Day 19: 전자정부법 및 공공기관 개인정보보호 지침

1. 전자정부법의 개요

1.1 전자정부법이란?

정식 명칭: 전자정부법 (전자정부의 구현·운영 및 발전에 관한 법률)

목적: 전자정부의 효율적 구현·운영 및 발전을 위한 정보기술 아키텍처 및 정보 자원의 효율적 관리를 위한 기반을 조성하고, 행정업무의 전자적 처리를 위한 안전성·신뢰성을 확보하기 위한 법률

1.2 제정 배경

  • 2001년 3월 28일 제정
  • 전자정부 서비스 확대 (민원24, 정부24 등)
  • 행정기관 간 정보 공유 필요성
  • 전자정부 보안 강화 필요

1.3 적용 범위

적용 대상

  • 행정기관: 중앙행정기관, 지방자치단체
  • 공공기관: 공기업, 준정부기관 등

2. 전자정부법상 개인정보 보호

2.1 개인정보의 보호 (법 제44조)

보호 원칙

행정기관 등의 장은 전자적 방법으로 처리되는 개인정보분실·도난·유출·위조·변조·훼손되지 않도록 안전성 확보에 필요한 조치를 해야 함

안전성 확보 조치 (시행령 제61조)

  1. 접근 통제 및 접근 권한 제한
  2. 개인정보의 암호화
  3. 보안 프로그램 설치 및 운영
  4. 보안 담당 부서 설치 및 보안 담당자 지정
  5. 전자정부서비스의 안전한 이용을 위한 이용자 인증

2.2 행정정보의 공동 이용 (법 제39조)

행정정보 공동 이용이란?

행정기관 등이 직무 수행에 필요한 정보를 다른 행정기관 등으로부터 전자적으로 확인·활용하는 것

예시:

  • 주민등록등본: 주민센터 → 타 행정기관
  • 사업자등록증: 국세청 → 타 행정기관
  • 건강보험 자격: 건강보험공단 → 타 행정기관

민원인 편의:

  • 민원인이 직접 서류를 제출하지 않아도 됨
  • 원스톱 서비스 가능

개인정보 보호 장치

  1. 법령에 근거가 있는 경우에만 공동 이용
  2. 정보주체 동의 또는 법령상 의무 이행
  3. 최소한의 범위에서만 공동 이용
  4. 목적 외 사용 금지

2.3 전자정부서비스의 이용 촉진 (법 제37조)

본인확인수단 제공

행정기관 등은 전자정부서비스 이용 시 안전하고 편리한 본인확인수단 제공

본인확인수단:

  • 공동인증서
  • 민간 전자서명 (PASS, 카카오 등)
  • 주민등록번호 대체 수단 제공

3. 공공기관 개인정보보호 지침

3.1 공공기관 개인정보보호 지침이란?

제정 주체: 개인정보보호위원회

법적 근거: 개인정보보호법 제12조 (개인정보 보호 지침)

목적: 공공기관이 개인정보를 처리함에 있어 개인정보보호법 및 관련 법령을 준수하고, 개인정보의 안전한 관리를 위한 세부 기준 제시

3.2 주요 내용

(1) 개인정보 보호 책임자

  • 개인정보 보호책임자(CPO) 지정 의무
  • 고위 공무원 또는 그에 상당하는 직급 이상

(2) 개인정보 영향평가 (제12조)

공공기관은 다음의 경우 개인정보 영향평가 의무:

  1. 5만명 이상 개인정보파일 구축·운용·변경
  2. 민감정보 또는 고유식별정보 처리 시스템 구축·변경

영향평가 시기: 시스템 구축·운용

영향평가 기관:

  • 한국인터넷진흥원
  • 개인정보보호위원회 지정 기관

(3) 개인정보파일 등록 (제32조)

공공기관은 개인정보파일개인정보보호 종합포털에 등록·공개

등록 내용:

  • 개인정보파일 명칭
  • 개인정보 항목
  • 수집·이용 목적
  • 보유 기간
  • 제3자 제공 현황

확인 방법:

