CloudPNG

ºC

logo
IT/바이오

개인정보위, 공공시스템 보안 점검 강화…AI 시대 데이터 리스크 경고

이도윤 기자
입력

공공부문이 축적한 대규모 데이터가 인공지능 서비스와 연계되면서 보안 취약점 관리가 핵심 과제로 부상하고 있다. 개인정보보호위원회가 지난 3년간 국민 데이터를 집중 처리하는 공공시스템을 전수 점검한 결과, 상당수 기관이 여전히 강화된 안전조치 기준을 충족하지 못한 것으로 드러났다. 디지털 전환 속도가 빨라질수록 공공 데이터 유출이 사회적·경제적 리스크로 직결될 수 있다는 경고로 읽힌다. 업계와 정책 당국은 내년부터 시작될 상시 평가 체계가 공공 IT 인프라 보안 수준을 가르는 분기점이 될 것으로 보고 있다.

 

개인정보보호위원회는 21일 국민신문고, 홈택스 등 주요 공공서비스 시스템 57곳을 대상으로 한 3년차 안전조치 이행 점검 결과를 공개했다. 점검 대상은 57개 공공시스템을 운영하는 38개 기관으로, 국민 데이터를 대규모로 처리하는 집중관리시스템 운영기관에 부과된 강화된 안전조치 의무 이행 여부가 핵심 기준이 됐다. 점검 결과 4대 분야, 10대 과제를 모두 충족한 곳은 국세청과 한국부동산원 두 기관에 그쳤고, 나머지 36개 기관에는 시정 권고가 내려졌다.

강화된 안전조치 의무는 시스템 관리체계, 접근권한 관리, 접속기록 점검, 인력 및 시스템 확충 등 4개 분야로 구성된다. 개인정보보호 협의회 설치, 책임자 지정, 접속기록 이상행위 탐지 시스템 도입 등 10개 세부 과제를 포함해 공공 IT 인프라 전 주기를 포괄하는 구조다. 기존에 개별 기관의 자율 관리에 맡겨졌던 부분을 제도화해, 대규모 데이터 처리 시스템을 사실상 금융권 수준의 보안 관리 체계로 끌어올리려는 시도라는 평가가 나온다.

 

시스템 관리체계 분야는 가장 빠른 개선 속도를 보였다. 개인정보위에 따르면 개인정보보호 협의회 설치·운영 과제의 이행률은 1차 점검 당시 34퍼센트에서 3차 점검 시 91퍼센트까지 올랐다. 개인정보보호 책임자 지정은 같은 기간 90퍼센트에서 98퍼센트로, 안전조치방안 수립은 48퍼센트에서 95퍼센트로 개선됐다. 핵심 역할과 책임이 명확해질수록 이후 기술적·관리적 보안 조치도 체계적으로 따라붙는 구조가 만들어지고 있다는 해석이 가능하다.

 

접근권한 관리 분야 역시 일부 과제에서 의미 있는 진전을 보였다. 인사정보 연계 과제의 이행률은 3년 사이 34퍼센트에서 72퍼센트로 상승했고, 비공무원 계정발급 절차 도입은 68퍼센트에서 90퍼센트로 높아졌다. 공공 IT 시스템에 외부 용역 인력이나 민간 사업자가 접속하는 경우가 늘면서, 계정 발급과 회수 절차를 자동화·표준화하려는 움직임이 반영된 결과로 풀이된다. 다만 이용기관 협조가 필수적인 접근권한 현행화 과제의 이행률은 30퍼센트에 머물러, 다기관이 연계된 정보시스템에서 권한 관리가 여전히 취약 고리로 남았다는 평가가 나온다.

 

접속기록 점검 분야는 기술 도입 비용이 발목을 잡았다. 이용기관 접속기록 점검 과제의 이행률은 45퍼센트에서 58퍼센트, 이상행위 탐지는 52퍼센트에서 70퍼센트로 점진적 개선에 그쳤다. 이상행위 탐지 시스템의 경우 대규모 로그 데이터를 수집·분석해야 해, 빅데이터 인프라와 탐지 알고리즘 도입 비용이 만만치 않다. 공공기관 예산 구조상 보안 시스템 고도화 투자가 후순위로 밀리는 현실이 수치에 반영된 셈이다.

