행복e음의 경우 전국 시군구, 38,000명의 사회복지 담당공무원이 이용하고 있고, 범정부 시스템은 17개 전 부처와 38개 산하기관의 복지사업 담당자가 이용을 하고 있습니다.

범정부 시스템의 이용자 숫자가 전부 얼마나 되는지요?

-원장: 5300명 수준입니다.

정보시스템의 도표

 행복e음은 44개 기관 486종의 정보가 연계되어 있고, 범정부시스템은 36개 기관 299개의 연계정보를 관리, 운영하고 있습니다. 정보관리가 중요하다는 것은 아실 것입니다.

먼저 정보시스템의 취약점 점검과 관련하여 말씀드리겠습니다. 새로운서비스시스템을오픈하기전에, 해킹당하기쉬운약점을찾는 '취약점점검'과 실제해킹공격가능성을시험하는 '모의해킹' 테스트를하는것이일반적으로권고되는보안점검입니다. 그래서 제가 이를 잘 수행하고 있는지 자료를 받아 확인해 봤습니다. 정보개발원의 ‘보안점검 수행 현황’에 따르면 보육통합정보시스템의 도메인만 대상으로 모의해킹 점검을 하였고, 나머지 시스템들은 취약점 진단만을 하였습니다. 좀 부족하다 생각하는데요, 보안점검은 매년 주기적으로 시행을 해야 합니다. 서비스 오픈 전에 한 차례 수행하는 것으로는 부족합니다.

대외서비스를 통해 해커가 침입한 경우 상당량의 대국민정보가그대로 유출될 가능성이 높으며, 보건복지부를 포함한 정부기관은 공개된 인터넷망이 아닌 별도의 망을 쓰고 있지만, 망간에 데이터 전달이나 접점이 전혀 없을 수는 없을 뿐더러, '복지로'와같은 시스템은 각 공공기관과 연계되어 있으므로 침해될 경우 파급력이 매우 큰 점을 유의해야겠습니다.

보안점검에 관해 어떻게 생각하십니까?

-원장: 주기적으로 하는 등 보안점검 강화할 필요가 있다고 생각합니다.

-원장: 자체 매뉴얼도 있고 외주 용역에 따라 점검하고 있습니다.

 다음으로 개인정보보호에 관하여 말씀드리겠습니다.

보건복지정보개발원에서 제출한 ‘고유식별번호 취급 현황’을 보면 “개인정보 영향 평가 및 위험도 분석 결과” 필수 암호화 대상이 아니라는 이유로 암호화하지 않은 것들이 많이 있습니다. 현재까지 암호화하지 않는 개인정보파일 중 인터넷 구간과 DMZ에 있는 파일들이 무엇인지 다시 한 번 점검해 주시고, 이 구간에 있는 파일들은 안정성 조치를 취해주시기 바랍니다.

  -원장: 말씀하신대로 더욱 안전하게 보호되도록 하겠습니다.

기술만으로는 한계가 있습니다. 사회복지통합관리망의 개인정보보호를 위해 2011년부터 ‘개인정보보호 상시모니터링 시스템’을 운영하고 있는 것으로 알고 있습니다.

제출받은 자료에 따르면 2011년 이후 94건의 업무목적 이외의 개인정보 열람이 있었다고 합니다. 개인정보의 외부유출이나 악의적 유용의 사례는 없었다고 하지만, 올해 감사원 감사에서는 아이디를 양도 또는 대여한 공무원들이 또 15명이 지적되었습니다. 그래서 공무원 개인 정보 열람 유출은 유명인들에 대한 호기심에 유출되거나 더 나쁜 경우도 있습니다. 돈을 받거나, 정치적으로 이용하기 위하는 등 여러 가지 악용의 경우가 있습니다. 이러한 시스템으로 막을 수 있는 조치를 취했는지, 악용했다면 처벌수위 적절한지요.

 대책이라고 하면 중복로그인 제한 정도입니다. 그걸로는 충분치 않습니니다. 더 강화하고 규정을 고치는 것이 필요합니다. 처벌 문제의 경우 주의 경고 정도의 조치뿐입니다. 적절치않습니다. 개인정보의 유출 및 오남용 방지를 위한 내부통제시스템을 구축 하는 것이 필요하며, 관련 규정도 좀 손질을 했으면 합니다.

개인적인 목적으로 개인정보를 열람한 공무원 94명 중 거의 대부분이 주의나 경고의 훈계조치만 받았습니다. 이번에 아이디를 양도 또는 대여한 15명도 마찬가지입니다. 1명만 경징계의결 요구하였습니다. 무려 99명이 아이디를 양수받아 사용했지만, 이들에 대한 징계는 없고, 빌려준 15명도 1명을 제외하고는 전부 훈계 조치로 끝났습니다.

접근권한을 빌려주거나, 빌려서 사용한 사람들 모두 문제입니다. 업무목적 외에 타인의 개인정보를 열람하는 것도 마찬가지입니다.