제출자 : 연세대학교정보대학원아래의연구결과물을 스마트기기보급확대에따른개인정보보호방안연구 에대한최종보고서로제출합니다 제출자 : 연세대학교정보대학원

Size: px

Start display at page:

Download "제출자 : 연세대학교정보대학원아래의연구결과물을 스마트기기보급확대에따른개인정보보호방안연구 에대한최종보고서로제출합니다 제출자 : 연세대학교정보대학원"

문숙 주
6 years ago
Views:

1 발간등록번호 스마트기기보급확대에따른 개인정보보호방안연구 - 사물인터넷환경을중심으로 최종보고서

2 제출자 : 연세대학교정보대학원아래의연구결과물을 스마트기기보급확대에따른개인정보보호방안연구 에대한최종보고서로제출합니다 제출자 : 연세대학교정보대학원

3 개인정보보호위원회귀중 이보고서를개인정보보호위원회에서연구위탁의뢰하신 스마트기기보급확대에따른개인정보보호방안연구 의최종보고서로제출합니다. 총괄책임자 김범수 ( 연세대학교 ) 참여연구원 김성준 ( 남서울대학교 ) 참여연구원 박배효 ( 연세대학교 ) 참여연구원 장재영 ( 연세대학교 ) 참여연구원 김 석 ( 연세대학교 ) 참여연구원 마세윤 ( 연세대학교 ) 참여연구원 김수환 ( 연세대학교 ) 참여연구원 강지원 ( 연세대학교 ) 참여연구원 박영주 ( 연세대학교 )

4 요약문 1. 제목 : 스마트기기보급확대에따른개인정보보호방안연구 2. 연구의배경 기술의진화에따라사람과사람, 사물과사람, 사물과사물이서로연결되어정보를주고받는초연결사회가도래하고있다. 초연결사회의기반은스마트기기를포함한사물인터넷 (Internet of Things) 이다. 사물인터넷은시간과장소의제약없이모든사물이인터넷을통해정보를공유하거나처리하여새로운융합서비스를제공하는것을의미한다. 이를통해사물인터넷은새로운부가가치를창출하는창조경제의핵심동력으로기대를모으고있다. 클라우드서비스, 빅데이터기술, 데이터마이닝기술등을통해사물인터넷에서수집한정보를이용, 유통, 처리하는환경이급속하게변화하고있다. 수집되는정보의종류또한다양해지고있다. 사물인터넷을통해수집한정보가개인을식별할수없는정보라고하더라도이제는수집한개별정보들을조합할경우개인화된서비스를제공할수있는가능성이그어느때보다증가하게되었다. 이러한기술의진보는기존에는없었던새로운형태의개인정보또는프라이버시침해가능성이증가하고있음을의미하는것이기도하다. 유럽과미국등에서는사물인터넷환경의도래와함께개인정보보호를위한법적, 제도적, 기술적대응방안을선제적으로준비하고있다. 그러나국내에서는아직까지사물인터넷과관련한충분한대책을마련하고있지못하고있는실정이다. 따라서국내에서도초연결사회의기반인사물인터넷시대의도래와진화에대비한개인정보보호대책을조속히마련해야할필요성이제기되고있다

5 3. 연구의목적및범위 본연구는스마트기기를포함한사물인터넷의확산으로인해발생가능한다양한수준의개인정보보호관련이슈를검토한후적절한대응방안을마련하는것을목적으로하고있다. 본연구에서는이를위해우선사물인터넷과관련한개념, 정의, 기술, 시장, 활용현황등을조사하고자한다. 이후사물인터넷과관련한국내와유럽, 미국, 중국, 일본등의개인정보보호현황과동향을살펴보고자한다. 그리고사물인터넷환경에서새로이발생및수집되고있는정보를사물인터넷서비스유형별로분류및분석하여어떠한사물인터넷서비스가, 얼마나많은개인정보를수집하고있는지를파악하고자한다. 이렇게분류하고분석한결과를바탕으로스마트기기및사물인터넷의개인정보보호를위한위험분석프레임워크를제시하고적용하여, 개인정보보호측면에서위험이발생할수있는서비스영역을도출하고자한다. 마지막으로선행연구및조사를바탕으로국내에서개인정보보호강화를위해필요한법 제도및기술적방안을각각제시하고자한다. 4. 연구의내용 사물인터넷은크게스마트커뮤니케이션즈디바이스, 커넥티드카, 스마트홈가전, 스마트헬스케어, 스마트시티 / 빌딩 / 그리드등으로구분할수있다. 스마트커뮤니케이션즈디바이스의대표적예시로는스마트폰, 태블릿 PC, 스마트안경등이있다. 커넥티드카의대표적예시로는통신및스크린디바이스를통한실시간운행정보제공, 차량정비및추적, ecall 및응급서비스등이있다. 스마트홈가전의대표적예시로는스마트 TV, 스마트냉장고, 스마트청소기등이있다. 스마트헬스케어의대표적예시로는웨어러블헬스케어디바이스가있으며, 향후건강관리서비스영역을넘어진단, 수술및치료부분으로의서비스확대가예상된다. 마지막으로스마트시티 / 빌딩 / 그리드가있다. 스마트시티에는지능형교통관리시스템, 스마트 - 2 -

6 그리드, 상수도관리시스템, 빌딩관리시스템이있고, 스마트빌딩에는건물의냉 / 난방, 조명, 전력시스템의자동화와자동화재감지장치, 보안경비서비스가있으며, 스마트그리드에는스마트미터등이있다. 사물인터넷은우리생활곳곳에서사용되고있으며, 향후제공되는서비스영역및종류는계속증가할것으로예상된다. 사물인터넷의발달에따른개인정보침해와보호문제와관련하여아직어느나라에서도직접적으로입법화한사례는없다. 국내의경우도별도의법률은없다. 다만, 개인정보보호법, 정보통신망법, 위치정보법의개인정보보호관련법리에따라사물인터넷을일부규율가능할것으로보인다. 외국의경우도입법화측면에서는국내와동일한수준인것으로판단된다. 한편, 사물인터넷이향후국가경쟁력에커다란영향을끼칠것으로예상된다. 따라서세계각국은사물인터넷기술및서비스에많은투자를진행중이며, 새로운시대의도래에따라개인정보보호분야에대해서도높은관심을보이고있다. 국내에서는 2014년 9월부좌현의원은 개인정보보호법 일부개정안을발의하여여객용차량등의영상기록장치보호관련개인정보법령개정안이국회에제출되었다. 또한미래창조과학부는 2014년 5월에스마트기기및사물인터넷관련진흥대책으로 사물인터넷기본계획 을마련하였으며, 2014년 9월에는안전한사물인터넷환경조성을위한 사물인터넷정보보호로드맵 을발표했다. 유럽연합 (European Union, EU) 은다른국가들보다앞선 2006년부터소비자편익의증대를위한진흥정책과아울러사물인터넷생태계에서발생할수있는프라이버시문제를다루기위한다양한정책적노력을기울이고있다. i2010 전략 (i2010 Strategy), 유럽연구클러스터 (IERC) 프로젝트, EU의 사물인터넷 (Internet of Things) 14개액션플랜, 카사그라스 (CASAGRAS) 프로젝트 등이유럽에서진행된사물인터넷관련연구들이다. 미국은 2008년 4월미국국가정보위원회 (National Intelligence Council, NIC) 에서사물인터넷을 2025년까지국가경쟁력에중요한영향을미칠 6대혁신문명기술 (Disruptive Civil Technology) 로선정했으며, 2009년미국에너지국은 IT 뉴딜정책을발표하면서 2020년까지스마트그리드, 헬스케어 IT 등에대한세부계획을제시했다. 일본은 2000년대초반부터 - 3 -

7 사물인터넷관련정책을추진해왔다. 대표적으로 2004년의 u-japan 전략, 2009년의 i-japan 전략, IPv6 기반사물인터넷사회연구 2011년의 IT 융합에의한신산업창출전략, 2012년의 Active Japan ICT 전략 이있다. 중국은 2009년 8월원자바오총리주도하에 센서네트워크 와 사물인터넷 의개념을제시하고국가중심의발전전략을제시했다. 또한중국발전개혁위원회는 2011년부터 2015년까지 12차 5개년개발계획으로사물인터넷을중점적으로다루었다. 중국정부는 2011년 11월부터광둥물련천하과학집단과 IBM 회사간 사물인터넷화 를통한스마트도시건설을위해 MOU를체결하였고, 2013년 12월에는광둥성인민정부에서 광둥성사물인터넷발전계획 ( 년) 을발표하기도하였다. 국제사회에서는 국제개인정보보호기구회의 (International Conference of Data Protection and Privacy Commissioners, ICDPPC) 가 2014년에개최한제36차회의에서사물인터넷환경에서발생가능한데이터보호및프라이버시문제해결을위해개인정보보호및프라이버시에관한선언문을채택하기도하였다. 사물인터넷과관련한개인정보보호기술의표준화는 ITU-T, IETF, onem2m 등에서진행하고있다. 또한 Oracle, Cisco, IBM과같은글로벌 IT 기업은물론 SmartThings, Mocana, 인피이언테크놀로지스, 시큐아이등의기업들도사물인터넷관련기술과서비스를개발하고있다. 사물인터넷에서발생가능한보안위협으로는디바이스영역에서분실 / 도난, 물리적파괴, 웜, 바이러스감염, 비인가접근, 정보유출, 데이터위 변조등이있다. 네트워크영역에서는도청, 정보유출, 데이터위 변조, 서비스거부등이있다. 서비스영역에서는정보유출, 데이터위 변조, 서비스거부, 비인가접근, 웜 바이러스감염등의위협이있다. 이러한위협에대처하기위해서는디바이스영역에서디바이스인증 / 식별, 디바이스접근제어, 디바이스 OS 보안, 디바이스경량암호 / 보안프로토콜, 데이터보관, 데이터처리등의문제를해결해야한다. 네트워크영역에서는무선보안, 경량화프로토콜, 서비스영역에서는접근제어 / 권한제어, 공개 API 사용, ID 관리와관련한문제를해결해야한다. 사물인터넷이도입됨에따라현재까지개인정보및프라이버시침해사례와해킹시연사례가다수나타나고있다. 대표적인개인정보침해사례로는 - 4 -

8 온스타 (OnStar) 의개인정보무단수집, 웹캠제조사인트렌드넷의동영상유출, 베이비모니터 (Baby Monitor) 해킹, 무인기 (Drone) 의개인정보유출등이있다. 사물인터넷의대표적서비스로부각되고있는스마트카에서는다양한해킹가능성이제기되고있다. 또한구글글래스및갤럭시기어와같은웨어러블디바이스에는영상녹화기능이포함됨에따라공개된장소에서타인에대한프라이버시침해위험에대한논란이꾸준히제기되고있다. 이에따라미국의연방거래위원회에서는개인정보를유출한트랜드넷에대해이례적으로향후 20년동안외부기관보안감사를받고, 웹캠단말에대한무단접속및해킹방지를위해강화된정보보호프로그램을구축하도록하였다. 또한세계각국은구글글래스가기본적으로구글검색, 네비게이션, 동영상촬영, 이메일전송의기능을가지고있음에따라개인정보침해가능성이크다고판단하여다양한대응활동을벌이고있다. 미국의회에서는구글에서신을보냈고, 영국의영화관에는구글글래스착용을금지했다. 2013년영국교통부는운전자가운전주행중도로에집중해야한다는이유로구글글래스착용을금지하는법안발의를추진하기도했다. 사물인터넷환경에서수집되는정보를디바이스, 네트워크, 그리고플랫폼 / 서비스로구분하여조사하였다. 조사결과스마트커뮤니케이션즈디바이스는사진, 동영상, 음성, 신용카드번호, 계좌번호, 전화번호, 위치정보, 심전도, 심박수등의정보를수집하여, Wi-Fi, 블루투스, Mobile 네트워크를통해데이터를플랫폼이나서버로전송하는것으로나타났다. 커넥티드카의경우 GPS, 입력센서, 가속도센서에서차량상태, 주행거리, 차량속도등의정보를수집하여 Wi-Fi, 모바일, 블루투스를통해데이터를플랫폼이나서버로전송하는것으로나타났다. 스마트헬스케어의경우 GPS, 가속도센서, 심박동센서에서걸음수, 칼로리소모량, 활동시간, 수면시간, 심전도, 심박동수등의정보를수집하여블루투스, Wi-Fi를통해데이터를플랫폼이나서버로전송하고있는것으로나타났다. 스마트홈어플라이언스의경우카메라, 마이크, 바코드스캐너, 온도센서에서사진, 동영상, 음성, 시청정보, 검색기록, 온도, 식품목록, 전기요금패턴, 사용하는세탁코스등의정보를수집하여블루투스, Wi-Fi, NFC를통해데이터를플랫폼이나서버로전송하고있었다

9 스마트시티 / 빌딩 / 그리드의경우무게센서, NFC 인식센서, 카메라, 화재감지기, 장애물센서, 전압및전류센서, 온도센서에서주소, 음식물쓰레기중량, 출근시간, 퇴근시간, 지문정보, 위치정보, CCTV 영상, 음성, 주파수, 전기요금관리번호, 스마트미터고장정보, 온도등의정보를수집하여 Zigbee, Wi-Fi, RFID를통해데이터를플랫폼이나서버로전송하는것으로나타났다. 사물인터넷환경에서생성, 수집, 저장, 이용, 파기되는개인정보의다양한위험을분석하기위해서는체계적인분석프레임워크가필요하다. 지금까지알려진프레임워크로는 NIST SP800-30, KS X ISO/IEC 27005, ISACA RISK IT 등이있다. 이들프레임워크의특성은 IT 시스템의전사적차원의보안에초점이맞추어져있다는점이다. 하지만기존의프레임워크는기업의수준을넘어선개인과사회, 서비스영역전체에대한구조적분석에는한계가있다는단점이있다. 이에따라본연구에서는사물인터넷의위험분석을위해 개인정보 (Personal information), 위협 (Threat), 영향도 (Impact) 세 변수를 종합적으로고려한새로운프레임워크를제안했다. 본연구에서제안하는 프레임워크는기존의프레임워크에비해개인정보유출이사회에미치는영향에 초점을두고있다는특징이있다. 4. 연구결과 본연구를수행한결과는크게 2가지연구결과로정리할수있다. 첫째, 사물인터넷환경에서개인정보보호를위한위험분석프레임워크도출과그에따라개인정보보호측면에서위험이높은분야와위험의정도를식별하였다. 둘째, 개인정보보호법과관련하여사물인터넷환경에서발생할수있는문제점을밝혀내고이에따른개선방안을제시했다. 개인정보보호를위해사물인터넷환경에적합한위험분석프레임워크를마련하고, 이프레임워크를적용해본연구에서구분한비즈니스유형들을분석한결과스마트커뮤니케이션즈디바이스가총점 27점중 21점으로개인정보사고발생시가장위험이높은분야로나타났다. 다음으로는커넥티드카 (18점), 스마트홈어플라이언스 (16점), 스마트헬스케어 (15점), - 6 -

10 스마트빌딩 / 시티 / 그리드 (15점) 순으로나타났다. 사물인터넷환경에서의위험분석프레임워크의점수들은기존개인정보사건, 시연, 시나리오등을수치화하여대입하여얻은결과이다. 따라서향후사물인터넷에서개인정보사고발생시위의수치에따라위험의정도가나타날것으로예상된다. 다만본보고서에서제안한프레임워크는수치에대입할수있는샘플의수가제한적이어서대표성을갖기에는한계가있다. 또한변수에대입한수치들이일부자의적인판단에의한것이므로결과의객관성을충분히담보하기에는제약이있다. 따라서본연구의결과는정책을위한참고자료로활용하는것이타당해보인다. 위험프레임워크분석결과에따라위험도가높게나타난스마트커뮤니케이션즈디바이스와커넥티드카에대한대처방안을제시했다. 위험분석결과커넥티드카는침해위협도, 이용자빈도및서비스시장규모와같은사회적영향도부분에서높은위험수준을나타내고있는것으로나타났다. 이에대한대처방안으로첫째, 생성및이용가능한개인정보관련대책으로개인정보수집최소화와정보주체로부터의충분한고지를통한동의획득, 프라이버시를고려하는개념및디폴트를기반으로한제조공정마련이필요한것으로보인다. 둘째, 개인정보민감도에따른대책으로는제3자무단제공등목적외이용되지않도록규제강화, 유출사고발생시즉각적인통지시스템체계를마련하고현장대응능력강화, 비식별화조치의무화및재식별위험방지를위한모니터링강화가필요한것으로보인다. 마지막으로사회적영향력관련대책으로개인정보보호를위한업계공동실천규약을제정하고이를주기적으로모니터링, 차량제조자및관련이해관계자모두를대상으로개인정보보호에대한인식제고및홍보강화등이필요한것으로나타났다. 스마트커뮤니케이션디바이스는개인정보의종류및민감도, 사회적영향력전체에서높은위험수준을나타내고있는것으로드러났다. 따라서첫째, 생성및이용가능한개인정보관련대책으로개인정보를수집하고있는경우이를이용자에게주기적으로알려주기위한외부램프표시기능, 스마트폰개발단계부터프라이버시를고려하는개념및디폴트개념적용, 필요없는개인정보의주기적인삭제 ( 파기 ), 외부 3자가스마트폰의개인정보를열람할수 - 7 -