 

인력 및 시스템 확충 분야에서는 인적 자원 확대가 눈에 띄었다. 전담 인력은 기관당 평균 1.7명에서 2.7명으로 늘었다. 개인정보 보호를 전담하는 조직이 별도로 꾸려지거나, 기존 전산·보안 조직 내 역할이 강화된 것으로 해석된다. 시스템 개선계획 수립 이행률도 85퍼센트에서 98퍼센트로 올라, 상당수 기관이 중장기 관점에서 IT 인프라 개선 로드맵을 갖춘 것으로 확인됐다. 개인정보위는 국토교통부의 주택소유확인시스템, 한국전력공사의 송변전보상지원시스템, 국세청의 세정업무포털을 10대 과제 이행이 우수한 사례로 제시했다.

 

글로벌 차원에서 보면 공공 데이터 보호 강화 흐름은 보편적이다. 유럽연합은 일반개인정보보호법과 AI 법안을 통해 공공기관의 데이터 처리와 알고리즘 활용에 대한 규범을 촘촘히 마련하고 있고, 미국·일본도 연방·주 단위 가이드라인으로 공공 데이터 보안 요구 수준을 높이고 있다. 한국 개인정보위의 집중관리시스템 특례와 전수점검 구조는 이러한 규제 경쟁 속에서 공공 IT 인프라 신뢰도를 끌어올리기 위한 대응으로 볼 수 있다.

 

정책·제도 측면에서는 내년부터 관리 방식이 크게 달라진다. 개인정보위는 3년간의 전수 점검 결과를 토대로 내년부터 공공기관 보호수준 평가를 도입해 상시 점검 체계로 전환할 계획이다. 점검 주기가 3년 단위 일회성에서 지속 모니터링 구조로 바뀌면, 공공기관의 IT 예산 편성과 조직 운영에서도 개인정보 보호가 고정 항목으로 자리 잡을 가능성이 크다. 특히 공공 데이터 기반 AI 서비스가 확산되는 만큼, 학습 데이터 수집·가공 단계의 보안과 비식별 조치에 대한 별도 평가 항목 도입 논의도 이어질 전망이다.

 

개인정보위는 동시에 집중관리시스템 안전조치 특례제도 개편도 예고했다. 최근 공공부문 개인정보 유출이 잇따르는 상황을 감안해 모의해킹과 취약점 점검 의무를 강화하고, 주요 취약점에 대한 보완 방안 마련 등 선제적 예방 조치를 확대한다는 방침을 제시했다. 정기적 모의해킹은 공공 클라우드 전환, 민간 데이터센터 이용 확대 등 인프라 구조 변화에 따라 필수 점검 수단으로 자리 잡을 수 있다는 관측이 나온다.

 

최근 국가정보자원관리원 대전센터 화재 사고 이후 후속 조치도 강화되는 분위기다. 개인정보위는 관련 기관에 개인정보 안전관리 특별컨설팅 지원계획을 안내하고 자가진단 체크리스트를 배포했다. 현재 한국장례문화진흥원 e하늘장사정보시스템과 한국사회보장정보원 디지털돌봄시스템 등 3개 시스템을 대상으로 시스템 백업·복구 계획과 외부 불법 접근 등에 대한 컨설팅을 진행 중이며, 추가 신청 기관에도 같은 지원을 확대할 예정이다. 대규모 장애나 재난 상황에서 서비스 연속성과 데이터 복구 체계가 공공 디지털 인프라 신뢰도의 핵심 요소로 부각되고 있다.

 

전문가들은 공공 데이터 보호 수준이 민간 IT·바이오 산업 전반의 신뢰 기반과 직결된다고 본다. 공공기관이 수집·축적한 데이터는 향후 의료 AI, 정밀의료, 스마트시티, 디지털 행정 서비스 등 다양한 융합 서비스의 기반이 되기 때문이다. 산업계에서는 공공 IT 인프라가 선제적으로 보안 체계를 끌어올릴 경우, 민간에서도 데이터 보호를 전제로 한 고부가가치 서비스 모델이 빠르게 확산될 수 있다고 전망한다. 산업계는 이번 점검 결과와 제도 개편이 실제 현장에서 실효성을 갖춘 보안 체계로 구현될 수 있을지 주시하고 있다.

이도윤 기자
share-band
밴드
URL복사
#개인정보위#국세청#한국부동산원