보건복지부 소속긱관에 대한 개인정보보호 관리실태를 일제 점검한 결과, 국민건강보험공단과 건강보험심사평가원 2개 기관은 ‘양호’, 보건부 본부·국민연금공단·질병관리본부 등 3개 기관은 ‘보통’으로 밝혀졌다. 그러나 국립장기이식관리센터는 ‘불량’으로 평가, 개선이 필요한 것으로 지적됐다. 이같은 결과는 보건복지가족부(장관 전재희)가 지난 해 10월부터 지난 1월까지 주요 소속기관 및 공공기관의 개인정보보호 관리실태를 집중 점검한 결과다. 보건부는 이를 토대로 개인정보보호 강화를 위한 방안을 마련했다고 밝혔다.
보건부의 이번 개인정보보호 실태점검은 지난 해 1월 2007년도 주요 소속기관의 개인정보 보호를 위해 일제 점검을 실시한 이후 두 번째로 실시된 것으로 보건부 본부·주요 소속기관 및 공공기관 등 7개 기관을 대상으로 정보보호컨설팅전문업체와 공동으로 실시했다. 이번 실태점검 항목은 공공기관의 개인정보보호를 위한 기본지침 등의 규정에 따라 ‘개인정보보보호 인력, 교육실시 현황 및 개인정보 열람로그 관리’ 등 9개 분야였다. 또 15주간 현장조사 방법으로 집중 점검했다.
점검결과 국민건강보험공단과 건강보험심사평가원 2개 기관은 ‘양호’, 복지부 본부, 국민연금공단, 질병관리본부 3개 기관은 ‘보통’으로 나타난 반면 국립장기이식관리센터는 ‘불량’으로 평가되어 개선이 필요한 것으로 나타났다. 그리고 기관별 주요 점검결과를 보면 국민건강보험공단과 건강보험심사평가원의 경우, 문서보안 부분에 일부 보완이 필요했으며 국민연금공단과 대한적십자사·질병관리본부는 USB메모리 등 저장매체 통제 관리와 내부사용자에 대한 서버접근 통제 부분에 개선이 필요했다.
국립장기이식관리센터는 인력 및 예산확보 등 전반적인 개인정보보호를 위한 지원이 시급한 것으로, 보건부 본부의 경우 ‘로그관리 및 분석’부문이 취약한 것으로 평가됐다. 점검항목별로 실태점검 결과를 살펴보면 국민건강보험공단 등 규모가 큰 기관은 개인정보 열람 및 출력에 대한 로그관리를 비교적 잘 수행하고 있으나 전반적으로 로그관리가 미흡했다.
이동형 저장매체에 대한 통제는 매체제어솔루션 도입으로, 기관 내 정보유출 경로로 악용되고 있는 웹하드, P2P, 메신저에 대한 통제는 비업무사이트 차단솔루션을 이용한 보호대책이 필요했다. 일부 시스템에서는 노출되기 쉬운 패스워드의 사용, 활용하지 않는 서비스의 방치 등 취약점이 발견되어 이에 대한 지속적인 점검 및 조치가 필요했다.
개인정보 취급자 PC에 대한 점검결과, 284대 중 55대(18%)에서 암호화 및 패스워드 설정 등 보호조치가 안 된 개인정보파일이 발견되는 등, 직원들의 개인정보보호 의식 수준 제고가 필요한 것으로 나타났다.
보건부는 이에대해 개인정보를 가장 잘 관리하는 부처로 거듭나기 위해 주요 소속기관 및 공공기관에 대해서는 매년 실태점검을 실시하고 점검대상기관을 확대하는 등 개인정보보호를 강화하는 각종 조치를 시행하기로 했다. 보건부는 이번 점검결과에 대해 각 기관이 자체적으로 조치계획을 수립․이행하도록 함으로써 자체점검기능을 강화하도록 할 방침이다. 국민건강보험공단, 국민연금공단, 건강보험심사평가원, 대한적십자사, 질병관리본부 등 민감한 개인정보를 다량 보유한 기관에 대해서는 매년 우선적으로 점검하고 올해는 나머지 기관에 대해서도 점검할 예정이다. 특히 보건부는 올해에는 ▲ 그동안의 감사 및 점검 등에 대한 지적사항의 개선 이행여부 ▲ 개인정보 수집, 이용․제공 등 처리주기별 준수사항 이행여부 ▲ 대량의 민감한 정보의 관리실태 ▲ 홈페이지 개인정보 노출 여부 ▲ 개인정보처리시스템에 대한 보안대책 적용의 적정성 등에 대해 심도있게 점검할 계획이다.
또한 개인정보를 다량 보유한 주요기관은 ‘개인정보보호 상시모니터링시스템’을 구축하여 직원들의 개인정보 유출 및 오․남용에 대해서도 상시적으로 점검해 나갈 예정이다. 개인정보보호 상시모니터링시스템은 이미 구축․운영 중인 국민건강보험공단에서 보건복지가족부, 국민연금공단, 건강보험심사평가원, 대한적십자사와 질병관리본부를 추가하여 6개 기관으로 확대 운영할 예정이다. 올 9월말 구축 완료를 목표로 현재 사업이 추진되고 있다. 보건부 개인정보관련 담당자는 이러한 것들이 모두 완료되는 올 해부터는 복지부 소속 주요기관의 개인정보가 한층 더 보호될 것으로 기대하고 있다. 한편, 개인정보 상시모니터링 체계란 개인정보 보유기관의 업무담당자가 단말기를 통해 개인정보 관련업무 처리 시(입력, 저장, 편집, 검색, 삭제 등) 처리한 정보가 일정 기간 동안 정보시스템에 자동 보관되고 동 정보를 통해 업무목적외의 조회 등을 상시 감시하는 시스템을 말한다.
김기원 기자
저작권자 © 의사신문 무단전재 및 재배포 금지