(4) 주민등록번호 수집 제한 (제24조의2)

공공기관은 법령에 근거가 없으면 주민등록번호 수집 금지

대체 수단 제공:

  • 주민등록번호 외 다른 본인확인 수단 제공 의무

(5) 영상정보처리기기 설치·운영 (제25조)

공공기관이 CCTV 설치 시:

  • 공청회·설명회 개최 (필요 시)
  • 안내판 설치
  • 촬영 범위 최소화
  • 개인영상정보 보호책임자 지정

(6) 개인정보의 국외 이전 제한

공공기관이 개인정보를 국외로 이전하려면:

  • 정보주체 동의
  • 법령에 근거

추가 조치:

  • 이전받는 국가의 개인정보 보호 수준 확인
  • 적정 보호 조치

3.3 공공기관의 개인정보 처리 단계별 보호 조치

(1) 수집 단계

  • 최소 수집 원칙: 업무 수행에 필요한 최소한만
  • 수집 근거 명확화: 법령 또는 정보주체 동의
  • 목적 명확화: 수집 목적을 구체적으로 특정

(2) 이용·제공 단계

  • 목적 내 이용: 수집 목적 범위 내에서만 이용
  • 제3자 제공 제한: 법령 근거 또는 동의
  • 행정정보 공동 이용: 전자정부법에 따라 공동 이용

(3) 보관 단계

  • 안전성 확보 조치: 암호화, 접근 통제
  • 보유 기간 준수: 법령에 따른 보유 기간 경과 시 파기

(4) 파기 단계

  • 보유 기간 경과 시 지체 없이 파기
  • 복구 불가능한 방법으로 파기

4. 공공기관의 안전성 확보 조치

4.1 기술적 조치

(1) 접근 통제

  • 사용자 인증: 공무원 계정 관리
  • 역할 기반 접근 통제 (RBAC)
  • 최소 권한 부여
  • 관리자 권한 통제: 특별 관리

(2) 암호화

  • 개인정보 DB 암호화
  • 주민등록번호 등 고유식별정보 암호화
  • 전송 구간 암호화 (HTTPS, VPN)

(3) 접속 기록 관리

  • 개인정보 접근 로그 기록
  • 6개월 이상 보관
  • 월 1회 이상 점검

(4) 보안 프로그램

  • 백신 프로그램 설치 및 업데이트
  • 방화벽 운영
  • IDS/IPS 운영

(5) 망분리

  • 행정망인터넷망 분리
  • 개인정보 시스템은 행정망에만 위치

4.2 관리적 조치

(1) 내부 관리계획 수립

  • 연 1회 이상 점검·개선

(2) 개인정보 보호책임자 지정

  • 고위 공무원급

(3) 개인정보취급자 교육

  • 연 1회 이상 교육 실시

(4) 개인정보파일 대장 관리

  • 개인정보파일 목록 작성·관리

(5) 개인정보 영향평가

  • 대상 시스템은 의무 실시

4.3 물리적 조치

(1) 전산실 보안

  • 출입 통제
  • 출입 기록 3년 보관
  • CCTV 설치

(2) 개인정보 보관실 보안

  • 서면 개인정보 보관실 잠금장치
  • 출입 통제

5. 행정·공공기관 정보 시스템 보안

5.1 국가정보보안 기본지침

제정 주체: 국가정보원

적용 대상: 국가기관, 지방자치단체, 공공기관

주요 내용:

  1. 보안 등급 분류: I급(비밀), II급(대외비), III급(일반)
  2. 보안 구역 설정: 제한구역, 통제구역
  3. 보안 담당 부서 설치
  4. 보안 감사 실시

5.2 행정·공공기관 주요 보안 요구사항

(1) 망분리

  • 행정망인터넷망 물리적 분리
  • 개인정보 시스템은 행정망에만

(2) 보안 USB

  • 일반 USB 사용 금지
  • 보안 USB만 사용 (암호화)

