<p style="text-align: center;">양청삼 개인정보보호위원회 개인정보정책국장 초청</p><p style="text-align: center;"><span data-ke-size="size26"><b>개인정보보호 기반강화 포럼</b></span></p><p style="text-align: center;">(월간현대경영 024년 6월호)</p><p style="text-align: center;"> </p><p style="text-align: center;"><span data-ke-size="size20"><b>개인정보 보호책임자(CPO) 시대가 활짝 열렸다!</b></span> </p><div class="figure-img" data-ke-type="image" data-ke-style="alignCenter" data-ke-mobilestyle="widthOrigin"><img src="https://t1.daumcdn.net/cafeattach/1Ta9I/1a9866640c02a74baf9d992316c29ba9fcdcb09a" class="txc-image" width="550" height="227" data-img-src="https://t1.daumcdn.net/cafeattach/1Ta9I/1a9866640c02a74baf9d992316c29ba9fcdcb09a" data-origin-width="550" data-origin-height="227"></div><p style="text-align: start;"> </p><div class="figure-img" data-ke-type="image" data-ke-style="alignCenter" data-ke-mobilestyle="widthOrigin"><img src="https://t1.daumcdn.net/cafeattach/1Ta9I/ef05b39ceda027399a5f8fd4c865bbb2c55bc235" class="txc-image" width="550" height="227" data-img-src="https://t1.daumcdn.net/cafeattach/1Ta9I/ef05b39ceda027399a5f8fd4c865bbb2c55bc235" data-origin-width="550" data-origin-height="227"></div><p style="text-align: start;"><b>현대경영포럼 개인정보보호 기반 강화 조찬회 I 2024년 6월 5일(수) 08:00-09:30 I 조선호텔 1층 ‘나인스게이트’</b><br> <br> </p><p>공공부문 개인정보보호 기반 강화 포럼 참석인사</p><div class="table-wrap"><table data-ke-type="table" data-ke-align="alignLeft" style="width: 100%;" border="1"><tbody><tr><td>좌장<br>참석인사<br><br><br><br><br><br><br><br><br><br><br></td><td>양청삼 개인정보보호위원회 개인정보정책국장<br>한상운 한국공항공사 사이버보안센터장<br>정충희 한국교통안전공단 정보보안처장<br>이안규 한국수자원공사 정보보안처장<br>이영미 한국수출입은행 정보보호단장<br>김영삼 한국자산관리공사 정보보안부장<br>오중선 한국전력공사 정보보안실장<br>유달영 한국재정정보원 사이버안전센터 소장<br>강동현 한국통계정보원 경영지원실장<br>한영래 한국환경공단 디지털혁신처장<br> <br>– 기관명 가나다순</td></tr></tbody></table></div><p style="text-align: start;"> <br><b>CPO(개인정보 보호책임자) 시대가 활짝 열렸다. 현대경영포럼은 이같은 CPO(Chief Privacy Officer) 시대의 개막과 관련, 양청삼 개인정보보호위원회 개인정보정책국장을 모시고, 주요 공공기관 CPO 등을 초청, ‘공공부문 개인정보보호 기반 강화’를 주제로 조찬회를 가졌다. 