감사결과, 개인정보보호법 위반으로 과태료 3천만원 부과 대상

▲ [사진 출처 가스안전공사] ©



[디스커버리뉴스=강성덕 기자] 한국가스안전공사의 정보시스템에 대한 자체감사 결과, 공사가 운영 중인 11개의 홈페이지에 대해 정보는 나눠 제공하면서 이용자 동의를 일괄적으로 받는 것으로 확인됐다.
이는 개인정보 보호법 제75조를 위배하는 사안으로 1천만원 이하 과태료 대상이다.


이중 'KGS시니어직능클럽'의 경우 개인정보보호법 제15조 제2항의 개인정보 수집 시 이용자에 4개의 필수항목을 고지하지 않은 채 개인정보를 수집하고 있다고 지적했다. 이 역시 3천만원 이하의 과태료 대상이다.


한국가스안전공사(사장 임해종)는 지난해 11월 23일부터 12월 4일까지 10일간 실시한 정보시스템 보안환경 위험관리 컨설팅 감사결과를 지난 1일 보고했다.


감사결과 개선 2건에 권고 7건의 사항이 지적됐다. 모두 경영지원처의 업무로 확인됐다.


감사반 관계자와 외부 전문가 2인으로 구성된 감사반은 소프트웨어 신규 또는 개발보안 적용 시 국가기관 CC인증을 받은 제품인 스패로우(Sparrow)라는 소스코드 진단 도구를 보유하고 있다. 하지만 SW개발 단계에서 검증작업이 제때 이뤄지지 않아 해킹 등 사이버공격에 노출될 위험이 존재한다고 우려했다.


가스공사 경영지원처는 업무망과 인터넷망 간 서비스 연계 및 보안위협에 대해 파일을 안전하게 전송하고 이후 문제점을 보완하는 망간 자료 전송시스템을 운영 중이다.

감사반은 점검을 통해 정보보안 위협을 최소화 하기 위해서는 망연계 파알 전송 간 구간 백신(Virus Chaser)의 자동 업데이트 기능 설정을 일일 1회 정도 주기적으로 점검하라고 권고했다.


정보화자산 위험관리 및 관리운영 측면에서도 정부기관이 실시한 취약점 점검 및 조치 이행계획 적정성 여부도 평가기관별로 차이가 컸다.


코로나19의 장기화로 비대면 업무대체가 증가하고 있는데 반해 재택근무를 하는 임직원들이 사이버 공격에 취약성이 드러났다. 업무자료 유출을 방지하기 위해 보안소프트웨어기 설치된 원격근무용 단말기를 사용해야 하지만 모두 개인 소유 단말기를 사용하고 있어 내부정보 유츌 및 악성코드 감염, 사이버 공격 등의 위험한 상태라고 판단했다.


공사 내에서 타 업무를 병행하지 않고 오직 정보보안 업무만 수행하는 인력도 부족했다. 현재의 3명으로는 수행능력이 떨어진다며 정부 기준에 부합하도록 2명을 추가하라고 요청했다.


공사 경영지원처는 정보통신망의 장애에 대비해 가용성을 유지하기 위한 시스템 이중화, 백업관리 및 복구 등 종합적인 재난 방지대책을 수립·시행하고 있다. 반면 시스템의 침입탐지, DDoS, 웹 방화벽 등 서버가 이중화되지 않아 장애 발생 시 사이버공격 등에 노출될 가능성이 있다고 했다.

저작권자 © 디스커버리뉴스(DISCOVERYNEWS) 무단전재 및 재배포 금지