11 없도록 안전성 확보 조치가 필요해 보인다. 둘째, 개인정보 민감도에 따른 대책으로앞의대책과함께검색이력등의저장주기를최소화를위한자동 삭제기능강화, 비식별화조치방안강구가필요해보인다. 셋째, 디바이스와 네트워크 위협 대책으로는 물리적 접근통제 강화를 위한 별도의 시건 장치 마련, 이종 네트워크 환경에 부합하는 보안 기술의 적용이 필요해 보인다. 마지막으로넷째, 사회적영향력관련대책으로는개인정보처리자별개인정보 수칙 및 가이드라인을 개발, 이용자의 자기정보통제권 강화 방안 마련, 사물인터넷 위험에 대한 이용자 교육 강화 방안 마련이 필요한 것으로 나타났다. 사물인터넷의개인정보보호와관련한제도적, 기술적문제점을검토한결과 개인정보처리자측면과개인정보적측면에대한쟁점이있는것으로나타났다. 첫째, 개인정보처리자 측면에서는 누가 개인정보처리자인가? 와 해당 개인정보처리자가 개인정보보호법 상의 처리자의 역할을 다할 수 있는가? 의 문제이다. 사물인터넷 환경에서는 기기 제조자, 소셜 플랫폼 서비스 제공자, 소프트웨어 개발자, 다른 제3의 참여자, 사물인터넷 데이터 플랫폼등이 개인정보처리자의 역할을 수행할 수 있다. 개인정보처리자 자신이 개인정보처리자임을 인식하기 쉽지 않은 사물인터넷 환경에서는 개인정보처리자가자신의역할을다하기에는한계가있을수밖에없다. 둘째, 개인정보 측면에서는 다양한 문제점이 도출되었다. 이러한 문제점을 유형화하면다음과같이네가지로나눌수있다. 첫째, 정보의비대칭성으로 인한정보주체의자기통제권상실가능성이확대되고있다. 둘째, 목적외이용에 대한 개연성과 사전동의 의 수준이 문제가 될 수 있다. 셋째, 정보의 공유 확대로인한개인정보의재식별우려가증가하고있다. 넷째, 국경간개인정보 공유의확대에따른국외이전이슈가발생할수있다. 사물인터넷 환경에서의 개인정보 보호 강화를 위해서는 개인정보처리자 유형별개인정보보호수칙및가이드라인개발, 정보주체의자기통제권강화, 사전 동의 만능주의에 따른 역기능 해소를 위해 탄력적인 동의제도 도입, 개인정보의 재식별 위험 모니터링 체계 마련, 국외로 유통되는 개인정보의 안전한활용수단 강구, 사물인터넷 서비스 제공자에 대한사전규제 강화, - 8 -

12 자율규제기관으로개인정보보호관련주요사항통지방안마련, 개인정보파기제도강화, 사물인터넷위험에대한이용자교육강화, 사물인터넷서비스이용자를위한투명성확대, 회사내수집된정보간개인정보방화벽 (Chinese Wall) 정책강화등을고려해야한다. 개인정보보호법제 29 조 개인정보의안전성확보조치 ( 기술적 / 관리적 / 물리적 보호조치 ) 의사물인터넷환경에서적용가능여부를살펴본결과안전성확보조치의항목의일부가사물인터넷에부합하지않는것으로나타났다. 사물인터넷의센서와디바이스는소형화, 저용량화를특징으로하고있다. 따라서안전성확보조치에서요구하고있는접근통제기준, 접근권한의제한및관리, 암호화, 접속기록보관및위조 변조방지조치, 보안프로그램의설치및운영기준을충족하기어렵다. 따라서사물인터넷환경에부합하는안전성확보조치의도입을고려할필요가있다. 또한개인정보보호법에따른안전성확보조치만으로는사물인터넷환경에서의개인정보를충분히보호할수는없다. 특히안전성확보조치에서는다루고있지못한사물인터넷의통합적환경때문에추가적인보안대책이요구된다. 이를위해사물인터넷은첫째, 경량보안인증및암호화기술개발, 둘째, 네트워크관리방안마련, 셋째, 시스템설계시 Security by Design 고려, 넷째, 사물인터넷의공급망 (Supply Chain) 관리방안마련등이필요한것으로나타났다. 5. 활용에대한건의 사물인터넷은사람과사람을넘어사람, 사물, 동물, 환경이서비스에관여한다. 그러나, 현재개인정보보호법은사람을주요보호대상으로하고있으므로사물인터넷전반을규율하기에는한계가있다. 위에서살펴본바와같이현행개인정보보호법으로사물인터넷을효과적으로규율하기위해서는개인정보처리자의문제와개인정보동의, 안전성확보등에대한다양한검토가필요하다. 향후사물인터넷의확대에따라개인정보보호법의개정 - 9 -

13 논의가활발하게전개될것으로예상된다. 따라서본보고서에서검토한결과를향후개인정보보호법개정시고려할수있을것으로판단된다. 또한사물인터넷은다양한범위를포함하고있기때문에개인정보보호위원회와같은정부기관이한번에모든분야에대한대책을마련하기에는자원의한계가있을수밖에없다. 따라서본보고서에서위험을분석한결과에따라위험도가높은스마트커뮤니케이션즈디바이스와스마트카영역에대한대책을우선적으로마련할것을권하고싶다. 6. 기대효과 유럽과미국등에서는사물인터넷환경의도래와함께개인정보보호를위한 다각적인대책을준비하고있다. 그러나국내에서는아직까지사물인터넷 환경에서발생할수있는침해위협에대비하여개인정보보호를위한법및 제도적, 기술적대응방안을제시하지못하고있다. 따라서 우리나라에서도 사물인터넷시대의도래와진화에대비한개인정보보호대책마련이필요한상황이다. 이러한상황에서사물인터넷환경에서의개인정보보호를위한종합적인차원의보고서가나왔다는것은커다란의의를갖는다고할수있다. 이보고서를활용할경우향후사물인터넷환경에서개인정보보호를위한종합적인차원에서대응방안을마련하는데에도움을줄수있을것으로판단된다. 또한이러한보고서를통해우리나라의개인정보보호수준과사물인터넷의개인정보보호수준도한단계진전될것으로기대한다

14 < 목차 > 제 1 장연구의배경및목적 1 제 1 절연구의배경 1 제 2 절연구의목적 3 제 2 장사물인터넷의개요 4 제 1 절사물인터넷의개념과정의 4 1. 사물인터넷의개념 4 2. 사물인터넷의정의 6 3. 스마트기기와사물인터넷의연관성 7 제 2 절사물인터넷의기술요소 9 1. 사물인터넷의기술요소 국내 / 외사물인터넷기술수준비교 15 제 3 절사물인터넷의시장규모와전망 사물인터넷시장규모와전망 세계사물인터넷의주요분야별전망및특징 20 제 4 절사물인터넷활용분류 21 제 5 절사물인터넷의활용현황 스마트커뮤니케이션디바이스 (Smart Communication Device) 커넥티드카 (Connected Car) 스마트홈가전 (Smart Home Appliances) 스마트헬스케어 (Smart Health Care) 스마트시티 / 빌딩 / 그리드 (Smart City/Building/Grid) 3 3 제3장사물인터넷관련국내 / 외법제현황 83 제 1 절사물인터넷관련국내개인정보보호정책동향 38

15 1. 사물인터넷서비스와관련국내법률동향 정보통신분야의사물인터넷관련법률 39 제2절국내개인정보보호관련법제현황 개인정보보호법 위치정보법 47 제3절국외개인정보보호관련법제현황 OECD EU 미국 54 제4장사물인터넷관련국내 / 외개인정보보호동향 75 제 1 절사물인터넷관련국내개인정보보호정책동향 사물인터넷관련국내입법동향 사물인터넷관련국내정책동향 58 제 2 절사물인터넷관련국외개인정보정책동향 유럽의사물인터넷정책동향 미국의사물인터넷정책동향 일본의사물인터넷정책동향 중국의사물인터넷정책동향 88 제 3 절사물인터넷관련개인정보보호기술동향 해외개인정보보호표준화동향 해외개인정보보호관련업계동향 사물인터넷관련개인정보보호기술이슈 106 제 4 절사물인터넷관련국내 / 외개인정보침해사례 온스타 (OnStar) 의개인정보무단수집사례 웹캠제조사트렌드넷의동영상유출사례 Baby Monitor 해킹사례

16 4. 무인기 (Drone) 의개인정보유출사례 GPS 해킹시스템 스마트카해킹 (1) 스마트카해킹 (2) 스마트 TV 해킹시연사례 스마트가전을이용한스팸메일발송 구글글래스의개인정보침해위협 갤럭시기어의개인정보침해위협 스마트헬스케어위어러블기기의개인정보침해위협 스마트의료기기해킹 스마트미터기의개인정보침해위협 미국, 개량운전면허증 (EDLs) 개인정보침해위협 130 제5절사물인터넷관련국내 / 외개인정보정책규제현황 트렌드넷유출사고에대한미국연방통신위원회 (FTC) 의조치 구글글래스에대한각국의개인정보보호정책현황 구글글래스프라이버시정책관련영국정보보호위원회의입장 영국 CCTV 개정지침사물인터넷관련현황 호주법제개혁위원회의착용형기기관련현황 사물인터넷해외개인정보보호정책관련시사점 141 제5장사물인터넷환경에서수집되는정보분류 141 제1절개인정보의정의및분류기준 141 제2절스마트커뮤니케이션디바이스 (Smart Communication Device) 스마트폰 구글글래스 스마트워치 144 제3절 Connected Car 서비스에서수집되는정보

17 1. 블루링크 (BlueLink) 온스타 (OnStar) 148 제4절 Smart Health Care 서비스에서수집되는정보 핏빗 (Fitbit) NUVANT MCT 헬리어스 (Helius) 153 제5절 Smart Home Appliances 서비스에서수집되는정보 스마트 TV 스마트냉장고 스마트세탁기 로봇청소기 159 제6절 Smart City/Building/Grid 서비스에서수집되는정보 스마트시티 스마트빌딩 스마트미터 164 제 6 장개인정보위험분석프레임워크 167 제 1 절위험분석의필요성 167 제 2 절 IT 위험분석프레임워크 위험과 IT 위험 IT 위험분석프레임워크개요 169 제 3 절기존위험분석프레임워크 NIST SP800-30: KS X ISO/IEC ISACA RISK IT 186 제 4 절제시된위험분석프레임워크 기존위험분석프레임워크의종합적평가

18 2. 새롭게제시된위험분석프레임워크 사물인터넷환경에서의위험분석프레임워크분석결과 207 제5절제안된프레임워크의한계및대처방안 개요 스마트커넥티드카 스마트커뮤니케이션디바이스 225 제7장사물인터넷환경에서의개인정보관련제도개선방안 23 제1절개요 233 제2절사물인터넷환경에서개인정보처리자유형구분 기기제조자 소셜플랫폼서비스제공자 소프트웨어개발자 다른제3의참여자 사물인터넷데이터플랫폼 238 제3절주요쟁점사항 개인정보처리자에관한고려사항 개인정보에대한고려사항 241 제4절제도개선방안 개인정보처리자유형별개인정보보호수칙및가이드라인개발 정보주체의자기통제권강화방안마련 사전동의만능주의에따른역기능해소를위해탄력적인동의제도도입검토 개인정보의재식별위험모니터링체계마련 국외로유통되는개인정보의안전한활용수단강구 사물인터넷서비스제공자에대한사전규제강화 개인정보파기제도강화

19 8. 사물인터넷위험에대한이용자교육강화 사물인터넷서비스이용자를위한투명성확대 회사내수집정보간개인정보방화벽정책강화 주요개선방안에대한정책이행방안 276 제 5 절제도의시급성및중요성검토 278 제8장사물인터넷환경에서의개인정보안정성확보및보안대책 283 제1절사물인터넷의개인정보보호법상의안전조치의무준수 관리적보호조치 기술적보호조치 물리적보호조치 296 제2절제도의시급성및중요성검토 300 제 9 장결론 303 < 참고문헌 > 302

제 1 장연구의배경및목적 제 1 절연구의배경 현재 IT 세상은초연결사회로진화중이다. 초연결사회란사람과동물, 사물, 환경등모든것이서로연결되어정보를주고받는사회를의미한다. 초연결사회의기본이되는기술과서비스가바로스마트기기를포함한사물인터넷 (Internet of Things) 이다.

20 제 1 장연구의배경및목적 제 1 절연구의배경 현재 IT 세상은초연결사회로진화중이다. 초연결사회란사람과동물, 사물, 환경등모든것이서로연결되어정보를주고받는사회를의미한다. 초연결사회의기본이되는기술과서비스가바로스마트기기를포함한사물인터넷 (Internet of Things) 이다. 사물인터넷환경에서는시간과장소의제약없이모든사물이인터넷을통해각각의정보를공유하거나처리할수있다. 사물인터넷의개념은기존의 USN(Ubiquitous Sensor Network) 과사물지능통신 (Machine-To-Machine, M2M) 에서한단계진일보한것이다. 1) 가트너에의하면현재인터넷에연결된사물은 2013년기준 26억개에서 2020년에는 260억개로확대되어향후다양한혁신과사업기회를창출할것으로전망하고있다. 이처럼사물인터넷은산업전분야와융합하여새로운서비스를창출하고부가가치를높이는창조경제의핵심동력으로기대되고있다. ( 그림 1-1) 초연결사회로의변화 출처 : 한국정보화진흥원 (2013) 사물인터넷환경에서는스마트기기의확산, 스마트 TV 의도입등온 / 오프라인 융합및새로운서비스가등장하고있다. 사물인터넷의등장으로수집되는 1) 한국정보화진흥원, 창조경제실현을위한사물인터넷기반유망시장전망및과제,

21 정보의종류가다양해지고, 이러한정보를이용, 유통, 처리하는환경이급속히변화하고있다. 또한정보통신환경의변화로인해새롭게수집되는정보의양이절대적으로증가함에따라개인정보보호이슈도함께부각되고있다. 사물인터넷시대는다양한디바이스를통해수집 / 생성 / 공유되는개인정보의증가로인해개인정보에대한침해가능성이증가하고있다. 예를들어스마트그리드서비스의경우전력소비자, 유틸리티사업자, 에너지서비스제공자, 제3자등의이해관계자들이존재하며, 전력소비자의실시간에너지소비정보가공유되고에너지소비정보를수집 / 저장 / 유통 / 공유할수있다. 결국전력소비자의에너지사용시간과사용량정보를통해전력소비자의생활패턴에대한프로파일링이가능하게된다. 이러한정보가개인을식별할수준의정보가아니라고하더라도개별정보들을조합할경우시간과장소와같은개인의활동내역등보다구체적이고민감한사생활정보가생성될수있다. 이러한상황을통해기존에는없었던새로운형태의개인정보또는프라이버시침해가능성이발생하게된다. 2) 실제로사물인터넷환경에서스마트기기를통한개인정보수집및처리방식의다변화에따른피해사례가발생하고있다. 미국제너럴모터스의텔레메틱스서비스인 Onstar 의개인정보무단수집, 애플의 ios 기반의스마트폰을이용한동의없는위치정보수집, 웹캠제조사인트랜드넷의동영상유출등이발생했다. 또한구글글라스와갤럭시기어의개인정보침해가능성이지속적으로제기되고있다. 사물인터넷시대에는개인정보및프라이버시침해이슈는물론보안이슈도발생하고있다. 사물인터넷의디바이스부분인스마트기기역시급속한확산에따라다양한유형의스마트기기기반의악성코드 (Malware) 가발생할수있다. 스마트기기는단순기기가아닌다양한네트워크인터페이스를가지고있어인터넷환경에서발생할수있는모든보안위협이동일하게발생할수있다. 실제로 2013년미국휴스턴의 Baby Monitor 해킹을통해가정의내부를모니터링한후아기에게욕설을한사례가발생했다. 또한 CNN의무인기 (Dron) 및텍사스대학교연구팀의 GPS 개인정보해킹시연, 글로벌 2) 정보통신산업진흥원, 스마트그리드에서의프라이버시보호방안연구,

22 보안기업인카스퍼스키랩 (Kaspersky Lab) 의스마트카해킹시연등을통해사물인터넷환경에서의보안문제의심각성을예측해볼수있다. 유럽과미국등에서는사물인터넷환경도래와함께개인정보보호를위한다각적인대책을준비하고있다. 미국은 2012년 2월소비자데이터프라이버시권리장전을, EU는 2012년 1월데이터보호규칙을제안했다. OECD는프라이버시가이드라인개정안을내놓으면서변화하는사물인터넷환경에빠르게대처하고있다. 그러나국내에서는아직까지사물인터넷에서발생가능한개인정보및보안과관련한법적, 제도적, 기술적대응방안을제시하지못하고있다. 따라서우리나라에서도초연결사회의기반인사물인터넷시대의도래와진화에대비한보안문제를포함한개인정보보호대책을조속히마련해야할필요성이제기되고있다. 제 2 절연구의목적 본연구는스마트기기를포함한사물인터넷확산으로인해발생가능한다양한개인정보보호관련이슈를검토한후대응방안을제시하는것을목적으로하고있다. 이를위해첫째, 국내 / 외사물인터넷관련개인정보보호법현황을살펴보고자한다. 둘째, 국외의개인정보보호동향을조사및분석하여국외의사물인터넷과관련한법적, 제도적, 기술적인대응현황및특징을파악하고자한다. 셋째, 사물인터넷에서새로이발생및수집되고있는정보를사물인터넷의서비스유형별로분류및분석하여어떠한사물인터넷서비스가, 얼마나많은개인정보를수집하고있는지를파악하고자한다. 넷째, 이렇게분류및분석한결과를바탕으로스마트기기및사물인터넷의개인정보보호를위한위험분석프레임워크를제시및실제적용하여개인정보보호측면에서위험이발생가능한서비스영역을도출하고자한다. 마지막으로선행연구및조사를바탕으로국내에서개인정보보호강화를위해필요한법을포함한제도적, 기술적방안을각각제시하고자한다

23 제 2 장사물인터넷의개요 제 1 절사물인터넷의개념과정의 1. 사물인터넷의개념 Radio-Frequency Identification(RFID), 위치정보, 센서등을이용한사물인터넷관련기술및서비스는이미오래전부터상용화되어왔지만, 사물인터넷이라는용어가처음으로사용되기시작한것은 1999년 P&G의케빈애쉬튼 (Kevin Ashton) 이 RFID(Radio Frequency Identification) 및센서가사물에탑재된사물인터넷이구축될것 이라고언급하면서부터이다 3). 이후 2005년 International Telecommunication Union(ITU) 에서 언제어디서나어느것과도연결될수있는새로운통신환경 으로사물인터넷의개념을처음으로정립하였다. 사물인터넷은현재 ( 그림 2-1) 에나와있는것처럼사물지능통신 (Machine to Machine, M2M), 사물인터넷 (Internet of Things, IoT) 을거쳐만물인터넷 (Internet of Everything, IoE) 으로개념이확장되고있다. 4) 사물지능통신이란국내에서만들어낸신조어로 RFID 및센서등이여러가지경로를통하여수집한사물의위치및위치의변동, 조도, 시각등의데이터를지능화된기기가전달, 수집, 가공및제공하기위한통신을말한다. 5) 사물지능통신을통해사물간의센싱, 제어, 정보교환및처리등이가능하게되었으며, 사물인터넷은사물지능통신의개념에인터넷이추가되어모든사람과사물이상호작용하는개념으로진화된인터넷환경이다. 결국사물인터넷은사물지능통신에인터넷이강조된개념이라할수있다. 만물인터넷이란사물인터넷환경에지리적공간과인터넷간의연결성이한층강화된환경한다. 사물인터넷에대해좀더자세히논하자면사물인터넷은고유하게식별이 3) 커넥팅랩, 사물인터넷 : 클라우드와빅데이터를뛰어넘는거대한연결, ) 정보통신정책연구원, 사물인터넷의진화와정책적제언, ) 한국방송통신전파진흥원, M2M( 사물지능통신 ) 발전방향과과제,

가능한사물이만들어낸정보를인터넷을통해공유하는환경으로, 기존의유선통신기반인터넷및모바일인터넷보다진화된단계의인터넷기반의상호연결성 (interconnection) 을제공한다. 6) 즉사물인터넷은이동통신망을이용하여사람과사물, 사물과사물간지능통신환경을인터넷으로확장하여현실과가상세계의모든정보와상호작용하는개념이다.