양청삼 국장은 기조연설에서 “AI(인공지능) 시대의 도래에 대응, 민관협력으로 개인정보보호 대책에 관한 최적의 솔루션을 찾자”고 당부했고, 포럼 참석자들은 “공공기관부터 개인정보보호에 선도적 역할을 다하겠다”고 화답하면서, AI 시대에 발맞춰 방대한 정보량에 비례한 전문인력 충원에 관한 가이드라인과 공공기관 개인정보 보호수준 평가지표 개선안 등을 건의했다. 고려대 사학과, 미국 카네기멜론대 석사, 행시(41회)를 거쳐 과기정통부 인터넷제도혁신과장, 대통령실 디지털혁신비서관실, 대통령직인수위 디지털플랫폼정부 TF 등을 거친 양청삼 국장의 개인정보보호에 관한 확고한 정책소신을 들으면서 기자는 ‘K-개인정보보호’ 부문에서도 세계 일등국의 그랜드 비전을 기대하게 되었다. 좋은 비전을 제시한 양청삼 국장께 독자를 대신해 감사 올린다.</b><br> <br>글_홍윤기 기자<br> <br> </p><div class="figure-img" data-ke-type="image" data-ke-style="alignCenter" data-ke-mobilestyle="widthOrigin"><img src="https://t1.daumcdn.net/cafeattach/1Ta9I/48147d9098960b1c2a31f7b245c5c3c82a4961fd" class="txc-image" width="550" height="396" data-img-src="https://t1.daumcdn.net/cafeattach/1Ta9I/48147d9098960b1c2a31f7b245c5c3c82a4961fd" data-origin-width="550" data-origin-height="396"></div><p style="text-align: start;"><br> <br> <br> </p><p>KEYNOTE ADDRESS공공분야 개인정보 보호수준 평가</p><p style="text-align: start;"><b>양청삼 개인정보보호위원회 개인정보정책국장</b> 안녕하십니까. 오늘 이른 아침부터 현대경영포럼에 참석해주신 공공기관 임원 여러분께 감사의 말씀을 드립니다. 여러분께서도 잘 아시겠지만 ‘개인정보 보호법’ 제11조 및 시행령 제13조 등을 근거로 공공기관의 개인정보 보호수준 평가라는 어젠다는 이제 정식으로 법적 평가가 되었습니다. 현재 공공분야에 등록된 정보의 파일규모는 약 30만개이며, 1만 7천개의 개인정보 처리 시스템이 있습니다. 이 시스템들은 주민등록 처리를 비롯한 연계 작업에 쓰이며, 국민연금 관련 시스템 등 약 1천515개 시스템을 중점관리 시스템으로 지정하고 있습니다. 이들 시스템으로부터 개인정보가 유출되면 국민에게 피해를 미칠 수 있어, 공공분야의 개인정보보호에 관한 국민적 관심이 높아지고 있습니다. 앞으로 공공분야의 개인정보 보호수준 평가는 강화될 것입니다.<br> </p><p>개인정보 유출 사건·사고는 10점 감점</p><p style="text-align: start;">개인정보 보호수준 평가 대상은 2023년 800여개 기관에서 2024년 1천400여개 기관으로 확대되었고, 2025년에는 더욱 확대될 예정입니다. 우수기관 및 우수직원은 포상을 받게 될 것이며 포상 규모도 커질 것입니다. 반면, 미흡기관은 개선권고와 실태점검을 받게 될 것이며, 신규 및 미흡기관은 맞춤형·권역별 컨설팅 대상이 될 것입니다. 평가 지표에는 자체평가 정량지표와 심층평가 정성지표 등이 있습니다. 자체평가는 법적 의무이행 사항에 대해 기관이 자체적으로 평가를 하기 때문에 점수가 높게 나옵니다. 중요한 평가 지표는 심층평가입니다. 이 심층평가를 통해 개별 기관은 기관장의 개인정보 보호를 위한 의지(개인정보 관련 인력·조직, 예산 등), 노력도 등에 대하여 변별력 있는 평가를 받을 것입니다. 특정심사위원들로 구성된 팀이 1천400개 기관 전체를 평가하게 될 것입니다. ‘개인정보 보호책임자 지정’이나 ‘개인정보 처리방침의 적절성’ 등 중점적인 관리가 필요합니다. 