안녕하세요. 캐치시큐입니다.
개인정보보호위원회(이하 ‘개인정보위’)가 최근 1,426개 공공기관을 대상으로 실시한 ‘2024년 공공기관 개인정보 보호수준 평가’ 결과를 발표했습니다.
이번 평가는 중앙행정기관 및 그 소속 기관, 지방자치단체, 공공기관, 지방공기업 및 교육행정기관 등 공공기관을 대상으로 진행되었습니다.
평과 결과는 S부터 D까지 총 5개의 등급으로 나누어지는데요.
2023년의 평가 결과와 대비해 기관의 등급이 어떻게 변했는지 등 결과에 대해 자세히 알아보겠습니다.
첫 평가에서 드러난 공공기관의 개인정보 보호 현주소
이번 평가에서 보건복지부, 한국가스공사, 국민건강보험공단, 인천국제공항공사 등 45개 기관이 최고 등급인 S등급을 받으며 뛰어난 개인정보 보호 역량을 입증했습니다.
전체 기관의 평균 점수는 77.6점으로, 그 중 A등급을 받은 기관이 316개(41.4%)로 가장 많았는데요.
기관 유형별로는 공기업·준정부기관(평균 88.2점)이 가장 우수한 개인정보 보호 수준을 보인 반면, 기초자치단체(평균 74.8점)는 상대적으로 미흡한 것으로 나타났습니다.
공공기관의 개인정보 보호 수준은 국민의 소중한 정보를 안전하게 지키는 데 직결되기에, 더욱 관심이 필요한 부분입니다.
평가 방식과 세부 결과
24년 평가는 크게 ①자체평가, ②전문가 심층평가, ③가감점 체계 세 가지 방식으로 진행되었습니다.
자체평가 : 법적 의무 이행은 어느 정도?
자체평가는 개인정보 처리자가 반드시 지켜야 하는 43개 법적 의무 이행 여부를 점검하는 정량지표로 구성됩니다.
평가기관 전체의 평균 이행률은 91.6%로 나타나 대부분의 공공기관이 「개인정보 보호법」 준수를 위해 노력하고 있음을 확인할 수 있었습니다.
세부 지표를 살펴보면 흥미로운 결과가 나옵니다.
△악성프로그램 방지, △침입차단 조치, △CCTV 안내판 설치 등은 이행률이 높은 편입니다.
하지만 △동의 시 주요 내용 고지 및 명확화, △동의·비동의 구분 및 공개, △복수 개인정보 처리 시 구분 동의 등 지표의 이행률은 상대적으로 낮은 것으로 드러났습니다.
심층평가 : 업무 추진 노력과 성과는?
심층평가는 개인정보 전문가로 구성된 평가단이 개인정보 중점 관리와 관련된 8개 정성지표를 바탕으로 개인정보보호 업무 추진 성과와 노력도를 평가합니다.
그 결과, △개인정보 처리방침의 적정성은 대체로 우수했지만, △개인정보 처리업무 위수탁 관리·감독과 △개인정보 안전성 확보조치를 위한 노력은 여전히 개선이 필요한 것으로 나타났습니다. 특히 개인정보 위탁 관리는 사고 발생 시 큰 피해로 이어질 수 있는 만큼 철저한 관리가 요구됩니다.
가감점 체계 : 신기술 환경의 안전한 활용이 중요!
감점 지표는 전년도와 동일하게 개인정보 유출 등 사고 발생 여부 및 과징금·과태료 등 처분 여부를 적용했습니다.
주목할 점은 ‘신기술 환경에서의 개인정보의 안전한 활용 및 안전조치’를 가점 지표로 신설했다는 것입니다.
평가 결과 가점을 받은 총 366개 기관의 평균 점수는 전체 평균 대비 4.7점 높았습니다.
특히 S등급을 받은 45개 기관은 모두 가점을 획득하여 개인정보 관리 체계가 잘 갖춰진 기관이 신기술 환경에서도 안전한 개인정보 활용 노력을 잘 이행하고 있음을 보여줬습니다.
또한, 개인정보위는 작년 진단에서 C·D등급을 받았던 187개 기관 및 민감정보 대량처리기관 8곳을 대상으로 현장 컨설팅을 실시했습니다.
이 컨설팅의 결과, 해당 기관들의 ’24년 평가 점수가 전년 대비 14.0점 크게 상승하는 등 맞춤형 컨설팅의 효과가 입증되기도 했습니다.
개인정보 보호 수준, 2023년 대비 뚜렷한 개선 보여!
몇 가지 항목에서는 여전히 개선이 필요하지만 이번 2024년 평가는 2023년 대비 공공기관의 개인정보 보호 수준이 전반적으로 크게 향상되었음을 보여줍니다.
특히, 최고 등급인 S등급과 우수 등급인 A등급을 받은 기관 수가 눈에 띄게 증가했습니다.