7) ( 그림 2-1) 사물인터넷개념정의 사물지능통신 (M2M) 과사물인터넷의관계 M2M, IoT, IoE 의포괄적개념 출처 : KT 경제경영연구소 (2014), 산업연구원 (2014) ( 그림 2-1) 에나와있는바와같이사물지능통신과사물인터넷의관계를살펴보면사물지능통신은정보생산주체와정보소비주체의기기간의서비스및통신을제공한다.

24 가능한사물이만들어낸정보를인터넷을통해공유하는환경으로, 기존의유선통신기반인터넷및모바일인터넷보다진화된단계의인터넷기반의상호연결성 (interconnection) 을제공한다. 6) 즉사물인터넷은이동통신망을이용하여사람과사물, 사물과사물간지능통신환경을인터넷으로확장하여현실과가상세계의모든정보와상호작용하는개념이다. 따라서사물인터넷은인간과사물, 서비스등분산된구성요소들간에인위적인개입없이상호협력적으로센싱, 네트워킹, 정보교환및처리등의지능적관계를형성하게된다. 7) ( 그림 2-1) 사물인터넷개념정의 사물지능통신 (M2M) 과사물인터넷의관계 M2M, IoT, IoE 의포괄적개념 출처 : KT 경제경영연구소 (2014), 산업연구원 (2014) ( 그림 2-1) 에나와있는바와같이사물지능통신과사물인터넷의관계를살펴보면사물지능통신은정보생산주체와정보소비주체의기기간의서비스및통신을제공한다. 사물지능통신의개념에는사람의통신이제외되어있다. 그러나사물인터넷은사물지능통신에서는고려하고있지않은사람간의통신도제공한다. 또한단순한사람간의통신이아닌사람을둘러싼환경에초점이맞추어져있다는것도차이점이다. 사물지능통신에서사물인터넷으로의기술적촉진은모바일기기의급증, 센서 / 모듈가격의하락, 통신속도증가, 빅데이터처리기술의등장등모바일, 네트워크, 센서기술등의발전에기인한다. 현재사물지능통신에서진화한사물인터넷은만물인터넷으로발전하고있다. 6) 한국정보화진흥원, 창조적가치연결, 초연결사회의도래, ) 산업연구원, 초연결시대사물인터넷 (IoT) 의창조적융합활성화방안,

25 이에따라제공가능한서비스도모바일, 센서네트워크, RFID, NFC(Near Field Communication) 에서사람과사물은물론공간과연계된 Cloud Service, LBS, GIS, 커넥티드카로발전할것으로예상된다. 2. 사물인터넷의정의 사물인터넷은여러기관에서다양하게정의하고있다. 대표적인기관으로는국제전기통신연합 (International telecommunication Union, ITU) 와같은국제표준화기구와한국인터넷진흥원, 정보통신정책연구원과같은국내기관들이있다. 이들기관의사물인터넷에대한정의는 [ 표 2-1] 에기술되어있다. ITU는사물인터넷을기기및사물에통신모듈이탑재되어, 유 / 무선네트워크로연결하여사람과사물, 사물과사물간에정보교환및상호소통할수있는지능적환경으로해석하고있다. 유럽전기통신표준화기구 (European Telecommunications Standards Institute, ETSI) 는데이터수집및지능통신기능을통해물리적객체와가상객체를구분및연결하는동적인글로벌네트워크기반구조라고정의했다. 한국인터넷진흥원은사물인터넷을고유하게식별가능한사물 (Things) 이만들어낸정보를인터넷을통해공유하는환경이라고정의했다. 마지막으로정보통신정책연구원에서는지능화된사물들이연결되어형성되는네트워크상에서사물과사물, 사물과사람간에상호소통을하고상황인식기반의지식이결합되어지능적인서비스를제공하는글로벌인프라로정의하고있다. 위에서기술한여러기관의정의를토대로했을때사물인터넷은사물과사물간지능통신을할수있는 M2M 개념을인터넷으로확장하여, 사물은물론현실과가상세계에서모든정보와상호작용하는개념으로진화시킨것으로개념화할수있다. 또한고유하게식별가능한사물 (Things) 이만들어낸정보를인터넷을통해공유하는환경으로, 기존의유선통신기반및인터넷, 모바일인터넷보다진화된단계의인터넷환경이다. 그리고사람과사물, 서비스등분산된구성요소들간에인위적인개입없이상호협력적으로센싱, 네트워킹, 정보교환및처리등의지능적관계를형성하는기술및서비스를의미한다. 8) - 6 -

26 본연구에서는이러한정의를참고하여사물인터넷을각종센서와통신네트워크를통해우리주위의사람 / 사물이다양한방식으로연결되어상호작용하고협력하는것을넘어서이러한작용을통해새로운가치를창출하는것으로정의하고자한다. [ 표 2-1] 사물인터넷의정의 기관명 정의 ITU 모든사물에게까지네트워크연결을제공하는네트워크의네트워크 9) EU IoT Workshop CASAGRAS Final Report KISA ETRI KISDI 표준화된통신프로토콜에기반한독자적이면서자체주소를가진상호연결된대상물의전세계네트워크 10) 데이터수집및통신기능의개발을통해실제및가상의객체를연결하는글로벌네트워크인프라 11) 고유하게식별가능한사물 (Things) 이만들어낸정보를인터넷을통해공유하는환경으로기존의유선통신기반인터넷및모바일인터넷보다진화된다음단계의인터넷 12) 지능화된사물들이연결되어형성되는네트워크상에서사물과사물 ( 물리또는가상 ), 사물과사람간에상호소통하고상황인식기반의지식이결합되어지능적인서비스를제공하는글로벌인프라 13) 사람, 사물, 공간등모든것들 (Things) 이인터넷 (Internet) 으로서로연결되어, 모든것들에대한정보가생성 / 수집되고공유 / 활용되는것 14) 3. 스마트기기와사물인터넷의연관성 스마트기기는 네트워크기능이탑재되어인터넷접속이가능하며 OS 플랫폼을통해제공되는다양한기능및서비스를이용할수있는기기 혹은 컴퓨팅과통신기능을갖춘디바이스 로정의되고있다. 15) 그리고 J. P Vasseur과 Adam Dunkels는스마트기기를센서나액추에이터, 8) 산업연구원, 초연결시대사물인터넷 (IoT) 의창조적융합활성화방안, ) ITU, The Internet of Things, ) EPoSS, EU IoT in 2020, ) M2M Standardization and its perspectives(itu-t,etsi,3gpp) 12) 한국인터넷진흥원, 인터넷 & 시큐리티이슈 13) 한국전자통신연구원, IoT(M2M) 기술동향및발전전망, ) 정보통신정책연구원, 사물인터넷의진화와정책적제언, ) 정보통신정책연구원, 스마트디바이스제조산업의발전방향연구,

27 마이크로프로세서, 통신장치, 전원으로구성된기기라고설명하고있다 16). 스마트기기는스마트폰, 태블릿 PC, 스마트시계, 스마트안경등다양한디바이스를포함하고있으며, 이러한내용을기준으로살펴보면스마트기기는 기존에있는기기혹은새롭게만든기기를네트워크나센서, 프로세스등을이용하여좀더발전된서비스를제공하는기기 라고간주할수있다. 이처럼스마트디바이스는 다양한기능및서비스 의활용을위해만들어진다고볼수있다. 그리고사물인터넷은앞서살펴본바와같이디바이스와서비스를포괄하는개념이라고할수있다. ( 그림 2-2) 에서확인할수있는바와같이디바이스는각서비스영역별로다양하게구성될수있으며사용용도에따라중복될수도있다. 개인정보보호와관련되는이슈도이와같은서비스와의연계점에서발생된다고보았다. 이슈가발생되는핵심은디바이스자체에있는것이아니고활용되는서비스구성에있다. 또한서비스를기준으로살펴볼때해당산업이나서비스의발전전망이급속도로진행되는경우, 향후개인정보보호나보안등과관련하여더욱많은이슈가발생될것으로보인다. 이와함께, 해외사례에서도디바이스자체에대한규제보다는도입및응용과관련되는서비스에대한거버넌스제공이나정책수립등을진행하는것을확인할수있었다. 때문에본보고서는연구목적에보다적합한결과를도출하기위해사물인터넷서비스를기준으로분류체계를확인하였다. 그리고이중개인정보보호관련하여주요이슈가선행되었거나예상되고있는핵심대상영역을분석하여선정하는형태로진행하였다. 16) J. P Vasseur and Adam Dunkels, Interconnecting Smart Objects with IP,

28 ( 그림 2-2) 사물인터넷구성도 출처 : ITU-T(2011) 제 2 절사물인터넷의기술요소 사물인터넷을구현하기위한기술로는센싱기술, 유 / 무선통신및네트워크인프라기술, 서비스제공기술, 보안기술이있다. 17) 센싱기술은센서로부터정보를수집 / 처리 / 관리하고정보가서비스로구현되기위한인터페이스구현을지원하며, 사물인터넷서비스를지원하기위해서는유 / 무선통신및네트워크인프라기술이필요하다. 또한사물인터넷서비스를사용자에게제공하기위해서는다양한서비스제공기술이필요하다. 18) 마지막으로사물인터넷을구현하는유 / 무선네트워크, 센서등을통해수집 / 생성 / 공유되는데이터를보호하여서비스를신뢰성있고안전하게제공하는보안기술이요구된다. 보다자세한사물인터넷의기술분야는아래 [ 표 2-2] 에자세히기술하였다. 17) 한국인터넷진흥원, 인터넷 & 시큐리티이슈 9 月, ) 한국방송통신전파진흥원, 국내외사물인터넷정책및시장동향과주요서비스사례,

29 [ 표 2-2] 사물인터넷의기술분야 유 / 무선통신및 구분 센싱기술 네트워크인프라 서비스제공기술 보안기술 기술 역할 - 센서로부터정보의수집 / 처리 / 관리 - 정보가서비스로구현되기위한인터페이스구현지원 - 네트워크종단간 (end-to-en d) 연결을지원 - 인간-사물- 서비스간에특정기능을수행하는응용서비스와연동 - 사물인터넷구성요소에대한해킹및정보유출방지 - 통신 / 네트워크 포함기술 - 터치 / 가속도 / 자이로 / 지자기 / 중력 / 광도 / 조도 / 근접등의센서 - WPAN, WiFi, 3G/4G/LTE, 블루투스, Ethernet, BcN, 위성통신, Microwave, 시리얼통신, PLC 등 - 정보의가공 / 추출 / 처리, 저장, 판단, 상황인식, 인지, 시맨틱, 가상화, 위치확인, 데이터마이닝, 웹서비스등 보안기술 (CoAP, MQTT 보안등 ) - Open API 보안기술 (OAuth 등 ) - 플랫폼보안 - 서비스보안기술 - 인증 / 인가 - Anomaly Detection 출처 : 한국정보화진흥원 (2013) 에서내용발췌및재구성 1. 사물인터넷의기술요소 (1) 센싱기술 ITU-T의사물인터넷표준인 Y.2060(Overview of the Internet of things) 각주에좀더구체적설명필요에의하면정보를수집 / 처리 / 관리하고이러한정보를네트워크를통해다른개체와연결을시키는디바이스는반드시통신이가능해야한다. 또한선택적으로센싱 (sensing), 구동 (actuation), 데이터수집 (data capture), 데이터저장 (data storage) 과데이터처리 (data processing) 기능을가질수있어야한다. 이들요소중사물인터넷의제공을위해서는센싱이선행되어야한다

30 사물인터넷의센싱기술로는기본적으로터치센서, 가속도센서, 자이로센서, 지자기센서, 중력센서, 광도 / 조도센서, 근접센서등이있다. 19) 터치센서란손가락을사용하여디스플레이를조작하는기술로정전식감응기술이라고도하며, 스마트폰, 태블릿 PC 등에많이사용되고있다. 가속도센서는이동하는물체의가속도충격의정도를측정하는센서로출력신호를처리하여물체의가속도, 진동, 충격등의움직임을측정하는센서이다. 자이로센서는자이로스코프 (Gyroscope) 라고도하며회전속도를검출하는센서이다. 지자기센서는지구자기장을측정하는센서로방위각을측정할수있는전자나침반이다. 중력센서는중력이어느방향으로작용하는지탐지하고상황에맞춰사용자에게편의를제공하는센서이다. 광도 / 조도센서는주변의빛을감지하여자동으로밝기를조절하는센서이다. 근접센서는사물간접촉이이루어지기전에얼마나가까운지를파악하는데사용되는센서이다. 센서는외부환경의변화를모니터링및감지한결과를디지털시그널로생성하는기능을한다. 또한관리자등외부에서네트워크를통해특정한조작을하는경우특정한신호를제공또는변환하는역할을수행하기도한다. ( 그림 2-3) 와같이일반적으로센서디바이스는사물 (physical things) 등으로부터정보를감지한후데이터캡쳐디바이스와연계되어저장및처리하게된다. 또한센서로부터수집및저장한데이터는유 / 무선네트워크를통해외부에제공또는공유하게된다. ( 그림 2-3) 디바이스의형태와사물과의관계 출처 : ITU-T(2012) 19) 한국전자통신연구원, IoT 센서기술동향및발전전망,

31 (2) 유 / 무선통신및네트워크인프라기술 센서및데이터캡쳐디바이스가다른디바이스와통신을하기위해서는반드시유 / 무선통신을이용해야한다. 사물인터넷에서는통신을위해크게 3가지방식이있다. 첫째, 게이트웨이를경유하여다른디바이스와통신을하는방식이다. 둘째, 게이트웨이없이또는다른디바이스와직접적으로통신을하는방식이다. 셋째, 통신망을이용하지않고통신을하는것이다. 사물인터넷에서는이러한방식들이상호결합하여유선및무선통신을제공할수있다. 이러한통신은디바이스간통신을위해신뢰할수있고효율적인통신을제공해야한다. 사물인터넷은현재존재하고있는다양한통신방식을활용할수도있고, 향후개발이가능한기술을활용할수도있다. 사물인터넷에서사용가능한통신기술은 [ 표 2-3] 에나와있는바와같이유선통신, 이동통신, 무선랜 (Wireless LAN), 무선팬 (Wireless PAN) 등이있다. 20) [ 표 2-3] 사물인터넷을지원하는유 / 무선통신기술 구분유선통신 (Wireline) 이동통신 (Wireless WAN Cellular) 무선랜 (Wireless LAN) 무선팬 (Wirelee PAN) 세부기술이더넷 (Ethernet), 산업이더넷 (Industrial Ethernet), PCL(Power Line Communication) GSM/GPRS/EDGE, CDMA/EV-DO, 3G/4G, 위성통신 (Satellite) 등 IEEE , 와이맥스 (WiMax), 와이브로 (Wibro), 초저전력와이파이 (Ultra Low Power Wi-Fi), 와이파이 (WiFi) 등블루투스, Zigbee, RFID, NFC(Near Field Communication), 6LoWPAN 등 출처 : 한국인터넷진흥원 (2012) 유선통신기술은이더넷 (Ethernet), 산업이더넷 (Industrial Ethernet), 20) 한국인터넷진흥원, 인터넷 & 시큐리티이슈 9 月,

32 PCL(Power Line Communication) 등이있다. 이더넷 (Ethernet) 은미국의 DEC, 인텔, 제록스 3사가공동개발한랜모델로상호간고속의속도로데이터를교환할수있는랜이다. 21) 이동통신기술은 Global System for Mobile Communications, GSM)/General Packet Radio Service(GPRS)/Enhanced Data Rates for GSM Evolution(EDGE), CDMA/EV-DO, 3G/4G, 위성통신등이있다. 무선랜기술로는 IEEE , 와이맥스 (WiMax), 와이브로 (Wibro), 초저전력와이파이 (Ultra Low Power WiFi), 와이파이 (WiFi) 등이있다. 22) 무선팬기술은블루투스 (Bluetooth), 지그비 (Zigbee), RFID(Radio Frequency Identification), NFC(Near Field Communication), 6LoWPAN 등이있다. 사물인터넷에서사용가능한통신기술에는특별한제한은없다. 다만사물인터넷의디바이스들은소형인경우가많고서비스의특성에따라제공이가능한통신기술이선택적일수있다. 예를들면커넥티드카의경우블루투스및 3G 또는 4G와같은모바일통신을제공하며, 스마트가전의경우 Wi-Fi, NFC, 블루투스등선호하는통신방식에차이가있을수있다. (3) 서비스제공기술 사물인터넷서비스인터페이스기술은사물인터넷의주요 3대구성요소인사람 / 사물 / 서비스를통해특정기능을수행하는응용서비스와연동하는기능을한다. 이기술은사물인터넷망을통해저장 / 처리 / 변환등다양한서비스를제공할수있는인터페이스역할을할수있어야한다. 사물인터넷의다양한서비스기능을구현하기위해서는검출정보기반기술, 위치정보기반기술, 온톨로지 (Ontology) 기반의시맨틱웹 (Semantic web) 기능, 오픈센서기반의 API(Application Programming Interface) 기능, 가상화기능, 프로세스관리, 오픈플랫폼기술, 미들웨어기술, 데이터마이닝 (Data mining) 기술, 웹서비스기술 SNS(Social Network Services) 등이있다. 23) 21) 한국정보통신기술협회용어사전 22) 국회입법조사처, 와이브로 (Wibro) 사업의현황과발전방향,