(3) 출력물 관리

  • 개인정보 출력물 최소화
  • 출력 시 워터마크
  • 파기 시 파쇄

(4) 원격 접속 통제

  • VPN 등 안전한 수단
  • 접속 기록 관리

(5) 백신 및 보안 패치

  • 최신 백신 유지
  • 보안 패치 즉시 적용

6. 보안 컨설팅 관점의 시사점

6.1 공공기관 보안 컨설팅의 특징

민간 vs 공공기관

구분 민간 기업 공공기관
법적 규제 개인정보보호법, 정보통신망법 + 전자정부법, 국가정보보안 기본지침
보안 수준 높음 매우 높음
망분리 선택 필수
개인정보 영향평가 선택 (일부 의무) 의무 (5만명 이상)
개인정보파일 등록 없음 의무
감사 내부 감사 감사원, 개인정보보호위원회 등

공공기관이 더 엄격!

6.2 공공기관 컨설팅 시 중점 사항

Phase 1: 법령 준수 점검

  1. 전자정부법 준수 여부
  2. 개인정보보호법 준수 여부
  3. 국가정보보안 기본지침 준수 여부
  4. 개인정보파일 등록 여부

Phase 2: 개인정보 영향평가 지원

  1. 평가 대상 시스템 식별
  2. 평가 신청 지원
  3. 평가 자료 준비
  4. 평가 수검 대응
  5. 개선 권고사항 이행

Phase 3: 보안 체계 구축

  1. 망분리 설계·구축
  2. 암호화 (DB, 파일, 전송)
  3. 접근 통제 (계정 관리, 권한 관리)
  4. 로그 관리 (기록·점검)

Phase 4: 운영 및 감사 대응

  1. 정기 점검
  2. 감사원 감사 대응
  3. 개인정보보호위원회 점검 대응
  4. 개선 조치

6.3 공공기관 특화 보안 솔루션

(1) 망분리 솔루션

  • 행정망과 인터넷망 물리적 분리
  • 망 간 자료 전송 통제
  • 바이러스 검사

(2) 문서 중앙화 (DRM)

  • 문서 암호화
  • 출력·복사 통제
  • 워터마크

(3) 보안 USB

  • 암호화 USB
  • 인가된 USB만 사용

(4) DB 암호화

  • 컬럼 단위 암호화
  • 애플리케이션 암호화

(5) 접근 통제 (NAC)

  • 인가된 단말만 네트워크 접속
  • 보안 정책 준수 여부 확인

7. 실무 사례

사례 1: 중앙부처 개인정보 시스템 구축

A중앙부처: 국민 1,000만명 대상 복지 서비스 시스템 구축

개인정보 영향평가:

  • 대상: 1,000만명 개인정보 (5만명 이상 → 의무)
  • 시기: 시스템 구축 전
  • 기관: 한국인터넷진흥원
  • 기간: 2개월

평가 결과:

  • 개선 권고 20건
  • 주요 권고:
    • 주민등록번호 대체 수단 제공
    • DB 암호화 강화
    • 접근 로그 점검 주기 단축
    • 개인정보파일 등록 보완

개선 후 시스템 구축:

  • 개선 권고사항 반영
  • 시스템 오픈

사례 2: 지방자치단체 CCTV 설치

B시청: 범죄 예방을 위해 시내 주요 지점에 CCTV 200대 설치

전자정부법·개인정보보호법 준수:

  1. 공청회 개최 (주민 의견 수렴)
  2. 설치 목적 명확화: 범죄 예방, 시설 안전
  3. 안내판 설치: 각 CCTV 인근
  4. 촬영 범위 최소화: 도로, 공공장소만
  5. 개인영상정보 보호책임자 지정
  6. 보관 기간: 30일
  7. 열람 절차 마련

개인정보파일 등록:

  • 개인정보보호 종합포털에 등록

사례 3: 공공기관 개인정보 유출 사고

C공기업: 직원 PC 해킹으로 고객 50만명 개인정보 유출

대응:

  1. 고객 통지: SMS, 이메일
  2. 신고: 개인정보보호위원회
  3. 감사원 감사: 관리 감독 소홀 지적
  4. 개선 조치:
    • 망분리 강화
    • DB 암호화
    • 직원 PC 보안 강화
    • DLP 도입