- S등급: 2023년 15개 기관 → 2024년 45개 기관 (3배 증가)
- A등급: 2023년 226개 기관 → 2024년 316개 기관
반면, 개선이 필요한 B, C, D 등급을 받은 기관의 수는 모두 감소하여 공공기관들의 개인정보 보호 노력이 결실을 맺고 있음을 확인할 수 있습니다.
- B등급: 2023년 315개 기관 → 2024년 306개 기관
- C등급: 2023년 146개 기관 → 2024년 85개 기관
- D등급: 2023년 94개 기관 → 2024년 44개 기관
이러한 긍정적인 변화는 공공기관들이 개인정보 보호의 중요성을 인식하고 적극적으로 개선 노력을 기울인 결과로 해석됩니다.
자체평가와 심층평가, 미흡한 점 어떻게 보완하면 될까?
자체평가에서 미이행률이 가장 높았던 점은 정보주체의 동의와 관련된 내용이고, 심층평가에는 안전성 확보조치와 위수탁 관리였습니다.
이러한 점들을 캐치시큐를 사용하면 자동으로 보완할 수 있다는 점 알고 계신가요?
‘정보주체 동의’ 지표 보완
개인정보 동의는 늘 까다로운 부분입니다. 전문가가 아니라면 법령을 하나하나 살펴보며 만들어야 하는데 이 방법도 쉽지 않을텐데요.
캐치시큐의 동의서 생성 기능을 활용하면 적법하게 동의를 받는 것이 훨씬 쉬워집니다.
AI가 분류한 개인정보 항목을 기반으로 몇 가지 질문에 답변만 하면, 필수 고지 항목이 완벽하게 포함된 동의서가 생성됩니다.
또한 홍보/마케팅 동의서와 같이 선택 사항인 경우, 실무자가 실수로 필수 사항으로 설정하는 일이 없도록 자동으로 ‘선택 사항’으로 강제 설정합니다.
위와 같이 캐치시큐의 동의서 생성 기능은 불필요한 법적 리스크를 사전에 차단해 드립니다.
개인정보 안전성 확보조치 보완
강력한 접근 통제 : 해킹을 예방하고 내부자의 고의 또는 실수로 인한 유출을 막기 위해 2단계 인증, 접속지 IP 제한과 같은 접근 통제 기능을 제공합니다.
세분화된 권한 관리 : 직급별·부서별로 필요한 만큼의 정보만 취급하도록 권한을 세분화하여 설정할 수 있어, 불필요한 정보 접근으로 인한 인적 오류를 예방합니다.
실시간 모니터링 및 점검 : 로그 모니터링과 보호 현황 점검 기능을 통해 개인정보 보호 현황을 상시적으로 점검하여 잠재적 위험을 조기에 발견하고 대응할 수 있도록 돕습니다.
위수탁 관리 보완
개인정보처리 업무를 위탁한 경우, 위탁사는 주기적으로 수탁사를 점검해야 합니다.
이때 수탁사의 관리적 보호조치, 개인정보 생명 주기 관리, 기술적 보호조치 등 다양한 측면을 꼼꼼하게 점검해야 하는데요.
캐치시큐를 활용하면 이 모든 과정을 훨씬 효율적으로 관리하고, 수탁사 점검에도 자신 있게 대응할 수 있습니다.
캐치시큐를 이용해 개인정보를 수집하고 처리하는 순간부터, 적법한 동의서를 기반으로 한 안전한 수집이 이루어집니다.
이후 암호화 및 마스킹을 통한 안전한 보관, 그리고 보유·이용 기간 만료 시 자동 파기까지 개인정보의 전체 라이프사이클(생명 주기)을 법규에 따라 적법하게 관리할 수 있도록 지원합니다.
또한, 이 모든 과정에서 캐치시큐가 제공하는 강력한 접근 통제, 세분화된 권한 관리, 그리고 실시간 모니터링 기능이 유기적으로 작동합니다.
덕분에 수탁사 점검 시에도 체계적인 자료와 현황을 제시하며, 미흡한 부분이 없는지 미리 확인하고 개선할 수 있어 보다 완벽하게 대비할 수 있습니다
이번 개인정보 보호 수준 평가 결과를 통해 각 공공기관이 개인정보 보호를 위해 많은 노력을 기울이고 있음을 확인할 수 있었습니다.
하지만 갈수록 복잡해지는 개인정보 침해 위협 속에서 기관 단독의 노력만으로는 완벽한 방어가 어려울 수 있습니다.
캐치시큐는 이러한 어려움을 해결해드리기 위해 더욱 강력한 보안 기능과 더불어 실무 부서에서도 편리하게 개인정보를 관리할 수 있도록 서비스를 지속적으로 개선해나가고 있습니다.
또한 캐치시큐는 25년도 공공기관 개인정보 보호수준 평가의 신기술 환경에서 개인정보의 안전한 활용 및 안전조치에서 최대 6점의 가점을 받을 수 있는 솔루션입니다.
개인정보 보호에 대한 전문적인 도움이 필요하시다면, 캐치시큐가 함께하여 더욱 안전하고 효율적인 개인정보 관리 환경을 구축할 수 있도록 지원하겠습니다.