기타지표 중 최대 10점의 가점을 부여하는 항목이 ‘신기술 환경에서의 개인정보의 안전한 활용 및 안전조치’입니다. 한편, 최대 10점의 감점을 부여하는 항목은 ‘개인정보 유출’과 ‘유출 외 개인정보 관련 사건·사고 발생’입니다. 공공기관에서 개인정보 유출이 발생하는 주된 원인은 해킹보다는 실무자의 실수입니다. 실무자에 대한 교육 강화가 필요합니다. 그 밖에 제출 자료가 거짓·허위이거나 과태료가 부과된 경우에도 감점을 받게 됩니다. 감점을 받지 않도록 특히 주의를 부탁드리며, 고의 유출 또는 부정 이용 시 형사처벌 규정도 신설된 만큼(개인정보보호법 제59조 제3호) 이를 방지할 대책 마련도 부탁드립니다.<br> <br> </p><div class="figure-img" data-ke-type="image" data-ke-style="alignCenter" data-ke-mobilestyle="widthOrigin"><img src="https://t1.daumcdn.net/cafeattach/1Ta9I/c9aecdaa8dea62b137851f6bd316e0b1b766c7fc" class="txc-image" width="550" height="355" data-img-src="https://t1.daumcdn.net/cafeattach/1Ta9I/c9aecdaa8dea62b137851f6bd316e0b1b766c7fc" data-origin-width="550" data-origin-height="355"></div><p style="text-align: start;"><br> <br> </p><p>CPO 자격요건 도입 및 정보주체의 대응권 보장</p><p style="text-align: start;">개인정보보호위원회는 앞서 말씀드린 CPO의 자격요건을 도입하고 CPO 업무의 독립성을 보장하는 등 업무수행체계도 명확하게 규정할 것입니다. 또한 개인정보 영향평가제도를 실시하여 개인정보 침해 위험 요인 분석 및 개선방안 도출을 통해 안전한 개인정보 처리 과정 설계를 유도할 것입니다.<br>AI 등 완전히 자동화된 결정에 대해 투명성을 확보하고 정보주체의 대응권도 보장할 것입니다. 특히 자동화된 결정에 대해 간결하고 의미 있는 설명을 하고, 정보주체가 의견을 제출하는 경우 반영 여부를 검토 및 통보할 것입니다. 이상 개인정보보호 개요에 관한 저의 기조발언은 끝내고, 공공기관의 현장에서 활약하시는 여러 고명하신 여러분들의 현안과제나 건의사항 등을 말씀해주시면 적극 경청하겠으며 좋은 의견들은 정책에 반영토록 하겠습니다. 감사합니다.<br> <br> </p><p>ROUND TABLE대국민 여행 속 개인정보보호 캠페인 시행</p><p style="text-align: start;"><b>한상운 한국공항공사 사이버보안센터장</b> 오늘 양청삼 국장님의 상세한 설명 감사드립니다. 한국공항공사는 2024년 3월 4일, 개인정보보호위원회와 함께 김포공항을 찾은 여행객들을 대상으로 ‘여행 속 개인정보보호 캠페인’을 펼쳤습니다. 이 캠페인을 통해 여행 중에 소홀히 할 수 있는 개인정보의 중요성을 적극 알리고자, 여행객을 대상으로 홍보 리플릿과 기념품(택배 송장 개인정보 지우개)을 배포하며 유의사항을 당부하는 현장 캠페인을 펼쳐 좋은 반응을 받았습니다. 한국공항공사는 앞으로도 고객의 정보를 소중히 여기고 보호하는 활동에 앞장서겠습니다. 한국공항공사는 현재 공항에서 신분확인을 위하여 승객들의 생체정보 약 580만명분을 이용중이며 지속적으로 증가 추세에 있습니다. 생체정보는 신분증을 대체하는 정보로서, 사이버 관제상황실에서 특이사항 유무를 모니터링 하고 있으며 앞으로 AI를 활용한 사이버 보안 체계도 강화할 예정입니다. 한 가지 건의를 드리자면, 개인정보 보호수준 평가결과를 정부경영평가 반영 시 각 평가군 1위 기관 점수 대비 상대비율로 계량화하여 점수가 개선되기를 기대합니다.