두달 전 서울 지하철 2호선인 신당역에서 정말 안타까운 일이 발생했었는데요. 30대 남성이 서울교통공사 입사 동기였던 여성 역무원을 살해한 사건이었습니다. 뉴스에서는 가해자가 3년 가까이 스토킹을 해왔던 것으로 보여진다고 했는데, 피해자 중심으로 경찰의 신변보호가 이루어졌음에도 불구하고 가해자가 피해자의 근무장소를 알아낼 수 있어서 이런 불상사가 발생했다고 하는데요. 심지어 가해자는 직위 해제가 된 상태임에도 불구하고 회사 내부망에 접속해 피해자의 개인정보를 알아냈다고 합니다. 그래서 오늘은 이번 사건으로 인해 수면 위로 올라온 공공기관 개인정보관리 미흡 문제에 대해 말씀드리도록 하겠습니다.
보통 서울교통공사와 같은 공공기관들은 정부의 재정지원으로 설립되어 운영하는 기관이죠. 대부분 대민 서비스 기반으로 행정 처리 업무를 하는 기관들이기 때문에, 기관 내에 개인정보가 굉장히 많습니다. 그러다 보니 개인정보보호위원회와 같은 중앙행정기관에서 공공기관을 대상으로 개인정보보호 실태점검이나 개인정보보호 관리 수준진단을 실시하고 있는데요. 그런데 아직까지는 단순히 개인정보 관리 수준을 평가하는 단계로 그치고 있고, 미흡한 항목에 대해 개선을 권고하거나 강제성을 띄고 있진 않아 최근 국회에서 일부 개정 법률안을 발의한 바 있습니다.
이번 사건의 경우는 가해자의 직위 해제와 동시에 회사 내부망에 접속할 수 있는 접근 권한을 회수했어야 하지만, 이와 같은 조치가 제때 이루어지지 않아 피해자의 개인정보 조회가 가능하여 발생한 문제로 볼 수 있습니다. 개인정보보호위원회에서는 올해 지자체를 대상으로 시행한 개인정보 관리 실태조사 결과, 16개의 지자체에서 개인정보보호법 제29조 안전조치 의무를 위반했다고 밝혔는데요. 이 중 대부분이 접근 권한 관리와 관련된 항목을 위반했다고 합니다. 회사에서 인사발령이 났거나 퇴사 또는 직무가 정지된 사람의 권한을 즉각 삭제하는 것이 당연하지만, 이를 지키지 않는 곳이 많다는 의미겠죠.
작년에도 한 공무원이 시민의 개인정보를 무단으로 조회해서 외부로 유출시켜 흉악 범죄에 이용되는 사건이 발생했었는데, 올해도 이러한 사건이 벌어지니 참 마음이 답답하면서도 공공기관의 개인정보 관리가 얼마나 허술한지 알 수 있을 것 같습니다. 이번을 계기로 공공기관의 개인정보보호 수준을 체계적으로 관리하면서, 미흡한 부분이 빠르게 개선될 수 있도록 강제성을 띄게 법안이 개정되었으면 하네요. 앞으로는 이런 일들이 벌어지지 않길 바라면서, 이번 글은 여기서 마치도록 하겠습니다. 감사합니다.
'Security Essay' 카테고리의 다른 글
보호구역, 제한구역, 통제구역 정의 (0) | 2022.12.03 |
---|---|
SSH 로그인 무작위 대입 공격 사례 (0) | 2022.11.25 |
게시판 파일 업로드 악성 문서 차단 솔루션 구축 사례 (0) | 2022.11.18 |
국가사이버안보 기본법 제정안 입법 예고 (0) | 2022.11.12 |
한글 매크로 및 OLE를 이용한 악성코드 사례 (0) | 2022.11.10 |
댓글