"낡은 기준 안 고쳐 개인정보 사각지대 발생"…IT 공공기관 감사

김영신 2023. 11. 2. 14:00
음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

임직원 음주운전 모른 채 승진…영리 겸직·외부 강의 관리 소홀
한국인터넷진흥원(KISA) [한국인터넷진흥원(KISA) 제공]

(서울=연합뉴스) 김영신 기자 = 과학기술정보통신부가 한국인터넷진흥원에 위탁한 정보보호 관리체계 인증 기준을 산업환경 변화에 맞춰 개선하지 않아 정보보호의 사각지대가 발생했다는 감사원 지적이 나왔다.

인터넷진흥원 등 공공기관은 음주운전을 한 임직원을 징계하지 않고 승진시키는가 하면, 임직원의 미신고 영리 활동을 방치하는 등의 공직기강 해이 사례도 확인됐다.

감사원은 2일 이런 내용을 포함한 '정보통신기술분야 3개 공공기관 정기감사' 결과를 발표했다. 감사는 한국인터넷진흥원(KISA), 한국방송통신전파진흥원(KCA), 정보통신산업진흥원(NIPA) 등 3개 기관의 2020년∼2022년 처리 업무를 대상으로 실시됐다.

"정보보호 관리체계 인증 기준 불합리…사후관리도 미흡"

감사원은 과기부가 인터넷진흥원에 위탁한 정보보호 관리체계(ISMS) 인증 제도가 불합리하다고 지적했다.

현행 ISMS 인증 의무 대상자의 기준은 '정보통신서비스 부문 매출액 100억원 이상'이다. 이 기준은 2004년에 설정돼 약 20년이 지난 현재까지 그대로 유지되고 있다.

산업 환경 변화로 정보통신서비스 업종 외에 다른 여러 업종의 기업들도 개인정보를 대량 취급하므로 인증 의무가 필요한데, 현행 기준에선 정보통신서비스 부문 매출액이 없어 인증 의무 대상에서 제외돼 정보보호 사각지대가 발생한다고 감사원은 지적했다.

구체적으로 이번 감사 기간 중 100만건 이상의 대규모 개인정보를 보유했으나 정보통신서비스 부문 매출액이 100억원을 넘지 않아 ISMS 의무 대상이 아닌 3개 기업에서 약 200만건의 개인정보 유출 사고가 발생한 사례가 확인됐다.

감사원은 인터넷진흥원 감사 과정에서 이런 문제점을 확인하고 과기부에 일정 규모 이상의 개인정보 보유 기업을 인증 의무 대상자로 지정하도록 기준을 개선할 것을 요구했다.

또한 관련법에 따르면 ISMS 인증을 받는 기업은 연 1회 이상 사후 심사를 신청해야 하나, 2020년과 2021년 발급한 인증 61개는 사후 심사를 받지 않은 채로 나가는 등 인터넷진흥원의 사후관리가 부실한 것으로 나타났다.

감사원 [연합뉴스 자료사진]

정보통신산업진흥원은 지난해 블록체인 전문 컨설팅 사업과 기술 검증 지원 사업을 수행하면서 용역 업체와 대상 기업을 부당하게 선정한 것으로 조사됐다.

블록체인 전문 컨설팅 용역 선정 과정에서 한 업체가 사업 제안서에 기술한 핵심 인력이 실제로는 해당 업체에 고용되지 않았는데도 용역 계약을 체결하는가 하면, 이 업체가 용역에 외부 인력을 참여시켜 하도급 금지 규정을 위반한 사실을 알고도 방치했다고 감사원은 전했다.

블록체인 기술 검증 지원사업을 선정하면서는 공고된 기준과 점수를 다르게 부여해 정당한 평가를 했으면 선정됐어야 할 업체 2곳이 탈락했다.

감사원은 정보통신산업진흥원의 블록체인 사업 부실과 관련, 업무 담당자 5명에 대해 문책(3명)과 주의(2명) 조치를 요구했다.

"승진·포상서 음주 운전자 못 걸러내…영리·강의 활동 관리 소홀"

이번 감사를 받은 3개 기관은 음주운전 임직원에 대한 조치가 미흡했다.

이들 기관 모두 인사 규정상 음주운전을 한 임직원은 징계처분 대상인데, 직원의 음주운전 사실을 자체적으로 파악할 방안을 구체적으로 마련하지 않아 실제 승진이나 포상에서 음주 운전자가 걸러지지 않았다.

감사원이 경찰청으로부터 자료를 제출받아 분석한 결과 2020∼2022년에 인터넷진흥원 직원 5명, 방송통신전파진흥원 직원 2명. 정보통신산업진흥원 직원 1명이 음주운전을 했는데도 해당 기관은 알지 못해 징계하지 않았다.

특히 인터넷진흥원과 방송통신전파진흥원에서는 음주 운전자 중 각 1명이 승진했다.

감사원은 "음주운전 비위행위자에 대해 규정에 따라 적정한 인사 조치를 하고, 승진 대상자 등에게 음주운전 전력을 자진신고 받거나 운전경력증명서를 제출하게 하는 등의 자체 확인 방안을 마련하라"고 통보했다.

한국방송통신전파진흥원(KCA) [KCA 제공. 재판매 및 DB 금지]

임직원 겸직이나 외부 강의에 대한 관리가 미흡한 사례도 확인됐다.

인터넷진흥원 직원 A씨는 웹소설 유통업체와 전자책 출판계약을 맺고 인세 등 수익 약 4천600만원을 받았으나 회사에 신고하지 않았다.

A씨를 포함해 인터넷진흥원 직원 11명이 사전 허가를 받지 않고 영리 업무에 종사했고, 영리 금액은 총 1억1천만원 상당이라고 감사원은 전했다.

또한 직원 97명이 총 567차례에 걸쳐 사례금을 받는 외부 강의를 했으나 회사에 이를 신고하지 않았다.

이번 정보통신기술분야 3개 공공기관 감사에서 지적된 내용은 총 13건으로, 각 기관은 감사 결과를 수용해 개선하겠다고 밝혔다고 감사원은 전했다.

shiny@yna.co.kr

▶제보는 카톡 okjebo

Copyright © 연합뉴스. 무단전재 -재배포, AI 학습 및 활용 금지

이 기사에 대해 어떻게 생각하시나요?