33 검출정보기반기술은정보의검출, 가공, 정형화, 추출, 처리및저장기능을말한다. 위치정보기반기술은위치판단및위치확인기능이외에도상황인식및인지기능등을포함한다. 온톨로지 (Ontology) 는인간이보고, 듣고, 느끼고, 생각하는것에대해토론을통해합의를이룬바를개념적이고컴퓨터에서처리할수있는형태로표현한모델로서개념의형식이나사용상의제약조건들을명시적으로정의한기술이다. 24) 시맨틱웹은웹상의정보에잘정의된의미 (Semantic) 를부여함으로써사람뿐만아니라컴퓨터에쉽게문서의의미를자동화하여처리할수있도록하는기술이다. 25) API 기능은응용프로그램에서사용할수있도록 OS(Operating System) 나프로그래밍언어가제공하는기능을제어할수있게만든인터페이스를말한다. 데이터마이닝 (Data mining) 은대규모로저장된데이터안에서체계적이고자동적으로통계적규칙이나패턴을찾아내는것을의미한다. 서비스제공기술은사물인터넷이정보를저장 / 처리 / 변환하여서비스를제공하는역할을수행한다. 또한최근에빅데이터및데이터마이닝기술등과결합하여새로운가치를창출할수도있다. (4) 보안기술 사물인터넷의보안기술은유 / 무선네트워크, 첨단기기및센서, 사물 / 사람 / 장소에관한대량의데이터등의사물인터넷구성요소에대한해킹및정보유출을방지하기위한기술을뜻한다. 26) 사물인터넷은적용분야별로기능이나애플리케이션, 인터페이스등이모두다를뿐만아니라, 유선통신, 이동통신, 무선랜, 무선팬등다양한네트워크환경을기반으로하므로각각의사물인터넷의환경에맞는보안기술을적용해야한다. 사물인터넷보안에요구되는사항으로는일반보안요구사항과특정보안요구사항으로나눌수있다. 일반보안요구사항은디바이스, 네트워크, 23) 정보통신산업진흥원, 사물인터넷핵심기술및시장성분석, ) 정보통신산업진흥원, 사물인터넷핵심기술및시장성분석, ) 한국정보통신기술협회, 시맨틱웹, ) 한국인터넷진흥원, 인터넷 & 시큐리티이슈 9 月,

34 서비스로구분할수있다. 사물인터넷디바이스에서의보안요구사항은접근권한설정, 인증, 단말무결성검증, 접근통제, 데이터기밀성및무결성이있다. 네트워크에서는접근권한설정, 인증, 데이터 / 신호정보의기밀성및무결성을보장해야한다. 서비스에서는접근권한설정, 인증, 데이터기밀성, 무결성, 프라이버시보장, 보안감사수행, 안티바이러스설치등이요구된다. 특징보안요구사항에는모바일결제등특수한상황에적용이가능한보안요구사항을적용해야한다. 사물인터넷은사물들로부터획득한정보를다양한응용서비스에활용되기때문에위에서언급한보안과프라이버시보호에대한요구사항은반드시만족되어야한다. 2. 국내 / 외사물인터넷기술수준비교 IDC의 G20 사물인터넷준비지수조사 (G20 Internet of Things Index) 에따르면국내의사물인터넷을위한준비정도가미국에이어세계 2위로비교적높은수준으로나타났다. 27) 사물인터넷지수는정보와관련된주요 12개지표를조사및분석하여사물인터넷의기회에대한준비정도에따른 G20 국가들의순위를산출한인덱스이다. 12개의주요지표에는 GDP, 비즈니스환경 (Ease of doing business index), 스타트업절차 (Start-up procedures), 특허출원 (Patent applications), 인구 (Population), 에너지사용 (Energy use), 탄산가스배출 (C02 emissions 28) ), 브로드밴드사용자수 (Broadband subscribers: per 100 people), 인터넷사용자수 (Internet users: per 100 people), 모바일사용자수 (Mobile subscriptions: per 100 people), 시큐어서버 (Secure servers: per 1 million people), IT 지출규모 (IT spend) 가있다. 하지만앞서말한사물인터넷준비지수조사와는달리국내사물인터넷의전반적인발전수준과시장활성화정도는주요선진국과비교해봤을경우다소미흡한것으로평가된다. 그이유로는선진국은다양한분야에서 27) 1 위미국, 2 위대한민국, 3 위일본, 4 위영국, 5 위중국 28) 스마트카의경우탄산가스배출농도를낮추어 IoT 준비지수지표순위에영향을미치는지표로활용된다. 탄산가스배출농도가낮을수록준비지수가높아진다

35 사물인터넷서비스도입이활발하게이루어지고있는반면, 국내의사물인터넷서비스는이제도입초기단계인것으로평가되기때문이다. 29) 산업연구원 (2014) 에의하면스마트그리드기술수준은다른기술분야보다상대적으로높게평가되나선진국에비해서는미흡한것으로평가되고있다. 전자 / 정보 / 통신분야에서우리나라는디스플레이와반도체와같은기술은상대적으로높지만, 빅데이터, 지능형인터렉티브등은선진국에비해미흡하다. 건설 / 교통분야는국토정보구축 / 활용기술이상대적으로높지만, 지능형건물제어, 첨단도시건설, IT기반친환경도로및지능형교통시스템기술수준이낮은것으로평가되고있다. 그리고사물인터넷서비스의핵심요소인센서와소프트웨어경쟁력도선진국과비교해미흡한것으로나타나고있다. 특히핵심센서는해외수입의존도가매우높은상황이다. 30) [ 표 2-4] 에나와있는바와같이산업연구원의자료를분석해보았을때우리나라는초기사물인터넷시장선점을위한비즈니스환경적인측면과 IT인프라 ( 네트워크, 인터넷 / 모바일사용자수 ) 측면은비교적잘갖추어졌지만그활용정도는약하다고볼수있다. 또한일부대기업을제외하면스마트 디바이스분야의 핵심기술 ( 센서, SW 등 ) 도선진국대비미흡하다고볼수 있다. 원천기술력이단기간에개발되기어려운부분이있기때문에초기휴대폰시장에서의전략과같이응용기술력과경쟁우위를바탕으로전략적인원천기술은점차확대해나가는전략이필요하다. 다행히현재국내의반도체와디스플레이부분은글로벌경쟁력을갖춘것으로평가되고있다. 이를바탕으로사물인터넷시장의주요응용기술 ( 감성인지및어리, 지능형인터랙티브등 ) 을확보하고핵심요소기술 ( 센서, 무선전력전송등 ) 을지속적인 R&D 개발로지원한다면사물인터넷기술분야도글로벌경쟁력을갖춰나갈수있을것으로기대된다. 29) 산업연구원, 초연결시대사물인터넷 (IoT) 의창조적융합활성화방안, ) 산업연구원, 초연결시대사물인터넷 (IoT) 의창조적융합활성화방안,

36 [ 표 2-4] 사물인터넷관련주요요소기술수준비교 ( 단위 : %( 최고국대비수준 )) 기술분야 미국 한국 EU 일본 중곡 차세대유 / 무선네트워크 (5G) 지식기반빅데이터활용기술 방송통신융합서비스기술 전자 / 정보 / 통신 분야 지능형인터랙티브기술 감성인지및처리기술 가상 / 증강현실기술 신개념사용자경험기술 초고속반도체디바이스기술 융합서비스플랫폼기술 모바일원격진료기술 의료분야 건강관리서비스기술 생활및이동지원기기기술 질병진단바이오칩기술 지능형건물제어기술 고효율에너지빌딩기술 건설 / 교통 분야 미래첨단도시건설기술 국토정보구축및활용기술 지능형물류체계기술 IT기반친환경도로기술 지능형교통시스템기술 에너지 / 자원 스마트그리드기술 출처 : 산업연구원 (2014)

37 제 3 절사물인터넷의시장규모와전망 1. 사물인터넷시장규모와전망 전세계사물인터넷시장규모는 [ 표 2-5] 와같이 2013년 2,000억달러에서 2022년에는 1조 2,000억달러규모로연평균 21.8% 씩성장할것으로전망되고있다. 사물인터넷시장분야별로보면, 사물인터넷디바이스시장이 2013년 1,888억달러에서연평균 10% 씩성장하여 2022년에는 4,450억달러로성장하여지속적으로가장큰시장을차지할것으로보고있다. 그러나실제로는시스템사업과서비스및애플리케이션분야가각각연평균 66.1% 와 90% 의높은성장률을보이며사물인터넷생태계를주도할것으로전망하고있다. 다양한서비스및솔루션을통한생태계활성화가기대되는부분이며또한본보고서에서다루게될개인정보보호및보안등의이슈도함께고려되어야하는이유를확인할수있다. 이동통신망분야또한 2013년 95억달러에서 2022년에는 391억달러로연평균 17% 의비교적고성장이예상되고있다. [ 표 2-5] 전세계사물인터넷성장전망구분 2013( 억달러 ) 2022 ( 억달러 ) 칩셋 제품기기 (Devices) 모듈 단말기 1,728 3,692 소계 1,888 4,450 GSM/HSPA 이동통신망 (Networks) CDMA LTE 기타 8 43 소계 시스템사업자 (Solution Providers /System Integrators) 제품기기제조사 시스템통합사업자 14 1,436 특정어플리케이션

38 임대사업자 B2B/B2C 서비스사업자 소계 37 3,555 자동차텔레매틱스 5 1,492 차량관제 애플리케이션 / 서비스 (Application/Services) 스마트그리드및관리 고정형무선통신 생활가전 1 1,184 기타 소계 11 3,552 계 2,031 11,948 출처 : 산업연구원 (2014) ( 그림2-4) 와같이산업연구원에서인용한세계이동통신사업자협회 (GSMA) 의자료에의하면사물인터넷에연결되는디바이스수는 2012년약 100억개에서 2020년에는 250억개에달할것으로예상되고있다. 2020년사물인터넷에연결되는디바이스를분야별로살펴보면, 가전제품 (36%), 지능형빌딩 (27%), 유틸리티 (12%), 자동차 (11%), 헬스케어 (6%), 스마트시티 (4%), 기타 (4%) 의순으로볼수있다. 31) 31) GSMA, Development of the M2M Global Market,

( 그림 2-4) 2020 년분야별사물인터넷연결 디바이스전망 출처 : 산업연구원 (2014) 2. 세계사물인터넷의주요분야별전망및특징 세계사물인터넷의주요분야별전망및특징을살펴보면 2020년가전제품 (Consumer electronics) 분야의연결디바이스수는현재보다약 100배가넘을것으로전망된다.

39 ( 그림 2-4) 2020 년분야별사물인터넷연결 디바이스전망 출처 : 산업연구원 (2014) 2. 세계사물인터넷의주요분야별전망및특징 세계사물인터넷의주요분야별전망및특징을살펴보면 2020년가전제품 (Consumer electronics) 분야의연결디바이스수는현재보다약 100배가넘을것으로전망된다. 32) 현재가전제품분야의연결디바이스는 PC게임콘솔, 셋톱박스, 카메라등이주를이루고있지만 2020년에는이와함께 TV, 프로젝터등도큰비중을차지할전망이다. 지능형빌딩 (Intelligent buildings) 의경우보안시설, 빌딩자동화장비등을관리하기위해유무선연결이확대될것으로전망하며, 매출액도 2011년 520억달러에서 2020년에는 2,100억달러를상회할전망이다. 유틸리티 (Utility) 분야의경우에는현재세계적으로에너지절약및탄소배출규제이슈등으로스마트미터 (Smart meter) 를중심으로크게성장하여전체매출의대부분 (99%) 을차지할것으로전망되고있다. 전기차충전, 운송 / 물류관리, 홈에너지관리 (Home Energy Management) 등이나머지를차지할전망이다. 자동차 (Automotive) 는스마트폰의뒤를잇는주요플랫폼으로기대되고있다. 때문에도난방지를 32) 산업연구원, 초연결시대사물인터넷 (IoT) 의창조적융합활성화방안,

위한보안및추적 (Security, Tracking) 등의기본서비스활성화와함께, 인포테인먼트나무인자동차와같은자동차를플랫폼 (Vehicle platform) 으로하는서비스적용이크게늘어날전망이다. 또한긴급연락망 (emergency-call) 서비스의확대와함께 2020년에는전체트래픽의약 80% 가엔터테인먼트및인터넷접속에서발생될것으로전망하고있다.

40 위한보안및추적 (Security, Tracking) 등의기본서비스활성화와함께, 인포테인먼트나무인자동차와같은자동차를플랫폼 (Vehicle platform) 으로하는서비스적용이크게늘어날전망이다. 또한긴급연락망 (emergency-call) 서비스의확대와함께 2020년에는전체트래픽의약 80% 가엔터테인먼트및인터넷접속에서발생될것으로전망하고있다. 33) 제 4 절사물인터넷활용분류 Arthur D. Little은사물인터넷을 1) 스마트폰, 태블릿 PC등의모바일기기, 2) 스마트미터와스마트그리드와같은에너지분야, 3) 보안및감시부분이강화된빌딩자동화, 4) 커넥티드카, 항공기등을포함하는이동물체, 5) 산업운영과소매유통분야 6) 의료및헬스케어총 6가지로분류하고있으며, 이를서비스와디바이스를기준으로 ( 그림 2-5) 와같이구분하고있다. 34) ( 그림 2-5) Arthur D. Little 의사물인터넷활용분야 출처 : Arthur D. Little(2011) ( 그림 2-6) 와같이 Garnter 는사물인터넷의구성요소 (Elements of the IoT) 를 수평적인기술요소 (horizontal technologies) 시장과수직적인사업 (vertical 33) 산업연구원, 초연결시대사물인터넷 (IoT) 의창조적융합활성화방안, ) ADL, Wanted: Smart market)makers for the 'Internet of Things",

41 industrial sector) 시장으로 구분하여 전체적인 사물인터넷 관련 생태계를 거시적으로 분석하고 있다. 35) 수평적인 기술 요소 시장을 살펴보면 산업 (Industrial), 교통 (Transportation), 유틸리티 (Utilities), 헬스케어 (Healthcare), 스마트시티 (Smart City), 물류 (Logistics), 기타운영기술 (operations technology), 스마트홈 (Smart Home) 농업 (Agriculture), 접객 (Hospitality) 으로이루어져 있으며, 수직적인 사업 시장을 살펴보면 반도체 (Semiconductors), 하드웨어 서비스 (Hardware Services), 하드웨어 (Hardware), 운영체제 (OS), 미들웨어 / 보안 소프트웨어 (Middleware/Security Software), (Infrastructure/Gateway), 커뮤니케이션즈서비스 (Communications Services), 데이터센터서비스 (Data Center Services), 기업소프트웨어 (Enterprise Software), IT 전문서비스 (IT Professional Services), 사물인터넷전문서비스 (IoT Professional Services) 로 구성되어있다. 특히가트너에서는가장중요한 3가지플랫폼기술로반도체, 소프트웨어, 서비스를 제시하고 있으며, 이는 기존의 반도체 칩 모듈 / 단말 플랫폼 네트워크로 구성되는 사물인터넷의 가치사슬의 기반기술로이해할수있다. 위두자료를통해현재사물인터넷의전반적인활용분야와구성요소를 파악하여본연구의사물인터넷분류를위한근거로활용하였다. ( 그림 2-6) 사물인터넷의생태계 출처 : Gartner(2014) 35) 정보통신정책연구원, 사물인터넷 (IoT) 관련가치사슬및시장구성요소현황,

사물인터넷의주요분야별성장전망을보면사물인터넷연결디바이스는 2020년에는 250억개에달할것으로전망된다. 특히가전제품, 지능형빌딩, 유틸리티, 자동차, 헬스케어분야의디바이스수가전체연결디바이스의 92% 를차지할것이라고전망된다. 이러한서비스의특징을살펴보면개인을대상으로서비스를제공할수있다는것이다.

42 사물인터넷의주요분야별성장전망을보면사물인터넷연결디바이스는 2020년에는 250억개에달할것으로전망된다. 특히가전제품, 지능형빌딩, 유틸리티, 자동차, 헬스케어분야의디바이스수가전체연결디바이스의 92% 를차지할것이라고전망된다. 이러한서비스의특징을살펴보면개인을대상으로서비스를제공할수있다는것이다. 개인에게서비스를제공하게되면많은수의디바이스를통해각각사용자의다양한정보가생성 / 수집 / 공유될수있다. 예를들어스마트그리드분야의스마트미터는사용자의전력사용패턴, 가전기기에대한정보등이디바이스를통해생성 / 수집 / 공유되는데, 이러한정보는프로파일링을통해사용자의프라이버시문제를야기할가능성이있다. 36) 따라서본연구에서는국내외사물인터넷활용분야및기술요소와사물인터넷연결디바이스분야중앞으로가장많은디바이스를차지하는분야그리고개인을대상으로서비스를제공할수있는분야와프라이버시문제가생길수있는분야를본연구에서의스마트기기의개념과정의를가지고사물인터넷을다음 ( 그림 2-7) 과같이분류했다. ( 그림 2-7) 사물인터넷구성범위 36) 정보통신산업진흥원, 스마트그리드에서의프라이버시보호방안연구,

제 5 절사물인터넷활용현황 본연구에서의사물인터넷활용현황은앞에서제시한사물인터넷구성 범위를기준으로조사했다. 1. 스마트커뮤니케이션즈디바이스 (Smart Communications Device) 스마트커뮤니케이션즈디바이스의대표적인서비스로는스마트폰, 태블릿 PC, 스마트안경, 스마트시계등이있다.