<br> </p><p>보유 정보량에 비례한 적정 전담인력 기준 강화 필요</p><p style="text-align: start;"><b>정충희 한국교통안전공단 정보보안처장</b> 한국교통안전공단은 개인정보보호 전담조직, 심의위원회, 실무협의회 등 전사적 관리체계를 구성하고 있고, 경영진에서 개인정보취급자까지 책임과 권한을 분산하여 개인정보보호 업무를 실효성 있게 추진하고 있습니다. 효율적 보안관제 및 사이버침해 대응체계를 강화하는 한편, 제로트러스트(Zero Trust)와 EDR(Endpoint Detection and Response)등의 최신기술을 활용하여 정보자산 보호대책도 고도화하고 있습니다. 아울러 변화하는 정보보안 위협에 철저히 대응해 나가고자 만전을 기하고 있습니다. 공단에서 다루는 개인정보의 종류와 양은 크게 증가한 반면, 강화된 개인정보보호법을 대응하기엔 전담인력은 매우 부족한 상황입니다. 각 기관에서 정부에 개인정보 인력증원을 요청할 수 있도록 보유 정보량에 비례한 적정 전담인력 기준을 강화하여 제도적으로 제시해 주시면 감사하겠습니다.<br>※Zero trust: 모든 접근에 대해 일단 신뢰하지 않는다는 정보보안 개념.<br>※EDR(Endpoint Detection and Response): AI 등 엔드 포인트 보안 기술.<br> </p><p>24시간 365일 실시간 모니터링</p><p style="text-align: start;"><b>이안규 한국수자원공사 정보보안처장</b> 한국수자원공사는 정보보안 및 개인정보 보호에 대한 인식 향상을 위해 전 직원을 대상으로 연간 2시간의 필수교육 도입 및 개인정보 취급 대상별 맞춤형 교육을 시행하는 등 지속적인 노력을 기울여 왔습니다. 유·노출 방지시스템 고도화, 사이버 침해사고 상시 모니터링 체계 구축 등에 대해서도 힘써 왔습니다. 이러한 성과를 인정받아 ‘공공기관 개인정보 관리수준 진단’에서 5년 연속 최우수등급을 획득한 바 있습니다. 개인정보 보호에 대한 중요성이 점차 높아지는 만큼 전 직원의 보안의식 강화는 물론, 신규 보안시스템 도입과 지속적인 정보관리체계 개선을 통해 국민의 소중한 정보를 더욱 안전하게 관리하도록 최선을 다하겠습니다. 개인정보보호의 중요성에 따라 한국수자원공사에도 2년 전 선제적으로 정보보안처를 신설, 정보보안을 강화하고 있습니다. 한국수자원공사의 보안관제 시스템은 외부로부터의 어떤 해킹, 바이러스 등 여러 사이버공격을 보호하기 위해 24시간 365일 실시간으로 모니터링을 하는 등 만전을 기하고 있습니다.<br> </p><p>정량지표 대비 정성지표 명료한 기준 확립을</p><p style="text-align: start;"><b>이영미 한국수출입은행 정보보호단장</b> 수출입은행은 개인정보보호를 위해 ①관리적 조치 ②기술적 조치 ③물리적 조치 등 개인정보보호에 앞장서고 있습니다.<br>①관리적 조치(내부관리계획 수립·시행, 정기적 직원 교육 등)<br>②기술적 조치(개인정보처리시스템 등의 접근권한 관리,접근통제시스템 설치, 고유식별정보 등의 암호화, 보안프로그램 설치 등)<br>③물리적 조치(주 컴퓨터실, 자료보관실 등의 접근통제 등)<br>한편, 올해부터 실시하는 ‘개인정보 보호수준 평가’에서는 ‘정성평가’ 기준을 강화하여 중요성이 더욱 커졌습니다.<br>이에 대응하여 각 기관에서 관련 업무를 효과적으로 추진할 수 있도록 개인정보보호 인력·조직·예산 등 주요 평가항목에 대한 세부 기준 또는 가이드라인이 마련되기를 기대합니다. 아울러, 개인정보 보호 수준을 높이기 위해 평가결과를 적극적으로 환류시킬 수 있도록 평가항목별 점수와 상세한 내용을 투명하게 공개해주시길 제안 및 건의드립니다.<br> </p><p>‘개인정보의 안전한 활용’에 중점 관리</p><p style="text-align: start;"><b>김영삼 한국자산관리공사 정보보안부장</b> 한국자산관리공사는 ‘2023년도 개인정보 관리 수준 진단’에서 S등급을 획득, 9년 연속 최고 등급을 달성했습니다. 특히 개인정보보호를 위한 투자·노력, 개인정보 처리방침의 적절성 및 이행·개선 노력, 개인정보 안전조치의 적절성 및 개선 노력, 개인정보 처리 업무 위·수탁의 적절성 및 사후관리 등 여러 지표에서 우수한 평가를 받았습니다. 