처벌:

  • 과징금
  • 임원 문책
  • 담당자 징계

사례 4: 행정정보 공동 이용

D시청 민원: 시민이 복지 급여 신청 시 필요 서류 제출

기존 방식:

  • 주민등록등본
  • 가족관계증명서
  • 소득 증명서
  • 재산 증명서 → 시민이 직접 발급하여 제출

전자정부법 행정정보 공동 이용 후:

  • D시청이 전자적으로 확인
  • 원스톱 처리
  • 시민은 신청서만 제출

개인정보 보호:

  • 법령 근거: 사회보장급여법
  • 목적 내 이용
  • 최소한의 범위

8. 개인정보파일 등록·공개 제도

8.1 개인정보파일이란?

개인정보파일: 개인정보를 쉽게 검색할 수 있도록 체계적으로 배열·구성한 개인정보의 집합

예시:

  • 민원인 DB
  • 직원 인사 DB
  • 복지 수급자 DB

8.2 등록 의무 (개인정보보호법 제32조)

공공기관은 개인정보파일을 개인정보보호 종합포털에 등록·공개

등록 내용:

  • 개인정보파일 명칭
  • 운영 근거 및 목적
  • 개인정보 항목
  • 보유 기간
  • 제3자 제공 현황

확인: 개인정보보호 종합포털 (www.privacy.go.kr) → 개인정보파일 목록 검색

8.3 등록 예시

예시: ○○시청 복지급여 수급자 DB

  • 파일명: 복지급여 수급자 관리
  • 운영 근거: 사회보장급여법
  • 목적: 복지급여 지급 및 관리
  • 개인정보 항목: 성명, 주민등록번호, 주소, 연락처, 소득, 재산
  • 보유 기간: 5년
  • 제3자 제공: 없음

9. 체크리스트

공공기관 일반

  • 개인정보 보호책임자를 지정했는가?
  • 내부 관리계획을 수립·시행하는가?
  • 개인정보취급자 교육을 연 1회 이상 실시하는가?
  • 개인정보파일을 등록·공개했는가?

개인정보 영향평가

  • 영향평가 대상에 해당하는가? (5만명 이상, 민감정보)
  • 영향평가를 시스템 구축 전에 실시했는가?
  • 개선 권고사항을 반영했는가?

안전성 확보 조치

  • 행정망과 인터넷망을 분리했는가?
  • 개인정보를 암호화하는가?
  • 접근 권한을 최소한으로 부여하는가?
  • 접속 기록을 6개월 이상 보관하고 점검하는가?
  • 보안 USB만 사용하는가?

주민등록번호

  • 주민등록번호 수집에 법령 근거가 있는가?
  • 주민등록번호 대체 수단을 제공하는가?

CCTV

  • CCTV 설치 시 공청회를 개최했는가?
  • 안내판을 설치했는가?
  • 개인영상정보 보호책임자를 지정했는가?

학습 정리

오늘 학습한 핵심 내용:

  • 전자정부법은 행정기관의 전자정부 서비스 안전성·신뢰성 확보 법률
  • 공공기관은 민간보다 더 엄격한 개인정보 보호 규제 적용
  • 개인정보 영향평가: 5만명 이상 또는 민감정보 처리 시 의무
  • 개인정보파일 등록·공개: 공공기관 의무
  • 행정정보 공동 이용: 전자정부법에 따라 기관 간 정보 공유
  • 망분리 필수: 행정망과 인터넷망 물리적 분리
  • 주민등록번호: 법령 근거 없으면 수집 금지, 대체 수단 제공
  • 국가정보보안 기본지침 준수
  • 보안 수준: 암호화, 접근 통제, 로그 관리, 보안 USB 등
  • 감사: 감사원, 개인정보보호위원회 등 엄격한 감사

다음 학습 주제

Day 20: ISMS-P 인증 기준 심화 또는 ISO 27001 정보보호 관리체계