43 제 5 절사물인터넷활용현황 본연구에서의사물인터넷활용현황은앞에서제시한사물인터넷구성 범위를기준으로조사했다. 1. 스마트커뮤니케이션즈디바이스 (Smart Communications Device) 스마트커뮤니케이션즈디바이스의대표적인서비스로는스마트폰, 태블릿 PC, 스마트안경, 스마트시계등이있다. (1) 스마트폰 (Smart Phone) 대표적인스마트폰은 2007년 Apple에서출시된 iphone이라고할수있다. iphone은 ipod의기능을휴대전화에접목하고, 풀터치스크린방식의디스플레이와 App Store 를통한애플리케이션중심의서비스로스마트폰업계에일대변혁을일으켰다. 37) 국내에서는삼성전자와 LG전자가 2000년에 CDMA 방식의스마트폰을개발한이후꾸준히스마트폰사업에투자하고있다. ( 그림 2-8) iphone 3GS 출처 : 37) 한국콘텐츠진흥원, 문화기술 (CT) 심층리포트,

44 (2) 태블릿 PC(Tablet PC) 태블릿 PC는터치스크린을주입력장치로사용하는소형의휴대형컴퓨터로동영상, 음악, 게임등이미만들어진콘텐츠를검색하고즐기는기능이주요한디바이스다. 38) 대표적인태블릿 PC로는 Apple의 ipad가있다. ipad는 2010년출시되었으며, 기본적으로 iphone에서사용되는사파리, 메일, 사진, 유튜브, 아이튠즈, 앱스토어등과같은프로그램을넓은스크린과기능향상에맞추어확장된기능을제공한다. ( 그림 2-9) ipad 출처 : (3) 스마트안경 (Smart Glass) 스마트안경은구글이선보인구글글래스가대표적이다. 구글글래스에는각종센서, 통신기능이있으며, 구글글래스를이용해사진이나영상을찍어바로스마트폰에전송하거나 SNS에공유할수도있고, 안경으로보는실제사물들에가상의데이터를융합시켜증강현실을구현하는것도가능하다. 38) 한국방송통신전파진흥원, 글로벌태블릿 PC 동향및전망,

( 그림 2-10) Google glass 출처 : www.news.thomasnet.com (4) 스마트시계 (Smart Watch) 스마트시계는페블테크놀러지의페블이대표적이다.

( 그림 2-11) 스마트워치페블 출처 : www.betterlivingthroughdesign.com 2. 커넥티드카 (Connected Car) 사물인터넷자동차분야의대표적인서비스로는커넥티드카가있다.

45 ( 그림 2-10) Google glass 출처 : (4) 스마트시계 (Smart Watch) 스마트시계는페블테크놀러지의페블이대표적이다. 페블은블루투스를이용하여스마트폰에연결되며, 아이폰과안드로이드폰을지원한다. 알림기능을이용하여전화, 이메일, 문자메시지, 캘린더일정, 날씨, SNS 메시지등을확인할수있으며, 이외에도피트니스기능도가능하다. ( 그림 2-11) 스마트워치페블 출처 : 2. 커넥티드카 (Connected Car) 사물인터넷자동차분야의대표적인서비스로는커넥티드카가있다. 커넥티드카는무선통신을통해차량과내 / 외부네트워크가상호연결되어 운전자의편의성을높일수있는서비스를제공하는것을말한다. 39) 그리고 39) 한국방송통신전파진흥원, 커넥티드카 (Connected Car) 의주요사업자동향과서비스보급의선결

개인화, 양방향, 실시간서비스를제공하며클라우드등의외부인프라와도연동이가능해차량을일종의디바이스화하고있다. 커넥티드카는기계중심으로발전해온자동차기술에차세대전기전자, 정보통신, 지능제어등의기술을접목, 자동차주변과차량내장치들의정보를실시간으로수집하여안전성을증가시키고, 다양한편의기능을추가한환경친화적인차량으로진화하고있다.

46 개인화, 양방향, 실시간서비스를제공하며클라우드등의외부인프라와도연동이가능해차량을일종의디바이스화하고있다. 커넥티드카는기계중심으로발전해온자동차기술에차세대전기전자, 정보통신, 지능제어등의기술을접목, 자동차주변과차량내장치들의정보를실시간으로수집하여안전성을증가시키고, 다양한편의기능을추가한환경친화적인차량으로진화하고있다. 현재자동차업계와 ICT 업계는독자적또는상호간협력에기반하여커넥티드카서비스를활발히출시하고있다. 특히차량내장형또는특정단말기의텔레매틱스위주에서차량내 / 외부네트워크연결을통한보다발전된인포테인먼트형서비스를제공하고있다. 40) 커넥티드카의서비스로는해외기업인제너럴모터스의온스타 (OnStar) 와국내기업인현대자동차의블루링크 (BlueLink) 등이있다. 이외에도미국오토매틱의차량정보관리를해주는서비스인오토매틱 (Automatic) 이있다. 온스타서비스는차량내라디오주파를활용하여제너럴모터스의중앙콜센터와통신하는시스템이다. 이서비스는애플리케이션을통해위치알림, 무선도어잠금알림등과같은차량조작이가능하다. ( 그림 2-12) GM 의 온스타 서비스 출처 : 과제, ) KDB 산업은행, 사물인터넷의주요적용사례분석과시사점,

net 오토매틱은자동차를스마트폰과연결하여차량에대한정보를관리, 확인할수있게해주는제품이며,

47 블루링크는네비게이션과 IT기술을연계해서운전자가차량과의거리와상관없이스마트폰으로원격시동, 공조제어등을조절하는서비스이며, 스마트폰을통해원격제어, 안전보안, 차량관리, 드라이빙, 컨시어지 ( 가이드또는안내 ) 서비스등이이용가능하다. ( 그림 2-13) 현대자동차 ' 블루링크 ' 서비스 출처 : 오토매틱은자동차를스마트폰과연결하여차량에대한정보를관리, 확인할수있게해주는제품이며, 차량내부에작은디바이스를부착함으로써차량내각종정보를디지털화시킨후정보를사용자의스마트폰으로전송시켜사용자가스마트폰에플리케이션을통해본인의차량위치, 연비, 주행경로등다양한정보를입체적으로관리할수있다. ( 그림 2-14) 오토매틱서비스 출처 :

3. 스마트홈가전 (Smart Home Appliances) 사물인터넷의가전제품분야의대표적인서비스는스마트홈가전이있다. 스마트홈가전은가전에네트워크기능을연결하고서비스제어기능을탑재해다양한스마트홈서비스제공을가능하게하는제품을뜻하며, 스마트홈을구현하는중요한요소로서자동적으로최적의성능을발휘할수있도록조정이가능한냉장고, 세탁기, 에어컨등을통칭한다.

48 3. 스마트홈가전 (Smart Home Appliances) 사물인터넷의가전제품분야의대표적인서비스는스마트홈가전이있다. 스마트홈가전은가전에네트워크기능을연결하고서비스제어기능을탑재해다양한스마트홈서비스제공을가능하게하는제품을뜻하며, 스마트홈을구현하는중요한요소로서자동적으로최적의성능을발휘할수있도록조정이가능한냉장고, 세탁기, 에어컨등을통칭한다. 41) 이처럼스마트홈가전에는다양한제품군이있으나, 본연구에서는가장대표적인스마트홈가전인스마트 TV, 스마트냉장고, 스마트청소기를중심으로활용현황을정리하고자한다. (1) 스마트 TV(Smart TV) 스마트 TV는기존의 TV와는달리 TV라는디바이스에서인터넷연결을통해검색, 블로그및 SNS 등다양한서비스에사용할수있다. 그리고스마트폰과연동하여스마트폰에저장된사진이나동영상을 TV 화면으로간편하게옮겨볼수있으며, TV 리모콘없이도간단하게사용자의음성과손동작만으로채널변경, 음량조절, 동영상시작및종료등이가능하다. ( 그림 2-15) 구글 TV 출처 : 41) 정보통신산업진흥원, 글로벌기업의스마트가전전략,

(2) 스마트냉장고 (Smart Refrigerator) 스마트냉장고는냉장고스스로냉장고에저장하는식품의유통기한관리가가능하며, 냉장고에있는스크린을통해각종요리레시피를제공한다. 그리고소비자가주로구입하는물품을애플리케이션을통해간편하게주문하고다양한상품정보를제공한다.

49 (2) 스마트냉장고 (Smart Refrigerator) 스마트냉장고는냉장고스스로냉장고에저장하는식품의유통기한관리가가능하며, 냉장고에있는스크린을통해각종요리레시피를제공한다. 그리고소비자가주로구입하는물품을애플리케이션을통해간편하게주문하고다양한상품정보를제공한다. 이외에도실시간날씨, 뉴스등을확인할수있으며, 사용자의스마트폰과연동하여실시간으로일정관리를할수있게해준다. ( 그림 2-16) 스마트냉장고 출처 : (3) 스마트청소기 (Smart Cleaner) 스마트청소기는음성명령을통한원격제어서비스가가능하며스마트청소기에내장되어있는천장영상인식기술로집구조를파악하여청소를할수있다. 이외에도사용자의스마트폰과연결되어다양한기능을스마트폰으로원격으로이용할수있다

( 그림 2-17) 삼성스마트청소기 출처 : www.samsung.com 4. 스마트헬스케어 (Smart Health Care) 사물인터넷스마트헬스케어분야에서의대표적인서비스는웨어러블헬스케어디바이스를꼽을수있다.

50 ( 그림 2-17) 삼성스마트청소기 출처 : 4. 스마트헬스케어 (Smart Health Care) 사물인터넷스마트헬스케어분야에서의대표적인서비스는웨어러블헬스케어디바이스를꼽을수있다. 현재헬스케어용웨어러블디바이스는헬스케어분야와의적용과확산이가장빠르게이루어지고있는영역으로의료서비스패러다임이변화함에따라피트니스 / 웰니스시장을중심으로성장하고있다. 향후건강관리서비스영역을넘어진단, 수술및치료부문에도웨어러블디바이스가확대적용될것으로예상되고있다. 42) 헬스케어웨어러블디바이스주요제품으로는핏빗 (Fitbit) 의핏빗 (Fitbit), 코벤티스의 NUVANT MCT, Proteus Biomedical의헬리우스가있다. (1) 핏빗 (Fitbit) 핏빗은일일활동및수면을모니터링하는손목밴드형디바이스로사용자의걸음수, 칼로리소모량, 이동거리, 활동적시간 ( 분 ), 실제수면시간및수면효율성, 깨어난횟수및뒤척인횟수정보등을블루투스 (Bluetooth) 를통해사용자의컴퓨터, 스마트기기에무선으로전송한다. 42) 한국보건산업진흥원, 헬스케어웨어러블디바이스의동향과전망,

51 ( 그림 2-18) 핏빗 출처 : (2) NUVVANT MCT NUVANT MCT는심박동모니터링기기로 1회용밴드같이환자의심장부분에붙이기만하면심장운동을감시하는디바이스로이디바이스가심전도검사 (ECG) 결과를기록해코벤티스 (Corventis) 43) 의중앙관제센터로결과를보낸다. 중앙관제센터에서는전문가가 ECG 데이터와환자가보고한증상을토대로임상보고서를작성하며, NUVANT MCT를통해심장병을가지고있는환자들은실시간으로자신의상태를전문가로부터모니터링받을수있다. ( 그림 2-19) NUVANT MCT 출처 : 43) 심장박동모니터링기계기반기술을만든미국내벤처기업

(3) 헬리어스 (Helius) 헬리어스는복용하는알약에부착하는스마트센서로약이위에도달하면위액에반응한후어깨에붙인패치형수신기에디지털신호를보내준다. 사용자는분석결과를스마트폰에서확인할수있다. 헬리어스를통해의사는환자가제시간에적당량의약을먹었는지원격에서모니터링후적절한처방이가능하다. 이외에도가족역시환자의상태를파악할수있다. ( 그림 2-20) 헬리어스 출처 : nerhrt.

52 (3) 헬리어스 (Helius) 헬리어스는복용하는알약에부착하는스마트센서로약이위에도달하면위액에반응한후어깨에붙인패치형수신기에디지털신호를보내준다. 사용자는분석결과를스마트폰에서확인할수있다. 헬리어스를통해의사는환자가제시간에적당량의약을먹었는지원격에서모니터링후적절한처방이가능하다. 이외에도가족역시환자의상태를파악할수있다. ( 그림 2-20) 헬리어스 출처 : nerhrt.wordpress.com 5. 스마트시티 / 빌딩 / 그리드 (Smart City/Building/Grid) (1) 스마트시티 (Smart City) 스마트시티는특정서비스나플랫폼이아닌, 도시거주민대상또는도시행정의효율성을높일수있는다양한서비스와기술을망라한것이라할수있다. 44) 스마트시티는 인적자원과사회인프라, 교통수단, 그리고첨단정보통신기술등에투자함으로써지속적인경제발전과삶의질향상을이룰수있는도시 라고정의할수있다. 45) 스마트시티에포함되는서비스및인프라에는지능형교통관리시스템, 스마트그리드, 상수도관리시스템, 빌딩관리시스템등이포함된다. 스마트시티는다양한인프라와서비스, 그리고센서등여러단말이조화를 44) 한국방송통신전파진흥원, 전세계주요국의스마트시티추진사례분석, ) Caragliu, A., Del Bo., C., & Nijkamp, P., Smart cities in Europe,

53 이루어야하는대규모사업으로특정민간업체가모든영역을지원하는것은불가능하다. 그러나각영역에서의전문성을기반으로스마트시티시장에서두각을나타내는기업이증가하고있다. 보통스마트시티를구현하기위해서는컨소시엄을구성해프로젝트를수행하는것이일반적이다. 현재영국정부는지난 2007년영국의미래건설과기술중심의혁신을위해기술전략위원회 (Technology Strategy Board) 를설립했으며, 기술전략위원회는영국의미래도시프로그램으로 스마트시티 프로젝트를추진했다. 기술위원회는 2013년 1월 25일글래스고를첫스마트시티구축지원대상지로선정했으며, 주요분야별로 50,000파운드씩총 2,400만파운드 ( 약 430억원 ) 를지원한다. 글래스고의스마트시티전략은고성능 CCTV를설치해도시의교통, 범죄, 상거래, 에너지, 환경등의문제를해결하는데우선적으로투자를집중할계획이다. 46) ( 그림 2-21) 글래스고의스마트시티구축시주력할사업예시 출처 : 정보통신산업진흥원 (2013) 국내의스마트시티는이미 2000년대중반에스마트시티에대한개념을확립하고전국규모의스마트시티구축을추진하고있다. 대표적인예로는성남판교신도시 u-city 서비스로판교를중심으로성남시의지역발전과친환경적인도시환경을조성하며, 성남시내구도심과의연계를고려했으며, 2011년 9월한국토지주택공사에서시설물을인수받아공공서비스를시작하고 46) 정보통신산업진흥원, ICT 와첨단산업융합의미래도시 스마트시티,

54 있다. 성남판교신도시 u-city는교통서비스, 환경서비스, 안전서비스, 시설물관리, 미디어보드안내, 모바일서비스안내, 키오스크안내총 7가지서비스로구성되어있으며, 다기능 CCTV 305대, 차량검지기 교통신호제어기등교통시설물 252대, 조명시설통합제어기 307대, 버스정보단말기 128대, 무인민원발급기 5대, 대기 수질측정소 5곳등의시설물을설치했다. (2) 스마트빌딩 (Smart Building) 스마트빌딩이란건축, 통신, 사무자동화, 빌딩자동화등의 4가지시스템을유기적으로통합하여첨단서비스기능을제공함으로써경제성, 효율성, 쾌적성, 기능성, 신뢰성, 안전성을추구하는빌딩으로건물의냉 / 난방, 조명, 전력시스템의자동화와자동화재감지장치, 보안경비, 정보통신망의기능과사무능률및환경을개선하기위한사무자동화를홈네트워크로통합한고기능첨단건물이다. 47) 스마트빌딩의서비스사례는 KT MOS에서진행한목포그린병원프로젝트와양산에덴벨리리조트프로젝트이다. 목포그린병원은규모지하2층, 지상7층의병원으로기계실보일러및냉난방기, 펌프류, 코일등을자동제어및스케줄제어 HMI 및 PLC를구축하여 24시간원격관제를실시할수있도록했다. 구축효과로는건물신축공사시자동제어시스템이없었는데 KT MOS의통합관제서비스를구축후인력및비용절감, 시스템안정성확보, 고객 ( 환자 ) 만족도상상, 24시간관제서비스로인한설비안전성등을확보했다. 양산에덴벨리리조트프로젝트의경우에너지및시설관리, 상수도관리, 원격관제등이있었으며, 구축효과로는시설물예지보전을통한고장미연방지, 에너지및시설운영관리비절약, 24시간원격관제를통한인건비절감등의효과를봤다. 이외에도 LG CNS의스마트그린솔루션은빌딩부터도시까지스마트화할수있는통합솔루션으로현재 LG 계열사의몇몇빌딩에시범적용이끝난 47) 한국정보통신기술협회, 스마트빌딩구축관련표준화,

55 상태이다. 스마트그린솔루션은에너지절감및원격관리를보다효율적으로할수있는솔루션으로 LG CNS의자체시뮬레이션분석결과스마트그린솔루션을적용한빌딩은적절한제어를통해 18% 이상, 고효율설비및신재생에너지도입으로는 50% 이상에너지절감효과를얻었으며, 원격관리를통해건물시설관리인건비를 30% 이상절감할수있었다. 해외의스마트빌딩구축사례로는미국텍사스주휴스턴시의펜조일플레이스 (Pennzoil Place) 빌딩의사례가있다. 1975년에완공된이빌딩은빌딩내부에 10만개이상의센서를연결하여실시간으로에너지사용량을추적하고분석했다. 이를통해 2012년에는에너지사용량이 51% 감소했으며, 2013년에는 11% 감소했다. 이외에도화장실내물사용을 30% 줄였고, 보일러의에너지효율도 25% 개선했다. (3) 스마트그리드 (Smart Grid) 스마트그리드는기존전력망에 IT 기술을결합하여안정적이고고효율의전력망을구축하는차세대전력관리시스템이다. 스마트그리드는기존에너지인수력및화력등과신재생에너지인풍력, 태양열등을주발전원으로하여전력의공급및관리를가능하게지원해주는시스템이다. 48) 스마트그리드의대표적인서비스로는스마트미터 (Smart Meter) 가있으며, 스마트미터는일반적으로 에너지사용량을실시간으로계측하고통신망을통한계량정보제공으로가격정보에대응하여수용가에너지사용을적정하게제어할수있는기능을갖춘디지털전자식계량기 로정의되고있다. 스마트미터는시간대별전력사용량을측정하여그정보를송신할수있는전자식전력량계를말하며, 공급자와소비자를정보통신으로연결하여전력의소비와공급의효율적관리를지원해주는지능형전력시스템이다. 49) 48) ( 재 ) 한국스마트그리드사업단, 대한무역투자진흥공사, 주요국 Smart Grid 정책 / 시장조사, ) 한국그린비즈니스협회, 스마트미터시장의주요동향및전망,

56 ( 그림 2-22) 스마트미터 출처 :

제 3 장사물인터넷관련국내 / 외법제현황 사물인터넷은정보통신분야는물론, 환경, 교통, 의학, 안전등다양한법률과관련이있다. 그러나사물인터넷과관련한모든법률을조사하기에는물리적인한계가있으므로제3장에서는사물인터넷과관련한국내정보통신법령을살펴보고자한다. 이후본보고서와관련이있는국내 외의사물인터넷과관련한개인정보보호관련법제현황을살펴보고자한다.

