심사평가원이 방대한 전국민 건강보험 빅데이터와 개인정보보안을 강화하기 위해 자체적으로 전문인력 양성을 추진한다.

다양한 유형의 해킹에 대비하고 사이버 위협 침해사고에 능동적으로 대응하는 한편, 지난달 신설된 경영지원실 산하 정보보호부와 개인정보 관련 부서의 업무통합 등을 정비하기 위해서다.

심사평가원은 최근 이 같은 내용의 '2016년도 정보보안컨설팅'을 5개월 일정으로 기획하고 외부용역 공모에 나섰다.

22일 심평원에 따르면 이번 컨설팅은 기관의 주요 정보통신기반 시설 취약점을 찾아내 분석·평가하고, 정보보호부 신설로 변화된 업무환경과 보안제도 개선, 임직원 정보보안 고취 등을 목표로 추진된다.

심평원은 전국민 건강보험에 대한 급여 업무 청구와 심사, 평가 전반을 관장하기 때문에 내외부 관련 포털 시스템과 DUR·DW 시스템 등을 묶은 ICT 환경이 구현돼 있다. 때문에 외부로부터의 해킹과 정보유출 등 위험에 노출돼 있어 정보보안 또한 심평원의 중요한 업무 중 하나다.

컨설팅은 주요정보통신기반시설 취약점 분석·평가·보호대책 수립과 정보보호부 신설 등 업무환경 변화에 따른 보안제도 개선으로 구분돼 진행된다.

심평원은 정보 시스템 환경과 자산을 식별하고 취약점을 분석·평가하는 한편 자산을 분류 중요도를 산정해 취약점을 찾아낼 예정이다. 취약점은 관리적·물리적·기술적 분야로 나눠 점검한다.

특히 심평원은 운영하고 있는 모든 웹 페이지를 대상으로 모의해킹을 실시해 침해사고 가능성을 진단, 개선할 예정이다.

지난달 새롭게 꾸린 정보보호부와 기존 개인정보보호 업무 통합 작업과 함께 전문인력을 지정해 양성하고 모의해킹을 자체적으로 할 수 있도록 심화교육도 실시할 계획이다. 해킹 사례와 유형을 분석해 공격 상황에 맞는 훈련을 시켜 사이버 위협 침해사고 대응능력을 배양한다는 게 심평원의 목표다.

이와 함께 주요 정보통신기반 시설 지정기준과 보호지침을 수립하고 결과에 대한 이력관리방안도 중장기 범위까지 확장할 계획이다. 개인정보의 경우 정보 파일을 분류하고 기준을 수립하는 방안이 포함됐다.

이 밖에 심평원은 정보보안 인식을 제고하기 위해 임직원 정보보안 수준을 조사하고 교육을 강화할 계획이다. 여기에 투입될 예산은 총 3억3000만원이다.