개인정보보호위원회(위원장 윤종인, 이하 ‘개인정보위’)는 9월 14일 정부서울청사에서 제15회 전체회의를 열고, 서울 관악구 등 16개 지자체에 5천100만 원의 과태료 부과와 시정조치 권고를 의결하였다.
개인정보위는 법령에 따라 개인정보를 수집·이용하는 공공기관의 경우 개인정보보호 의무를 철저하게 준수할 필요가 있다는 점을 고려하여 출범 이후 공공기관에 대해 과태료 부과 등 엄격한 조치를 취하고 있다.
개인정보위는 ‘텔레그램 n번방’ 사건 등 지자체에서 개인정보 유출·악용 등의 우려가 지속적으로 제기됨에 따라 지자체들의 개인정보관리 실태를 확인하기 위해 이번 조사에 착수하였다.
이번 점검은 전체 지자체 중 사회복무요원의 개인정보 처리 관련 사전점검 결과 및 개인정보 수준진단 미흡기관 등을 종합적으로 고려하여 20개 지자체를 선정하여 조사하였으며, 특히 무분별한 계정 공유, 과도한 권한 부여 등으로 개인정보 남용이 일어나지 않도록 개인정보 처리시스템의 접근권한 관리, 접근통제 부분을 중점적으로 점검하였다.
점검 결과, 20개 지자체 중 16개 지자체에서 개인정보보호법(이하 ’보호법‘) 내 안전조치 의무(보호법29조)를 위반하였음을 확인하였다.
`안전조치 의무(보호법29조) 위반 중, 12개 기관은 개인정보처리자의 책임 추적성을 확보하기 위한 접근권한 관리 항목을 위반하였으며, 그 중 개인정보 취급자 별로 사용자 계정을 발급하지 않고 공통 계정을 공유하여 사용하는 경우가 7건으로 가장 많았고, 개인정보 취급자가 바뀌었음에도 종전 취급자의 접근권한을 말소하지 않은 경우 4건, 개인정보 취급자의 접근권한 부여·변경·말소기록을 보관하지 않은 경우 3건 등을 확인하였다.
책임 추적성(Accountability)이란, 시스템 내 각 개인은 유일하게 식별되어야 한다는 정보보호의 원칙. 이 원칙에 따라 시스템은 정보보호 규칙을 위반한 개인을 추적할 수 있고, 개인정보처리자는 자신의 행위에 대해 책임을 질 수 있다는 내용이다.
인가받지 않은 자가 개인정보처리시스템에 접속하는 등 불법적인 접속을 막기 위한 접근통제 항목에서는 6개 기관이 적발되었다.
외부에서 개인정보처리시스템에 접속할 때 가상사설망(VPN) 등 안전한 접속·인증수단을 적용하지 않은 경우가 5건으로 가장 많았고, 일정시간 시스템에 접속하지 않으면 자동으로 접속이 차단되도록 기술적 조치를 하지 않은 경우가 2건, 인터넷주소(IP) 분석 등을 통해 불법적인 개인정보 유출 시도를 탐지·대응하지 않은 경우가 1건 적발되었다.
또한 개인정보 저장시 안전한 암호 알고리즘을 사용하지 않은 경우 2건, 개인정보처리시스템의 접속기록을 월 1회 이상 점검하지 않는 경우도 4건을 각각 확인하였다.
개인정보위는 개인정보 보호 법규를 위반한 16개 기관에 대해 위반 정도에 따라 기관 별로 300만 원에서 360만 원까지 과태료를 부과하는 한편, 적발된 기관의 직원들을 교육하고 재발방지 대책을 마련하는 등의 시정조치를 이행할 것을 권고하였다.
아울러 전 지자체에 개인정보 보호법 안전조치 의무 주요 위반사례를 전파하여, 지자체가 안전조치의무를 준수하고 개인정보보호 역량을 강화하도록 할 예정이다.
양청삼 개인정보위 조사조정국장은 “접근권한 관리, 접근통제 등 안전조치의무는 개인정보 보호에서 가장 기본적인 사항”이라며 “이번 제재 처분을 통해 지방자치단체가 보다 책임감과 경각심을 갖고 개인정보 안전조치의무를 준수하도록 하여, 개인정보 유출에 대한 국민의 불안감을 해소할 수 있도록 노력하겠다”라고 말했다.
★정보보안 대표 미디어 데일리시큐!★