57 제 3 장사물인터넷관련국내 / 외법제현황 사물인터넷은정보통신분야는물론, 환경, 교통, 의학, 안전등다양한법률과관련이있다. 그러나사물인터넷과관련한모든법률을조사하기에는물리적인한계가있으므로제3장에서는사물인터넷과관련한국내정보통신법령을살펴보고자한다. 이후본보고서와관련이있는국내 외의사물인터넷과관련한개인정보보호관련법제현황을살펴보고자한다. 제 1 절사물인터넷관련국내법률현황 1. 사물인터넷관련국내법률현황 사물인터넷은특성상정보통신, 환경, 건축, 교통, 의학, 안전등다양한분야와관련이있다. 사물인터넷이특정분야, 특정서비스에한정된문제가아닌우리생활전반에걸쳐활용되는측면이강하기때문에다양한분야의많은법령이사물인터넷과관련이있다. 사물인터넷과관련한주요한법령은 ( 그림 3-1) 에나와있는바와같다. ( 그림 3-1) 사물인터넷관련주요법률현황

58 사물인터넷과관련한법률로는 정보통신진흥및융합활성화등에관한특별법, 위치정보의보호및이용등에관한법률, 이하위치정보보호법, 개인정보보호법, 국가정보화기본법, 정보통신망이용촉진및정보보호등에관한법률, 이하정보통신망법, 의료법, 유시티건설법, 공간정보산업법 등이있다. 이들법률을모두살펴보는것은물리적인한계가있다. 따라서사물인터넷과관련한정보통신분야의주요법률에대해서만살펴보도록하겠다. 2. 정보통신분야의사물인터넷관련법률 사물인터넷기술을기반으로한다양한서비스가활발히이용될수있도록하기위해서는누구나자유롭게사물과관련한정보를수집 유통 활용할수있어야한다. ICT 분야에서이와관련한법률로는전기통신사업법과같은사업자규제법률과정보통신진흥및융합활성화등에관한특별법과같은진흥법률이있다. (1) 전기통신사업법 전기통신사업법은전기통신사업의적절한운영과전기통신의효율적관리를통하여전기통신사업의건전한발전과이용자의편의를도모함으로써공공복리의증진에이바지함을목적으로만들어진법률이다. 전기통신사업법에따르면기간통신사업, 별정통신사업및부가통신사업을경영하려면미래부장관의허가를받거나등록또는신고하여야한다 ( 같은법제6조제1항, 제21조제1항, 제15조제1항 ). 각전기통신사업의유형은 [ 표3-1] 과같이분류된다. 사물인터넷은데이터나영상등을송신또는수신하게하거나송신또는수신이가능하도록전기통신회선설비를이용하여서비스를제공하므로허가, 등록또는신고를필요로한다. 따라서기존의통신사업자외의새로운사업자가사물인터넷을위한통신사업을경영하고자하는경우현재로서는

59 기존의심사기준에따른심사를거쳐통신사업허가를받아야할것이다. [ 표 3-1] 전기통신역무의개념및유형 > 기간통신역무별정통신역무부가통신역무 1 음성 데이터 영상등을그내용이나형태의변경없이송신또는수신하게하는전기통신역무 2 음성 데이터 영상등의송신또는수신이가능하도록전기통신회선설비를임대하는전기통신역무 기간통신사업자의전기통신회선설비등을이용하여제공하는전기통신역무 기간통신역무외의전기통신역무 다만사물인터넷은사물과사물간의통신을매개할수있으므로사물인터넷전체가전기통신사업법에따른규율대상으로보기는어렵다. 왜냐하면전기통신사업법제2조 7호에따르면전기통신역무에대해전기통신설비를이용하여 타인의통신을매개 하거나, 전기통신설비를 타인의통신용으로제공 하는것이라고정의하고있다. 따라서사물간의통신에대해서는전기통신역무로보고있지않기때문이다. (2) 정보통신진흥및융합활성화등에관한특별법 정보통신진흥및융합활성화등에관한특별법 은정보통신을진흥하고정보통신을기반으로한융합의활성화를위한내용을규정함으로써정보통신의국제경쟁력을제고하고국민경제의지속적인발전을도모하여국민의삶의질향상에이바지함을목적으로하고있다. 이법률은정보통신산업의활성화를다루고있으므로포괄적인측면에서사물인터넷의활성화관련법률이라고볼수있다. 그러나특별히사물인터넷진흥및사물정보의생산 유통및공동활용을위한별도의근거규정을두고있지않다는측면에서는 정보통신진흥및융합활성화등에관한특별법 이사물인터넷서비스의진흥을위해서는미흡한측면이많다고볼수있다

60 제 2 절국내개인정보보호관련법제현황 1. 개인정보보호법 사물인터넷에서수집 활용되는개인정보는개인정보보호법에서정의하고 있는개인정보에해당되므로개인정보보호법상개인정보의보호에관한제반 규정이적용된다. (1) 개인정보의개념 사물정보는그자체로는개인을식별하는정보가될수는없으나, 개인과연계될경우에는개인정보가될수있다. 즉사물정보중에서사물의식별과인증에사용되는정보 ( 예컨대, IP주소나 MAC주소 ) 는개인정보로서보호가치가있다 50). 또한스마트폰의증권관련앱의로그인절차를간편하게하기위해이용자의동의없이 USIM 번호, 개인이동전화번호, 국제단말기인증번호 (IMEI) 를수집한사안에서 IMEI와 USIM 일련번호는기계적인정보이기는하지만이동통신사가보유하고있는다른인적정보와결합하면특정개인이식별된다는이유로개인정보로보고있다 51). 정보통신망법에서도개인정보의개념을개인정보보호법과동일하게규정하고있다. 제2조 ( 정의 ) 이법에서사용하는용어의뜻은다음과같다. 1. " 개인정보 " 란살아있는개인에관한정보로서성명, 주민등록번호및영상등을통하여개인을알아볼수있는정보 ( 해당정보만으로는특정개인을알아볼수없더라도다른정보와쉽게결합하여알아볼수있는것을포함한다 ) 를말한다. 50) 방송통신위원회, 사물통신 (Machine-toMachine) 에서의정보보호를위한효율적인증시스템연구 ) 서울중앙지법 선고 2010 고단 5343 판결

61 정보통신망법 제2조 ( 정의 ) 1 이법에서사용하는용어의뜻은다음과같다. 6. " 개인정보 " 란생존하는개인에관한정보로서성명 / 주민등록번호등에의하여특정한개인을알아볼수있는부호 / 문자 / 음성 / 음향및영상등의정보 ( 해당정보만으로는특정개인을알아볼수없어도다른정보와쉽게결합하여알아볼수있는경우에는그정보를포함한다 ) 를말한다. (2) 정보주체에대한고지 사물인터넷을통해정보주체로부터직접개인정보를수집하는경우가일반적이나사물인터넷을통해수집한개인정보를제3자로부터제공받아활용하는것도가능하다. 이경우해당정보주체에게수집등개인정보처리전에고지하는것이불가능한경우가많으므로개인정보자기결정권보장을위해서정보주체의요구가있는때에는수집출처나처리목적등을고지하도록하는것이필요하다. 제20조 ( 정보주체이외로부터수집한개인정보의수집출처등고지 ) 1 개인정보처리자가정보주체이외로부터수집한개인정보를처리하는때에는정보주체의요구가있으면즉시다음각호의모든사항을정보주체에게알려야한다. 1. 개인정보의수집출처 2. 개인정보의처리목적 3. 제37조에따른개인정보처리의정지를요구할권리가있다는사실 2 제1항은다음각호의어느하나에해당하는경우에는적용하지아니한다. 다만, 이법에따른정보주체의권리보다명백히우선하는경우에한한다. 1. 고지를요구하는대상이되는개인정보가제32조제2항각호의어느하나에해당하는개인정보파일에포함되어있는경우 2. 고지로인하여다른사람의생명 신체를해할우려가있거나다른사람의재산과그밖의이익을부당하게침해할우려가있는경우 (3) 개인정보수집 / 이용및제공등에대한정보주체의동의 사물인터넷을통해정보를수집 활용할경우만약해당정보가개인정보에

62 해당된다면개인정보보호법에따라정보주체로부터수집 이용 제공등에대한 동의를받는등법적의무가부과될수있다. 제15조 ( 개인정보의수집ㆍ이용 ) 1 개인정보처리자는다음각호의어느하나에해당하는경우에는개인정보를수집할수있으며그수집목적의범위에서이용할수있다. 1. 정보주체의동의를받은경우 2. 법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우 3. 공공기관이법령등에서정하는소관업무의수행을위하여불가피한경우 4. 정보주체와의계약의체결및이행을위하여불가피하게필요한경우 5. 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 6. 개인정보처리자의정당한이익을달성하기위하여필요한경우로서명백하게정보주체의권리보다우선하는경우. 이경우개인정보처리자의정당한이익과상당한관련이있고합리적인범위를초과하지아니하는경우에한한다. 2 개인정보처리자는제1항제1호에따른동의를받을때에는다음각호의사항을정보주체에게알려야한다. 다음각호의어느하나의사항을변경하는경우에도이를알리고동의를받아야한다. 1. 개인정보의수집 / 이용목적 2. 수집하려는개인정보의항목 3. 개인정보의보유및이용기간 4. 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용 제17조 ( 개인정보의제공 ) 1 개인정보처리자는다음각호의어느하나에해당되는경우에는정보주체의개인정보를제3자에게제공 ( 공유를포함한다. 이하같다 ) 할수있다. 1. 정보주체의동의를받은경우 2. 제15조제1항제2호 / 제3호및제5호에따라개인정보를수집한목적범위에서개인정보를제공하는경우 2 개인정보처리자는제1항제1호에따른동의를받을때에는다음각호의사항을정보주체에게알려야한다. 다음각호의어느하나의사항을변경하는경우에도이를알리고동의를받아야한다. 1. 개인정보를제공받는자 2. 개인정보를제공받는자의개인정보이용목적 3. 제공하는개인정보의항목 4. 개인정보를제공받는자의개인정보보유및이용기간 5. 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는

63 그불이익의내용 3 개인정보처리자가개인정보를국외의제3자에게제공할때에는제2항각호에따른사항을정보주체에게알리고동의를받아야하며, 이법을위반하는내용으로개인정보의국외이전에관한계약을체결하여서는아니된다. 제18조 ( 개인정보의목적외이용ㆍ제공제한 ) 1 개인정보처리자는개인정보를제15조제1항에따른범위를초과하여이용하거나제17조제1항및제3항에따른범위를초과하여제3자에게제공하여서는아니된다. 2 제1항에도불구하고개인정보처리자는다음각호의어느하나에해당하는경우에는정보주체또는제3자의이익을부당하게침해할우려가있을때를제외하고는개인정보를목적외의용도로이용하거나이를제3자에게제공할수있다. 다만, 제5호부터제9호까지의경우는공공기관의경우로한정한다. 1. 정보주체로부터별도의동의를받은경우 2. 다른법률에특별한규정이있는경우 3. 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 4. 통계작성및학술연구등의목적을위하여필요한경우로서특정개인을알아볼수없는형태로개인정보를제공하는경우 5. 개인정보를목적외의용도로이용하거나이를제3자에게제공하지아니하면다른법률에서정하는소관업무를수행할수없는경우로서보호위원회의심의 / 의결을거친경우 6. 조약, 그밖의국제협정의이행을위하여외국정부또는국제기구에제공하기위하여필요한경우 7. 범죄의수사와공소의제기및유지를위하여필요한경우 8. 법원의재판업무수행을위하여필요한경우 9. 형 ( 刑 ) 및감호, 보호처분의집행을위하여필요한경우 3 개인정보처리자는제2항제1호에따른동의를받을때에는다음각호의사항을정보주체에게알려야한다. 다음각호의어느하나의사항을변경하는경우에도이를알리고동의를받아야한다. 1. 개인정보를제공받는자 2. 개인정보의이용목적 ( 제공시에는제공받는자의이용목적을말한다 ) 3. 이용또는제공하는개인정보의항목 4. 개인정보의보유및이용기간 ( 제공시에는제공받는자의보유및이용기간을말한다 ) 5. 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용 4 공공기관은제2항제2호부터제6호까지, 제8호및제9호에따라개인정보를목적외의용도로이용하거나이를제3자에게제공하는경우에는그이용또는제공의법적근거, 목적및범위등에관하여필요한사항을안전행정부령으로정하는바에따

64 라관보또는인터넷홈페이지등에게재하여야한다. 5 개인정보처리자는제2항각호의어느하나의경우에해당하여개인정보를목적외의용도로제3자에게제공하는경우에는개인정보를제공받는자에게이용목적, 이용방법, 그밖에필요한사항에대하여제한을하거나, 개인정보의안전성확보를위하여필요한조치를마련하도록요청하여야한다. 이경우요청을받은자는개인정보의안전성확보를위하여필요한조치를하여야한다. (4) 민감정보처리시별도동의 사물인터넷중의료기기등을통해수집되는개인정보 ( 예컨대, 건강정보나진료정보등 ) 는민감정보에해당할가능성이높으며, 이경우개인정보보호법제23조에따라법령에서민감정보의처리를요구하거나허용하는경우가아닌한정보주체로부터그처리에관해다른정보와는별도로동의를받아야한다. 제23조 ( 민감정보의처리제한 ) 개인정보처리자는사상 / 신념, 노동조합 / 정당의가입 / 탈퇴, 정치적견해, 건강, 성생활등에관한정보, 그밖에정보주체의사생활을현저히침해할우려가있는개인정보로서대통령령으로정하는정보 ( 이하 " 민감정보 " 라한다 ) 를처리하여서는아니된다. 다만, 다음각호의어느하나에해당하는경우에는그러하지아니하다. 1. 정보주체에게제15조제2항각호또는제17조제2항각호의사항을알리고다른개인정보의처리에대한동의와별도로동의를받은경우 2. 법령에서민감정보의처리를요구하거나허용하는경우 (5) 개인정보의파기 사물인터넷과관련하여생성된개인정보의파기및파기주체에대해서도개인정보보호법이적용될수있다. 보유기간이경과하거나수집 이용목적이달성된때에는재생할수없는방법을통해지체없이해당개인정보를파기하여야한다. 다만, 이경우파기의무가있는개인정보처리자를누구로볼것인지 ( 사물의소유자또는보유자인지, 생성정보를 ( 중앙 ) 서버에서관리하는

65 자인지, 해당제품을생산한자인지, 부착되는센서또는칩을생산한자인지 등 ) 에대해서는의문의여지가있다. 제21조 ( 개인정보의파기 ) 1 개인정보처리자는보유기간의경과, 개인정보의처리목적달성등그개인정보가불필요하게되었을때에는지체없이그개인정보를파기하여야한다. 다만, 다른법령에따라보존하여야하는경우에는그러하지아니하다. 2 개인정보처리자가제1항에따라개인정보를파기할때에는복구또는재생되지아니하도록조치하여야한다. 3 개인정보처리자가제1항단서에따라개인정보를파기하지아니하고보존하여야하는경우에는해당개인정보또는개인정보파일을다른개인정보와분리하여서저장 / 관리하여야한다. 4 개인정보의파기방법및절차등에필요한사항은대통령령으로정한다. (6) 영상정보처리기기를통한개인정보처리 사물인터넷과관련된영상정보처리기기를통해개인정보를수집 활용하는경우에도개인정보보호법이적용될여지가있다. 예를들어카메라를이용하여교통량파악대상도로를촬영하고이를서버로보내면차종과번호판이식별가능한상태에서자동차등록부상의정보와결합하게되면해당운전자를식별할수있으므로해당정보는개인정보보호법상개인정보로볼수있다. 이경우원칙적으로차량운전자의동의를받아야하나, 개인정보보호법에서는 CCTV 등영상정보처리기기의설치 운영과관련하여개별규정을두고있다. 제25조 ( 영상정보처리기기의설치ㆍ운영제한 ) 1 누구든지다음각호의경우를제외하고는공개된장소에영상정보처리기기를설치 / 운영하여서는아니된다. 1. 법령에서구체적으로허용하고있는경우 2. 범죄의예방및수사를위하여필요한경우 3. 시설안전및화재예방을위하여필요한경우 4. 교통단속을위하여필요한경우 5. 교통정보의수집 / 분석및제공을위하여필요한경우 2 누구든지불특정다수가이용하는목욕실, 화장실, 발한실 ( 發汗室 ), 탈의실등개인

