개인정보위, 공공분야 집중관리시스템 전수점검 완료

개인정보위, 공공분야 집중관리시스템 전수점검 완료

('23~'25년, 104개 기관의 154개 시스템)

('25년) 38개 기관의 57개 시스템 점검, 국토부 주택소유확인시스템, 한국전력공사 송변전보상지원시스템, 국세청 세정업무포털 우수, 미흡 기관·시스템에 대해서는 시정권고

(3개년 종합) 전반적으로 개인정보 관리수준 향상, 향후 '공공기관 보호수준 평가' 체계를 통한 상시 모니터링 및 공공분야 맞춤형 사고 예방 지원

(국정자원관리원 화재 피해 집중관리시스템 대상) '개인정보 안전관리 특별컨설팅' 제공(e하늘장사정보시스템, 디지털돌봄시스템 등)

개인정보보호위원회(위원장 송경희, 이하 '개인정보위')는 11. 20.(목) 제23회 전체회의에서, 57개 공공시스템(이하 '집중관리시스템')을 운영하는 38개 기관을 점검하고 일부 이행이 미흡한 기관에 대해 '시정권고'하였다.

개인정보위는 그간 국민들의 데이터를 대규모로 처리하는 집중관리시스템 운영기관에 대해 강화된 안전조치 의무를 신설('24. 9월 시행)하고, '23년부터 올해까지 3년간 의무 이행실태를 집중 점검하였다.

< 집중관리시스템 개요 >

(선정기준) 개인정보 보유량(100만 건 이상), 개인정보 취급자 수(200명 이상), 특수 유형 개인정보(민감정보, 주민등록번호) 등을 기준으로 집중관리시스템 선정

(관련법령) ｢개인정보보호법｣ 시행령 §30조의2, ｢안전성 확보조치 기준｣(고시) §14~§17

(점검실적) ('23년) 주민등록 연계 단일접속시스템 등 62개(35개 기관) → ('24년) 표준배포시스템 등 35개(31개 기관) → ('25년) 개별시스템 등 57개(38개 기관)

< '25년 실태점검 결과>

이번 3년차 점검은 보호법 제63조의2에 근거한 사전 실태점검* 방식으로 진행되었으며 7개월('25.4월∼10월)간 서면조사와 현장점검을 병행하였다. 국민신문고, 홈택스 등 57개 집중관리시스템과 38개 운영기관을 대상으로 점검한 결과 '강화된 안전조치 의무'(4대 분야, 10대 과제 중심) 이행이 미흡한 과제에 대해서는 시정을 권고(36개 기관)하였고**, 처분받은 사실을 개인정보위 홈페이지에 1년간 공표할 예정이다.

* 사전 실태점검 후 시정권고 → 수락 시 본조사의 시정명령·권고(보호법 제64조)으로 갈음

** 10대 과제 모두 이행한 기관은 2곳(국세청, 한국부동산원)

'23년, '24년 10대 과제 이행 미흡기관에 대해 개선권고함(안전조치 특례 시행 이전)

한편, 국토부(주택소유확인시스템), 한국전력공사(송변전보상지원시스템), 국세청(세정업무포털)은 10대 과제 이행이 우수한 사례로 확인되었다.([붙임 1] 참조) 이후 개인정보위는 이번 점검결과와 우수사례를 공유하고 시정권고에 대한 기관별 이행상황을 엄정하게 모니터링할 예정이다.

< 3개년 점검 종합 >

지난 3년간 안전조치 특례 이행률은 전반적으로 향상된 것으로 나타났다.([붙임 2] 참조) ① 먼저 시스템 관리체계 분야는 3개 과제 모두 높은 이행률을 보였다. '개인정보보호 협의회 설치·운영' 과제는 34%(1차)에서 91%(3차), '책임자 지정'은 90%(1차)에서 98%(3차), '안전조치방안 수립'은 48%(1차)에서 95%(3차)로 개선되었다.

② 다음으로 접근권한 관리 분야에서는 '인사정보 연계' 과제는 34%(1차)에서 72%(3차), '비공무원 계정발급 절차 도입'은 68%(1차)에서 90%(3차)로 이행률이 상승하였다. 다만, '접근권한 현행화'는 이용기관 협조 부족 등으로 이행률이 다소 낮게(30%) 나타났다.

③ 접속기록 점검 분야에서는 '이용기관 접속기록 점검' 과제는 45%(1차)에서 58%(3차), '이상행위 탐지'는 52%(1차)에서 70%(3차) 등 개선되고 있으나 기능도입에 필요한 예산확보 어려움 등으로 다른 분야에 비하여 점진적인 개선 추세를 보였다.  

④ 마지막으로 인력 및 시스템 확충 분야에서는 '전담인력 확충' 과제는 기관별 평균 1.7명(1차)에서 2.7명(3차)으로 대폭 증가하였고, '시스템 개선계획 수립'도 85%(1차)에서 98%(3차)로 이행률이 높게 나타났다.

집중관리시스템 항목별 이행률 비교('23, '25년)

주: 접근권한 현행화의 경우 이용기관 인지 부족 등으로 30%(집중관리시스템 운영기관 고려 시 68%)

향후 개인정보위는 3년간 전수점검 결과를 바탕으로 '26년부터 '공공기관 보호수준 평가'를 통해 상시 점검한다는 방침이다. 아울러, 최근 증가하는 공공부문 유출에 대응하여 모의해킹 등 취약점 점검 의무를 보다 강화하는 방향으로 집중관리시스템 안전조치 특례제도를 개선하는 한편, 주요 취약점(유형별 ▴인적 과실, ▴웹취약점, ▴관리 사각지대)의 보완방안 마련 등 선제적 예방조치를 확대해나갈 계획이다.

< 국정자원 화재 관련 개인정보 보호조치 및 컨설팅 지원 >

아울러, 개인정보위는 최근 발생한 국가정보자원관리원(대전센터) 화재 이후 관련 기관에 ｢개인정보 안전관리 특별컨설팅 지원계획｣을 안내하고 자가진단 체크리스트를 배포(10.21.)하였으며, 컨설팅 신청을 접수받고 있다. 

현재 한국장례문화진흥원(e하늘장사정보시스템)과 한국사회보장정보원(디지털돌봄시스템 등 3개 시스템) 2개 기관으로부터 신청받아 시스템 백업 및 복구 계획, 외부 불법접근 등에 대한 컨설팅 진행 중에 있으며 추가 신청기관에 대해서도 진행할 예정이다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

담당자 : 조사총괄과 정민정(02-2100-3165)