 알고리즘 사용 등에 대해서는 이미 시정을 하였거나 시정 중에 있다는 답변을 보내 왔고요. 이런 부분들은 크게 시간이 걸리는 부분이 아니기 때문에 조속한 시일 내에 해결될 거라고 기대하고 있습니다.

<질문> (온라인 질의 대독) 다음으로, 연합뉴스TV의 기자님께서 또 추가로 두 가지 질문 주셨습니다. 먼저, 지난해 7월 공공기관 유출방지대책 발표 당시 형식적으로 접속기록을 점검하고 비정상적인 접근 시도 탐지가 미흡하다는 문제점이 지적됐고, 올해 4월 개인정보 안전조치 강화계획을 발표할 때도 이상행위 탐지된 점검체계가 미흡한 걸로 드러났습니다.

그런데 이번 점검 결과에서도 접속기록 점검 강화조치는 여전히 이행이 더딘 걸로 나타나는데 접속기록 점검 분야 개선이 더딘 원인은 무엇인지, 해당 분야에서 과제 이행률을 높이기 위한 대책이 따로 있는지에 대해서 질문 주셨습니다.

추가로, 올해 점검을 실시한 기관이 18개 운영기관이라고 해주셨는데 이들 기관부터 점검에 들어간 배경에 대해서도 좀 더 상세하게 설명해 주시기를 질문드렸습니다.

<답변> 첫 번째 질문하신 접속기록 이상행위 탐지 관련돼서 이행이 더딘 이유가 무엇인지에 대해서는 이 부분은 단순하게 무슨 간단하게 조작이라든지 직원의 교육이라든지 이런 부분이 아니라 시스템을 바꿔야 되는 그런 부분입니다.

접속기록을 관리하는, 시스템에서 직접 관리하는 이 시스템은 예산이 수반이 되는 거고, 특히 이상행위 탐지를 하기 위해서는 그 패턴을 갖다가 정형화해서 해야 되는데 기관별로 그 상황은 다릅니다. 패턴 유형에 대해서도 연구 분석이 필요한 부분이 있고 또 예산 확보하는 그런 부분이 있습니다.

우리 위원회에서는 이런 내용을 조금 더 도움을 주는 차원에서 올해 예산집행지침에 정부와 예산 낙찰 차액을 개인정보 보호에 활용할 수 있도록 이미 집행지침에 기재부와 협의를 통해서 담아 놓았고, 예산 확보 과정에서도 전체적으로 필요한 수준에 대해서 지원을 하고 있습니다.

올해 예산은 이미 확정된 상태기 때문에 예산이 확보되지 않은 기관은 우선 가용한 자원을 통해서 올해 시행을 하되, 그렇지 못한 경우에는 2025년 예산에 들어갈 수 있도록 해서 시스템 개선을 지원하도록 하겠습니다.

그리고 18개 공공기관에 우선 들어간 이유는 단순히 18개 기관에 대해서 들어갔다기보다는 시스템별로 점검이 시급한 게 어디가 있느냐를 먼저 분석을 했고, 그래서 가장 대량으로 국민의 민감정보를 많이 다루는 이런 시스템에 대해서, 그리고 복잡도 그다음에 이용기관들이 많아서 관리가 더 시급하게 필요한 기관을 선정했는데, 18개 공공기관 중에는 시스템을 여러 개를 갖고 있습니다. 한 기관이 한 시스템이 아니라 많게는 40개 이상 가지고 있는 그런 부처들도 있을 거고, 18개 부처 중에서 이 주민등록 연계시스템을 갖고 있는 시스템을 우선적으로 점검을 했고요.

앞으로 이 기관들에 대해서는 이번에 점검한 결과, 이거를 공유하고 우수사례를 공유해서 특히 협의회 설치라든지 부처에서 어렵게 생각하는 부분, 모범사례를 제시해서 같이 공유하고 선제적으로 이행이 되도록 노력하겠습니다.

<답변> (사회자) 이상으로 금일 브리핑을 마치도록 하겠습니다.

온라인으로 참석해 주신 기자분들께 다시 한번 감사 말씀드립니다. 고맙습니다.

<끝>