66 의사생활을현저히침해할우려가있는장소의내부를볼수있도록영상정보처리기기를설치 / 운영하여서는아니된다. 다만, 교도소, 정신보건시설등법령에근거하여사람을구금하거나보호하는시설로서대통령령으로정하는시설에대하여는그러하지아니하다. 3 제1항각호에따라영상정보처리기기를설치 / 운영하려는공공기관의장과제2항단서에따라영상정보처리기기를설치 / 운영하려는자는공청회 / 설명회의개최등대통령령으로정하는절차를거쳐관계전문가및이해관계인의의견을수렴하여야한다. 4 제1항각호에따라영상정보처리기기를설치 / 운영하는자 ( 이하 " 영상정보처리기기운영자 " 라한다 ) 는정보주체가쉽게인식할수있도록대통령령으로정하는바에따라안내판설치등필요한조치를하여야한다. 다만, 대통령령으로정하는시설에대하여는그러하지아니하다. 5 영상정보처리기기운영자는영상정보처리기기의설치목적과다른목적으로영상정보처리기기를임의로조작하거나다른곳을비춰서는아니되며, 녹음기능은사용할수없다. 6 영상정보처리기기운영자는개인정보가분실 / 도난 / 유출 / 변조또는훼손되지아니하도록제29조에따라안전성확보에필요한조치를하여야한다. 7 영상정보처리기기운영자는대통령령으로정하는바에따라영상정보처리기기운영 / 관리방침을마련하여야한다. 이경우제30조에따른개인정보처리방침을정하지아니할수있다. 8 영상정보처리기기운영자는영상정보처리기기의설치 / 운영에관한사무를위탁할수있다. 다만, 공공기관이영상정보처리기기설치 / 운영에관한사무를위탁하는경우에는대통령령으로정하는절차및요건에따라야한다. 2. 위치정보법 (1) 개인위치정보의개념 사물정보가특정시간이나위치와결합할때, 즉이동성을가질때에는위치정보에해당되어위치정보법의적용을받는다. 특히해당정보가개인위치정보에해당하는경우에는위치정보법상개인위치정보의보호에관한제반규정이적용된다

67 제2조 ( 정의 ) 이법에서사용하는용어의정의는다음과같다. 1. " 위치정보 " 라함은이동성이있는물건또는개인이특정한시간에존재하거나존재하였던장소에관한정보로서 전기통신사업법 제2조제2호및제3호에따른전기통신설비및전기통신회선설비를이용하여수집된것을말한다. 2. " 개인위치정보 " 라함은특정개인의위치정보 ( 위치정보만으로는특정개인의위치를알수없는경우에도다른정보와용이하게결합하여특정개인의위치를알수있는것을포함한다 ) 를말한다. (2) 개인위치정보의수집 / 이용 / 제공시정보주체의동의 사물인터넷은각종사물에달린센서에따라부지불식간에데이터가수집되고, 그데이터가다른정보와결합하여식별성이있는개인위치정보가될수있다. 이경우개인위치정보의수집 이용및제공등에대해서는정보주체의동의를얻어야한다. 또한위치기반서비스 (LBS) 사업자는개인위치정보를개인위치정보주체가지정하는제3자에게제공하는경우에는매회개인위치정보주체에게제공받는자, 제공일시및제공목적을즉시통보해야하는데, 사물인터넷사업자가위치기반서비스사업자의지위를갖게될경우동일한규정이적용될수있다. 제15조 ( 위치정보의수집등의금지 ) 1 누구든지개인또는소유자의동의를얻지아니하고당해개인또는이동성이있는물건의위치정보를수집 / 이용또는제공하여서는아니된다. 다만, 다음각호의어느하나에해당하는경우에는그러하지아니하다. 1. 제29조제1항에따른긴급구조기관의긴급구조요청또는같은조제7항에따른경보발송요청이있는경우 2. 제29조제2항에따른경찰관서의요청이있는경우 3. 다른법률에특별한규정이있는경우 제 18 조 ( 개인위치정보의수집 ) 1 위치정보사업자가개인위치정보를수집하고자하는경 우에는미리다음각호의내용을이용약관에명시한후개인위치정보주체의동의를얻 어야한다

68 1. 위치정보사업자의상호, 주소, 전화번호그밖의연락처 2. 개인위치정보주체및법정대리인 ( 제25조제1항의규정에의하여법정대리인의동의를얻어야하는경우에한한다 ) 의권리와그행사방법 3. 위치정보사업자가위치기반서비스사업자에게제공하고자하는서비스의내용 4. 위치정보수집사실확인자료의보유근거및보유기간 5. 그밖에개인위치정보의보호를위하여필요한사항으로서대통령령이정하는사항 2개인위치정보주체는제1항의규정에의한동의를하는경우개인위치정보의수집의범위및이용약관의내용중일부에대하여동의를유보할수있다. 3위치정보사업자가개인위치정보를수집하는경우에는수집목적을달성하기위하여필요한최소한의정보를수집하여야한다. 제19조 ( 개인위치정보의이용또는제공 ) 1 위치기반서비스사업자가개인위치정보를이용하여서비스를제공하고자하는경우에는미리다음각호의내용을이용약관에명시한후개인위치정보주체의동의를얻어야한다. 1. 위치기반서비스사업자의상호, 주소, 전화번호그밖의연락처 2. 개인위치정보주체및법정대리인 ( 제25조제1항의규정에의하여법정대리인의동의를얻어야하는경우에한한다 ) 의권리와그행사방법 3. 위치기반서비스사업자가제공하고자하는위치기반서비스의내용 4. 위치정보이용 / 제공사실확인자료의보유근거및보유기간 5. 그밖에개인위치정보의보호를위하여필요한사항으로서대통령령이정하는사항 2위치기반서비스사업자가개인위치정보를개인위치정보주체가지정하는제3자에게제공하는서비스를하고자하는경우에는제1항각호의내용을이용약관에명시한후제공받는자및제공목적을개인위치정보주체에게고지하고동의를얻어야한다. 3제2항의규정에의하여위치기반서비스사업자가개인위치정보를개인위치정보주체가지정하는제3자에게제공하는경우에는매회개인위치정보주체에게제공받는자, 제공일시및제공목적을즉시통보하여야한다. 4개인위치정보주체는제1항및제2항의규정에의한동의를하는경우개인위치정보의이용 / 제공목적, 제공받는자의범위및위치기반서비스의일부에대하여동의를유보할수있다. (3) 개인위치정보의파기 위치정보사업자또는위치기반서비스 (LBS) 사업자가사물인터넷을통해수집 보관하고있는정보가개인위치정보를해당하는경우에는개인위치정보의수집, 이용또는제공목적을달성한때에는즉시해당정보를파기해야한다. 다만, 위치정보수집ㆍ이용ㆍ제공사실확인자료는기록 보존하여야한다

69 제 23 조 ( 개인위치정보의파기등 ) 위치정보사업자등은개인위치정보의수집, 이용또는제 공목적을달성한때에는제 16 조제 2 항의규정에의하여기록 / 보존하여야하는위치정보 수집 / 이용 / 제공사실확인자료외의개인위치정보는즉시파기하여야한다. 제 16 조 ( 위치정보의보호조치등 ) 2 위치정보사업자등은위치정보수집 / 이용 / 제공사실확 인자료를위치정보시스템에자동으로기록되고보존되도록하여야한다. 제 3 절국외개인정보보호관련법제현황 1. OECD (1) 개요 OECD는국제적인정보화가진행되는중에개인정보와프라이버시보호에대한사회적요청을반영하고, 각국의법제도에차이가있으므로생길수있는문제점에대응하기위해 1980년에채택된개인정보보호에관한가이드라인 (Recommendation Concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data) 에대한개정을추진하였다. 이에앞서 OECD 정보보안및프라이버시작업반회의 (Working Party on Information Security and Privacy) 는프라이버시가이드라인개정에대한검토합의안 (Terms of Reference) 을 2011년에도출하였는데, 본합의안은 30년전의것과비교하였을때개인데이터의역할과관련하여우리의경제, 사회, 일상생활에서엄청난변화가있었음을강조하였다. 예컨대현시점에서과거전통적인프라이버시원칙이적용되고있는지금의환경에서, 다음과같은내용에대해적지않은변화가있었다

70 1 수집 이용 저장되는개인데이터의범위 (volume) 2 개인과그룹의경향, 움직임, 흥미나활동을통해통찰력을불러오는개인데이터와 관련된분석의범위 (range of analytics) 3 새로운기술이나개인데이터의책임있는사용으로수반되는사회 경제적이익에 대한가치 (value) 4 프라이버시위협 (threats) 에대한정도 5 프라이버시를위험하게할수있거나프라이버시를보호할수있는요소의수와다 양성 (number and variety of actors) 6 개인이이해하거나협상 (negotiate) 해야하는개인데이터관련상호작용의빈도와 복잡성 (frequency and complexity of interactions) 7 지속적이고동시다발적인데이터유통 (multipoint data flows) 에기반한통신네트워크 와플랫폼이지원하는개인데이터의글로벌가용성 (global availability) 현재 OECD 차원에서사물인터넷을직접적으로언급한가이드라인은없으나, 국제법상의일반원칙으로서 2013 년개정된개인정보보호가이드라인의일부 내용을적용하는것은가능할것으로생각된다. (2) 개인정보의개념 OECD 가이드라인에서는개인정보의개념을 식별된또는식별가능한개인 ( 정보주체 ) 에관한정보일체 로정의하여국내개인정보보호법상의개인정보개념과유사한규정을두고있으나, 그범위에서는다소차이를보이고있다

71 (3) 개인정보보호 8 원칙 OECD 가이드라인에서는정보주체의개인정보보호를위한 8가지기본원칙을천명하고있는데, 이원칙은 EU, 미국등 OECD 회원국은물론세계각국의개인정보보호관련법령과지침개발을위한기초자료로활용되어왔다. 따라서동 8원칙의내용은사물인터넷에서의개인정보보호와관련해적용이가능하다. 1 수집제한의원칙 : 개인정보는적법하고공정한수단에의해그리고정보주체에통 지또는동의를얻어서수집해야함 2 데이터내용의원칙 : 수집하는데이터는이용목적에부합하는것으로정확하고완전 하며최신의데이터이어야함 3 목적명확성의원칙 : 수집목적을명확히하고, 데이터이용은수집목적에합치해야함 4 이용목적의제한 : 데이터주체의동의가있는경우와법률의규정에의한경우를제 외하고수집한데이터를목적이외에이용해서는안됨 5 안전보호의원칙 : 합리적안전보호조치에의해분실, 파괴, 사용, 수정, 공개등으로 부터보호해야함 6 공개의원칙 : 데이터수집의실시방침등을공개하고, 데이터의존재, 이용목적, 관리 자등을명시해야함 7 개인참가의원칙 : 데이터주체에대해서자기에관한데이터의소재, 내용을확인시 키고이의신청을보증해야함 8 책임의원칙 : 데이터의관리자는위의원칙을실시할책임을부담함 2. EU (1) 개요 EU 에서는각국에서데이터를보호하기위한기관을마련하고데이터의 내용과취급등을감독하고있다. 이들기관과 데이터보호규칙제안 (proposal

72 for regulation of the european parliament and of the council on the protection of individuals with regard to the processing of personal data and on the free movement of such data) 등에 따라 적절한 감독과 자유로운 유통을 조화시키고있다. 데이터보호 규칙제안은 1995년 제정된 데이터보호지령 (Data Protection Directive 1995) 의 포괄적인 개정안으로서 데이터이동성 (Data Portability) 과 잊혀질권리를인정하고있으며, 각국데이터보호기관의권한강화를도모하고 있다. 데이터보호규칙제안은개인데이터보호를위해 EU 내의사업자에게는 의무를 추가하고, EU 외의 국가에 대해서도 데이터 이전 시에 충분한 수준으로 개인데이터를 보호할 것을 요청하고 있으며, EU가맹국에 직접 적용되는규칙 (regulation) 으로격상되어 2014년채택을목표로협의가진행되고 있다. EU의 데이터보호 규칙제안은 EU 역내 외를 묻지 않고, EU에 거주하는 개인정보를 취급하는 기업이 모두 적용대상이 되며, 정보서비스를 제공하는 정보시스템관계기업뿐만아니라, EU에거주하는개인에게상품과서비스를 제공하는모든기업에게적용된다. (2) 개인정보의개념 1995년 EU Directive에서는개인정보를다음과같이정의하고있다 ; 개인정보 란신원이확인되거나확인될수있는자연인에관한정보를말한다. 신원이확인될수있는자연인이란직 간접적으로특히신원증명번호또는신체적, 생리적, 정신적, 경제적, 문화적, 사회적동일성에관한요소를참조하여신원을확인할수있는자이다. 2012년 EU Regulation에서는개인정보보호강화를내용으로하는개인정보보호규칙개정안을발의하여디지털환경에맞게새롭게내용을수정하여개인정보처리와관련하여정보주체를보호하고개인정보의자유로운이동을보장하도록하였다

73 3. 미국 (1) 개요 미국은통일된개인정보보호법제가존재하지아니하고분야별개인정보보호법제를가지고있는데, 사물인터넷과관련한개인정보보호를직접다루는법제는물론이고독자적인위치정보를다루는법제도존재하지아니한다. RFID가본격적으로이슈가됐던 2007년경에미국전역에서 RFID 활용으로인한개인정보의수집을공개하는입법을몇개주가시도하였으나연방차원에서는입법이존재하지않는다. 52) 미국에서는 소비자프라이버시권리장전 (Consumer Privacy Bill of Rights) 을통해미연방거래위원회가강제력을갖고소비자프라이버시를보호할수있는법률을제정하려는움직임이있다. 소비자프라이버시권리장전은개인정보및프라이버시보호를위해 2012년 2월발표된 네트워크화된세계에서의소비자정보 프라이버시 (Consumer Data Privacy in a Network World) 의제2장에규정되어있으며, OECD의 8대원칙을현대적으로조정한 7개의원칙으로구성되었다. 1 개인의통제 : 소비자는기업이자신들로부터어떠한개인데이터를수집하고어떻게 그것을이용하는가에대해서통제할권리를보유함 2 투명성 : 소비자는프라이버시및보안등에관해서쉽게이해할수있고, 접근할수 있는정보제공을받을권리를보유함 3 환경의존중 : 소비자는자신이개인데이터를제공한환경내지상황에부합하는방 법으로기업이해당데이터를수집, 이용, 제공할것을기대할권리를보유함 4 보안 : 소비자는개인데이터의안전하고책임있는취급을받을수있는권리를보유함 5 접근성과정확성 : 소비자는사용가능한형태로또한데이터의민감성및부정확성 으로인해소비자가부담하게될리스크에적합한방법으로개인데이터에접근하고 수정할권리를보유함 52) 황창근, 사물인터넷과개인정보보호 법제연구제 46 호 (2014 년 ), 90 면참조

74 6 최소한의수집 : 소비자는기업이수집및유지하는개인데이터에합리적인제한을 할권리를보유함 7 책임 : 소비자는개인데이터에대해기업이소비자프라이버시권리장전의준수를보 증하기위한적절한조치에따른취급을받을권리를갖는다. (2) 프라이버시법 (Privacy Act) 상개인정보개념 미국 프라이버시법에서는 개인정보의 개념 정의와 관련하여 다음과 같이 규정하고 있다 ; 기록 이란 개인의 성명, 식별번호, 상징 ( 기호 ) 그밖에 개인에게 특별하게 부여된 식별정보 ( 지문 성문 사진 ) 가 포함된 개인의 교육, 금전거래, 의료기록, 범죄전과, 취업경력 등 개인에 관한 정보의 항목을 의미한다

75 [ 표 3-2] 개인정보에관한국제동향 EU 데이터보호규칙 제안 미국소비자 데이터프라이버시 권리장전 개정 OECD 프라이버시가이드라인 공표시기 2012 년 1 월 2012 년 2 월 2013 년 목적 자연인의기본적권리및자유, 특히개인데이터보호에대한권리보장 네트워크화된기술에서의소비자데이터프라이버시를보호 프라이버시및개인자유의보호 EU 시민인개인데이 적용범위 터의처리, EU역외에서도상품이나서비스제공또는모니터링은해당됨 소비자데이터프라이버시가주요대상 민관을묻지않고개인데이터에적용 본인의권리 본인동의, 잊혀질권리, 데이터이동성이추가 소비자프라이버시권리장전, 공정한정보습관에근거한 7원칙 8 개의기본원칙 데이터보호 by 사업자의의무 design 데이터보호위반통지의무 데이터모호영향평가 데이터보호담당자지정등 Do-Not-Tract을이용한프라이버시강화기술, 집행가능한행동규범의책정 프라이버시관리, 보안위반통지의도입, 프라이버시리스크평가에따른보호조치의강구등 데이터이전 충분성의요건구체화, 구속적기업준칙의명기 글로벌상호운용 ( 상호인증, 이해관계자등과의대화와행동규범의책정 ) 국경을넘는프라이버시법집행의협력촉진 감독및집행 독립성확보, 상호지원, 유럽데이터보호위원회의설치 연방거래위원회의권한강화 프라이버시집행기관의설치

76 제 4 장사물인터넷관련국내 / 외개인정보보호동향 제 1 절사물인터넷관련국내개인정보보호정책동향 1. 사물인터넷관련국내입법동향 (1) 개인정보보호법 관련입법동향 사물인터넷에서영상기기는녹화한영상자료를기기간전송할수있다. 차량에설치된영상기기는사고발생시해당사고현장을생생하게녹화하여사고전말에대한증거로채택되는경우가증가하고있다. 하지만영상자료가다양한곳으로전송가능하게되면서관련개인정보침해가능성역시높아지고있다. 개인정보를보호하기위해현행법은영상정보처리기기를 일정공간에지속적으로설치되어있는장치 로한정하여이동중불특정공간을촬영하는차량용블랙박스의영상물에대해서현행법을적용해야하는지에대한논란이제기되었다. 이에따라버스나택시등여객용차량에블랙박스등영상기록매체를장착할시해당사업자에게촬영영상정보를원래의목적대로만이용하고녹음기능은금지하는의무를부과하여차량용블랙박스영상에대해서도현행법의규정이적용되도록하는개정안이국회에제출되었다. 53) 이는사물인터넷환경에서전송되는영상자료가일정공간에지속적으로설치되어있는영상기기가아니더라도이동중인차량용블랙박스, 이동중인스마트폰, PC 등기기를통해수집및전송될때개인정보보호의규정을적용받을수있다는점을시사한다. 53) KISA, 인터넷법제동향,