앞으로도 국민에게 신뢰받는 공공기관으로서 국민의 소중한 개인정보를 빈틈없이 보호할 수 있도록 관리체계를 강화해 나가겠습니다.<br>양청삼 국장님께서 말씀하셨듯이 개인정보 보호수준 평가지표 항목 중 가점이 가장 높은 항목이 ‘신기술 환경에서의 개인정보의 안전한 활용 및 안전조치’입니다. 원활한 정보 활용을 위해 망분리(외부 침입으로부터 내부 전산자원을 보호하기 위해 내부망과 외부망을 분리하는 네트워크 보안기법) 이슈가 해결되기를 기대합니다. 망분리에 관한 종합적인 가이드를 통해 실무 차원에서 정보 활용에 관한 규제 등이 해소되어 원활한 정보 활용이 가능해지기를 기대합니다.<br> </p><p>개인정보식별장치로 이미지 정보도 관리</p><p style="text-align: start;"><b>오중선 한국전력공사 정보보안실장</b> 한국전력공사는 개인정보의 안전성 확보를 위해 개인정보보호법 제29조에 따라 기술적, 관리적, 물리적 조치를 취하고 있습니다. 개인정보 취급 관련 안전성에 관한 자체 감사 및 관리감독을 실시하고 있으며, 개인정보 관련 교육을 진행하고 있습니다. 또한 내부관리계획을 수립·시행하고 개인정보 유출 및 해킹 등에 대비한 기술적 대책을 마련하였습니다. 개인정보 DB(데이터베이스) 시스템에 대한 암호화 조치를 시행하고, 침입차단시스템을 이용하여 외부로부터의 무단접근을 통제하고 있습니다. 얼마 전 K사의 개인정보 유출로 인한 과징금 부과 이슈를 반면교사로 삼아, 한국전력공사는 2개월에 걸쳐 전국 사업장 개인정보취급자에 대한 순회교육 및 온라인 교육을 진행하고 있으며, 전 직원에게 개인정보보호의 중요성 등에 관한 카드뉴스를 매월 발송하여 경각심을 일깨우고 있습니다. 이미지를 통한 개인정보 노출방지를 위하여 홈페이지에 별도의 개인정보식별시스템을 구축하여 이미지 정보도 철저히 관리해 나갈 계획입니다. 한국전력공사는 빈틈없는 개인정보보호를 위해 계속 노력해 나갈 것을 약속합니다.<br> </p><p>개인정보 유출- 사후관리에 따라 감점 완화도</p><p style="text-align: start;"><b>유달영 한국재정정보원 사이버보안센터 소장</b> 한국재정정보원은 기획재정부 산하기관으로서, 재정경제부문 관련기관을 중심으로 24시간 365일 보안관제를 실시해 재정시스템에 대한 사이버침해 예방과 정보보호를 강화하고 있습니다. 이같은 노력의 결과 ‘2023년도 개인정보 관리 수준 진단’에서 최우수기관(S등급)으로 선정됐습니다. 이는 기관장 주도의 개인정보보호 문화 조성과 단 한 건의 개인정보 유출 사고도 발생하지 않도록 전 직원이 끊임없이 노력한 결과로, 앞으로도 국민의 소중한 개인정보를 더욱더 철저히 보호하도록 노력하겠습니다. 한국재정정보원은 개인정보의 유출 문제를 살얼음판을 걷는 심정으로 추가적으로 ISMS-P 및 ISO 등 국내외 최고 수준의 인증을 취득하고 유지관리하고 있으며, 유출 사고가 일어난 상황을 가정하고 사후 수습 방안도 강화하고 있습니다. 개인정보 보호수준 평가 지표에서 ‘개인정보 유출’ 항목이 가장 큰 감점 요인(최대 –10점)이기 때문입니다.<br>따라서, 불가피한 개인정보 유출 사고의 경우 국내외 최고 수준의 인증취득 시 기존 감경 규정 이외 추가적인 감점을 완화하는 방안도 검토되기를 바랍니다.<br> </p><p>국가통계 서비스에도 개인정보보호 앞장서겠다</p><p style="text-align: start;"><b>강동현 한국통계정보원 경영지원실장</b> 한국통계정보원은 국가통계 데이터를 수집·관리하고, 고품질로 서비스하기 위한 통계청의 업무를 지원하는 국가통계정보화 전문기관입니다. 이를 위해 통계데이터의 수집·운영 관리, 통계정보시스템 구축 및 운영에 관한 다양한 사업을 수행하고 있습니다. 이에 따라 개인정보보호의 중요성을 인식, 고품질의 국가통계 정보서비스를 선도하는 국가통계정보화 전문기관으로서의 맡은 바 소임을 다하겠습니다. 한국통계정보원은 아직까지 개인정보 보호수준 평가를 받은 적은 없습니다. 올해부터 평가를 받게 될 예정이어서 “배운다”는 생각으로 이번 포럼에 참석하게 되었습니다. 여러 공공기관 선배님들의 말씀을 적극 경청하며, 여러분들의 좋은 사례들을 적극 벤치마킹하여 개인정보보호에 앞장서 나가겠습니다.<br> </p><div class="figure-img" data-ke-type="image" data-ke-style="alignCenter" data-ke-mobilestyle="widthOrigin"><img src="https://t1.daumcdn.net/cafeattach/1Ta9I/220918c4d0f2ed53c26ed4590cb23426baab6c17" class="txc-image" width="250" height="130" data-img-src="https://t1.daumcdn.net/cafeattach/1Ta9I/220918c4d0f2ed53c26ed4590cb23426baab6c17" data-origin-width="250" data-origin-height="130"></div><p style="text-align: start;"><br>개인정보보호 페어 & CPO 워크숍 (2024년 6월 4일∼5일/서울 코엑스)<br> </p><p>AI 보안 가이드라인과 CPO 자격요건 완화</p><p style="text-align: start;"><b>한영래 한국환경공단 디지털혁신처장</b> 한국환경공단은 정보주체의 자유와 권리 보호를 위해 ‘개인정보 보호법’ 및 관계법령이 정한 바를 준수, 적법하게 개인정보를 처리하고 안전하게 관리하고 있습니다. 사이버침해사고 대응체계 구축 및 훈련, 개인정보보호·정보보안 정책 수립 및 시행, 정보보호시스템 보안적합성 검증, 정보보호시스템 운영(유출·노출 점검, 접속기록, 스팸메일 차단, 악성메일, 유해차단, EDR), 기관 평가(경영평가, 인권 등) 및 내부 평가 관리를 통해 고객의 개인정보를 철저히 관리하고 있습니다. 한국환경공단에서는 디지털 플랫폼 정부실현에 기여하기 위해 업무에 AI 등 디지털신기술을 도입하기 위한 노력을 기울이고 있고 이와 더불어 이에 대응한 보안정책을 고민 중입니다. 개인정보보호위원회에서 AI 등 신기술 도입 시 개인정보 유출 위험을 최소화하기 위한 기관별 조치에 대한 명확한 가이드라인을 제시해 주면 업무 수행에 큰 도움이 될 것 같습니다. 또한, 대부분의 공공기관이 정보보호 업무 4년과 개인정보 관련 업무 2년의 CPO 자격요건을 충족하기 어려운 점을 고려해, 보다 유연한 접근이 필요하다고 판단되니 이에 대한 다각적인 검토를 부탁드리겠습니다.<br> <br> </p><p>CLOSING ADDRESS공공부문 개인정보보호의 선도자로 발전을</p><p style="text-align: start;"><b>양청삼 개인정보보호위원회 개인정보정책국장</b> 오늘 여러분들의 좋은 말씀 거듭 감사드리면서, 주요 공공기관 임원 및 CPO 등 관계자 여러분들의 고견을 적극 경청하였습니다. 여러분께서 말씀해주신 현안과제와 애로사항들 즉, 인력 충원에 관한 가이드라인, 개인정보 보호수준 평가 등급 조정, 정성지표의 명료화, 감점 완화 방안 등에 관해서는 개인정보보호위원회에서 적극 검토하고 정책 반영도 고려토록 하겠습니다.<br>개인정보보호위원회는 오는 2024년 7월 ‘CPO 업무 가이드라인’을 발간하고, 개인정보 파일등록 현황 조사 및 일제 정비를 실시하는 등 개인정보보호를 위한 조치를 추진해나갈 것입니다. 2025년 3월, ‘24년 개인정보 보호수준 전문가 종합평가’를 거쳐 2025년 4월에 평가결과를 발표할 예정입니다. 오늘 이 자리에 나와 주신 공공기관 여러분들께서도 공공부문의 개인정보 보호수준을 제고, 특히 유출 사고가 발생하지 않도록 안전조치를 강화해 주실 것을 당부 드리면서 폐회의 말씀으로 대신하고자 합니다. 감사합니다.<br> <br>* 자세한 내용은 월간현대경영에 문의하시기 바랍니다.<br>2024. 6월호</p><p> </p>
<!-- -->