77 (2) 정보통신망이용촉진및정보보호등에관한법률 관련입법동향 사물인터넷은스마트폰의보급과더불어그영향력이지속적으로확산되고있다. 한편스마트폰은불특정다수와관계를맺고커뮤니케이션을수행하므로, SNS 이용중상대방에의해일방적으로대화에참여하거나불필요한관계가형성되는등디지털피로감에대한문제가제기되고있다. 이러한부작용을사전에방지하기위해정보통신서비스제공자로하여금실시간대화서비스를이용하는경우이용자의동의절차를거치도록하는등이용자를보호하기위한기술적조치를마련하여통신서비스의부작용을최소화하려는노력이반영된개정안이국회에제출되었다. 이는사물인터넷이스마트폰보급에따라지속적으로확산및보편화될것이라는점을감안할때, 이러한부작용이단지 SNS 활용도가높은스마트폰뿐아니라사물인터넷기기에도확산될것이라는우려를제시하며, 향후이러한입법동향이구체화되고확산될것이라는시사점을제공한다. 54) 2. 사물인터넷관련국내정책동향 (1) 초연결디지털혁명을위한사물인터넷진흥정책 미래창조과학부는 2014년 5월스마트기기및사물인터넷관련진흥정책을발표하였다. 해당발표에서정부는 초연결디지털혁명의선도국가실현 이라는비전을내걸고사물인터넷육성과관련부수정책을제시하였다. 사물인터넷육성정책과관련하여소프트웨어, 센서, 부품, 디바이스등의경쟁력강화에초점을두어기획단계부터보안을내재화한사물인터넷재품및서비스개발을지향하고안전하고역동적인사물인터넷기반인프라를조성하고자하였다. 이는세계사물인터넷시장이 2013년 2천억달러규모에서 2020년 1조달러로성장하여 20% 의성장률을기록한데에서기인하여범부처 54) KISA, 인터넷법제동향,

78 및민간과협력을통해해당사물인터넷시장의육성을국내주요정책중일부로추진하고자한것이다. 정부의정책의목표는크게 4가지로요약될수있다. 우선생태계전반에있는기업들이참여하여사물인터넷제품및서비스개발협력및사물인터넷서비스가모든분야에확산되어범부처및민간간협력을추진하고자하였다. 둘째, 개방형플랫폼을기반으로국민모두가창의적서비스제공에기여할수있는환경을조성하고자하였다. 셋째, 글로벌기업과중소및중견기업이협력할수있는동장성장기반을조성하고자하였다. 넷째, 대기업, 중소기업및스타트업기업을위한맞춤형전략을위해상생협력, 개방형파트너십, 이종기업간협업, 생태계환경지원등을추진하고자하였다. 4가지정책목표를바탕으로한주요추진전략은 3대분야로대별되며이는창의적사물인터넷서비스시장창출및확산, 글로벌사물인터넷전문기업육성, 안전하고역동적인사물인터넷발전인프라조성이다. 창의적사물인터넷서비스시장창출및확산과관련하여사물인터넷-클라우드-빅데이터-모바일융합형신서비스를발굴하여이를선도하고시범사업을발굴및추진하고자하였다. 예컨대기상서비스와관련하여기상및공간정보를수집하여이를수퍼컴퓨터로분석하여정확한기상을예보하는예가있다. 글로벌사물인터넷전문기업육성과관련하여글로벌사물인터넷민관협의체를바탕으로 사물인터넷혁신센터 를설립하고웨어러블기기를포함한차세대스마트기기및부품의기술개발연계를추진하고지역별특화사업등사물인터넷기술을접목하여스마트화명품화를지원하고자하였다. 안전하고역동적인사물인터넷발전인프라조성을위해서는사물인터넷혁신센터에보안테스트베드환경을조성하여보안을내재화한정보보호인프라를구축하고트래픽폭증에대비한인프라확충, 사물인터넷생태계전반을고려한전문인력양성, 정보통신전략위원회를중심으로각영역에서발생가한규제를추진하고자하였다. 이러한사물인터넷산업환경조성을위해서창조경제실현을위한미래성장동력으로주목받고있는사물인터넷은경제의신성장의모멘텀이될것이며이를위한사물인터넷진흥정책은아래에서제시할보호정책과함께동반

79 성장할것으로예상된다. (2) 사물인터넷정보보호로드맵구축 1 추진개요 미래창조과학부는안전한사물인터넷환경조성을위해 2014년 9월 30일각 계의의견을수렴하여 사물인터넷정보보호로드맵 을구축및발표하였다. 로드맵은사물, 사람및데이터가연결되는초연결사회를지향하며사이버 공간의위협이현실세계로확대될것을전망하고 2018년까지 7대분야에서 제품및서비스에보안을내제하는사업을추진하는전략을내세우고있다. 이러한사물인터넷환경변화에따른정보보호패러다임의변화는아래의 [ 표 4-1] 에서확인할수있듯이보호대상, 특성, 주체, 방법및피해범위가점점 확대되고있는추세이다. [ 표 4-1] IoT 환경도래에따른정보보호패러다임의변화 구분 As-Is To-Be 보호대상 PC, 모바일기기 가전, 자동차, 의료기기등우리주변모든사물 대상특성 고성능, 고가용성을가지는운영환경 고성능, 고가용성 + 초경량, 저전력 보안주체 ISP 보안정문업체, 이용자 ISP, 보안전문업체, 이용자 + 제조사, 서비스제공자 보호방법 별도보안장비, S/W 구현및별도보안장비, S/W 구현및연동 + 연동설계단계부터보안내재화 피해범위 정보유출, 금전피해 정보유출, 금전피해 + 시스템정지, 생명위협 출처 : 미래창조과학부 (2014) 2 9대추진과제미래부는사물인터넷의보안이설계초기부터고려되어야한다는사실에입각하여보안로드맵을통해보안내재화기반을마련하고글로벌융합보안시장을선도하는 9대보안핵심기술개발및사물인터넷보안산업경쟁력강화등을 2018년까지추진하기로했다. 이를통해미래부는세계최고의스마트안심국가를실현하고자하는계획을제시하고자했다

80 ( 그림 4-2) 사물인터넷정보보호로드맵 9 대추진과제 출처 : 미래창조과학부 (2014) 3 보안내재화기반조성미래부는가전, 의료, 교통등 7개분야에서사물인터넷의제품및서비스의설계단계및유통및유지보수에이르는보안내재화를추진하고있다. 이를실현하기위해안전한구조설계, 핵심요소의안전한개발, 공급망안전확보를포함하는 3대보안원칙을확립하여사이버위협발생시이에대한종합적인대응체계를구축하고자하였다. 민간에서도민간중심의사물인터넷보안인증을도입하여사물인터넷제품을소비자가안심하여지원할수있도록하고있다. 이를위한미래부는 [ 표 4-3] 와같은사물인터넷 3대보안원칙을제시했다. 3대원칙에는 Privacy By Design과유사한개념인안전한구조설계, 핵심요소의안전한개발, 공급망안전확보가있다

81 [ 표 4-3] 사물인터넷 3 대보안원칙 구분 As-Is 안전한 설계 구조 사물인터넷서비스의지속적보안수준제고및침해사고위험의 도미노적전이및확산을방지하기위해보안아키텍처확립 핵심요소의안전한개발공급망안전확보 사물인터넷서비스의안정적운용을위한핵심요소에보안기술및보안품질보증적용사물인터넷제품및서비스의개발부터유통, 공급및유지보수까지공급망전단계의위험관리를위한보안관리체계확립 출처 : 미래창조과학부 (2014) 4 시큐어돔프로젝트실시로드맵에는사물인터넷을디바이스, 네트워크, 서비스및플랫폼등 3개계층으로나누고이를보호하는시큐어돔프로젝트추진계획을담고있다. 해당프로젝트는디바이스돔, 네트워크돔, 서비스돔으로구분되며 9개핵심보호기술개발을진행할예정이다. 우선디바이스돔에서는제한된하드웨어자원으로인해이를고려한경량및저전력암호기술, 소형웨어러블및센서형기기를위한보안 SoC(System-on-Chip) 및보안운영체제를개발을추진할계획이다. 네트워크돔에서는신뢰및비신뢰기기및이종네트워크간상호연결성과보안통신을제공하는사물인터넷보안게이트웨이, 실시간이상징후를탐지하는사물인터넷침입탐지기술및보안관제기술을개발할계획이다. 서비스돔에서는소비자의생체정보및행동패턴을분석하여개인식별및인증시노출위험을최소화할수있는프라이버시보호기술, 프로토콜및요구표준을포함한사물인터넷기술특성을고려한보안솔루션을개발할예정이다. 더불어다자간기술경쟁을통해예산을지원하는 사물인터넷 R&D 오디션프로그램 을개발하여핵심역량강화를추진할예정이다. 이는동일한기술또는주제에대해다수의경쟁을고무하여연구수행후결과물에대한평가를통해 R&D 예산을지원하는방식으로이루질계획이다. 55)

82 5 사물인터넷보안핵심인재양성미래부는사물인터넷보안경쟁력을제고하여제품및서비스의가용성및품질을향상시키기위한노력에박차를가하고하고있다. 예컨대보안취약점을찾아내어이를신고하도록하여포상을지급하는 취약점신고포상제 를도입하여사물인터넷제조사와보안업체간기업매칠을통한 사물인터넷네트워킹데이 를고안하는등다양한방면의지원책을마련했다. 학계와의연계를강화하기위해 사물인터넷보안인재양성 을추진하고정보보호기본교육및보안교육인증제도입을통해보안전문성을강화하고자하였다. 56) (3) 사물인터넷진흥주간개최 미래부는 2014년 11월 5일부터 14일까지 2014 한국사물인터넷어워드 를개최하여관련아이디어및기술에대한경진대회를개최하여이에대한시상식을진행하였다. 상훈은미래부장관상, SKT대회최우수상, CISCO 대회최우수상, NIPA-KISA 최우수상이있으며해당경진대회에서수상한작품에대해서업무협약을체결하는등사물인터넷활용에대한지원내용을담고있다. 이러한사물인터넷진흥정책은활성화차원의경진대회구상을통해향후보안을내재한상품및서비스에대한아이디어모집역시활발하게이루어질것으로예상된다. 제 2 절사물인터넷관련국외개인정보정책동향 1. 유럽의사물인터넷정책동향 유럽연합 (European Union, EU) 은 2006 년부터사물인터넷정책으로 'i2010 전략 (i2010 Strategy) 을추진했다. 이는유럽위원회 (European Commission, 55) 미래창조과학부, ) 미래창조과학부

83 EC) 가 정보화 사회 및 미디어 정책을 수립하기 위해 내놓은 새로운 전략 프레임워크이다. 유럽사회는성장동력을확보하고, 정보통신기술분야에서 양질의 일자리를 창출하고자 이듬해 2007년부터 2013년까지 중소기업을 중점적으로지원하는 ICT 이니셔티브를제시하였다. 이에따라 고령화사회에 대한 대응, 스마트 자동차 중심의 지능형 교통체계 구현, 디지털 도서관의 구축 을 3대 주제로 확정하였으며, 해당 이니셔티브를 바탕으로 유럽 내 사물인터넷연구를활성화하였다. 'i2010' 에이어서유럽은 EU 프레임워크프로그램 (EU Framework Program, FP) 을추진하였다. 이는 EU 회원국주도로연구기금을조성하여연구및 개발을 지원하는 다자간 공동기술개발 프로그램으로 2013년부터 제7차 프레임워크 프로그램 (7th Framework Program, FP7) 이 추진되었다. FP7는 협력 (cooperation), 아이디어 (idea), 인재 (idea), 역량 (capacity) 를 4대 핵심 키워드로선정하였으며, 유럽연합연구클러스터 (European Research Cluster on the Internet of Things, IERC) 를 구성하여 사물인터넷 관련 연구를 추진하였다. 57) 또한 다양한 사용자의 데이터를 관리하고 보호하기 위한 정책적 차원의 노력을반영하기위해유럽은연성법기반의하위정책을제시하였다. 연성법은 현재 정책을 유지하는 무조치 (No Action) 와 엄격한 법 규제를 집행하는 경성법 (Hard Law) 과대별되는유연한접근방식으로관련특징은아래의 [ 표 4-4] 에서살펴볼수있다. 58) 무조치정책옵션은자유로운경쟁시장조성으로 인해 유럽 사회가 구현하고자 하는 프라이버시 및 보안 정책을 실현하기 어렵고, 반대로경성법정책옵션에서는과도한규제로인해사물인터넷발전 자체가 저해될 수 있는 있는 반작용이 있을 수 있다. 따라서 사물인터넷 시장에서사업자들이자발적으로참여하되프라이버시및보안관련이슈에서도 정책적목표를달성할수있는연성법차원의접근이제시되고있다. 57) 58) European Commission, Europe's policy options for a dynamic and trustworthy development of the Internet of Things,

84 [ 표 4-4] 범유럽차원의사물인터넷정책특징및기대효과 정책옵션내용특징 무조치 (No Action) 연성법 (Soft Law) 경성법 (Hard Law) - 현재의정책을유지 - 구속력이완화된형태 - 커뮤니케이션, 가이드라인제정등간접적으로사물인터넷정책을자극할수있는 IT는준 ( 準 ) 법적제도 - 강력한규제형태 - 기존법과규제를사물인터넷에적합하도록엄격한정책을집행 - 사물인터넷관련자유로운경쟁의시장환경조성 - 프라이버시및보안을고려한사물인터넷활성화정책을실현하기어려움 - 사물인터넷시장에서사업자들이자발적으로효율적인시장규제를선택하여사업을영위할수있음 - 관련정책을준수할때제공되는유인책을통해사물인터넷의활성화는물론프라이버시및보안에대한정책적목표도달성가능 - 정책집행방식에따라사물인터넷의발전효율성을극대화할수있음 - 부정적인외부효과가발생할수도있지만사물인터넷발전초기단계에서는예측이어려움 출처 : 정보통신산업진흥원 (2014), European Commission(2014) 연성법기반의하위정책옵션은모니터링, 혁신정책, 산업정책별로시장경쟁및국가경쟁력확보전략과윤리적문제및표준화및보안이슈를다루었다. 개인정보관련표준화및보안이슈에있어서주요이슈는사물인터넷시버스모델설계의기초자료로활용가능한데이터를수집및공유하는것과사물인터넷개인정보및인증에대한이슈를다루는정책대화를포함하였다. 관련정책옵션은아래의 [ 표 4-5] 를참고할수있다. 59) 59) 정보통신산업진흥원, 사물인터넷 (Internet of Things) 발전을위한 EU 의정책제안, 해외 ICT R&D 정책동향,

85 해결과제 정책옵션 [ 표 4-5] 연성법기반주요하위정책옵션 모니터링혁신정책산업정책 시장경쟁및국가경쟁력확보 - 사물인터넷인프라의공정사용모니터링 - 사물인터넷의경제적효과, 주요성과에대한분석을통해향후시나리오예측 - 산업영역별차별화된전략적 R&D를통해사회적편익극대화 - 사물인터넷클러스터구축으로사업자간시너지효과유도 - 다양한 R&D 모델및 자금조달방식의 연구 - EU 의연구혁신프 윤리적문제 - 사물인터넷의사용자인식을확인할수있는측정지표개발 로그램 Horizon 2020 등에사용자의식개선프로그램포함 - 사물인터넷서비스 표준화및보안이슈 모델설계의기초자료로활용가능한데이터의수집및공유 - 사물인터넷사용자권익보호여부에대한확인 - 사물인터넷관련개인정보보호, 인증등에관한이슈를다루는정책대화실시 출처 : 정보통신산업진흥원 (2014), European Commission(2014) (1) 유럽연구클러스터 (IERC) 프로젝트 2010년부터시작된 IERC 프로젝트는유럽내사물인터넷기반기능의잠재력을발굴하고, 사물인터넷연구의융합을위해사물인터넷과관련된 40여개의프로젝트를지원하고있다. IERC의활동은주로 2010년 9월벨기에브뤼셀에서개최된 EU-중국간미래인터넷 /IPv6 에서 2012년사물인터넷의보안, 2013년 사물인터넷세계정상회의 및 2014년 사물인터넷관련세계포럼 에이르기까지다양한주제를중심으로사물인터넷관련이슈가검토되었다. 40여개단위프로젝트중사물인터넷의프라이버시및보안이슈를다룬연구는 RERUM, ALMANAC, SMARTIE, BUTLER, PEARS Feasibility, PrimeLife, PRIME 7개협력사가있다. 이중연구

86 프로젝트의구체적인연구내용을담은 4 개의협력기구에대한소개는아래와 같다. [ 표 4-6] 프라이버시관련 IERC 프로젝트협력사 협력사 RERUM ALMANAC SMARTIE BUTLER PEARS Feasibility PrimeLife PRIME 연구내용스마트시티구축을위한사물인터넷보안및프라이버시스마트시티의정보관리프레임워크스마트시티를위한프라이버시및신뢰스마트라이프구현을위한사물인터넷보안이슈 RFID 관련프라이버시및보안미래네트워크에대한지속가능한프라이버시및신원보호유럽내프라이버시및신원관리 1 레룸 (RERUM) 스마트시티구축을위한신뢰할수있고유연하며안전한사물인터넷 Reliable, Resilient and secure IoT for smart city applications, RERUM) 은 IERC 프로젝트의협력사이다. RERUM의목표는스마트시티구축의토대를사물인터넷으로보고, 사물인터넷보안 / 프라이버시및위협요인을규명하고자한다. RERUM은최근 HP가발간한 사물인터넷의보안및프라이버시에대한실태조사 의결과를인용하여관련프라이버시문제를다루었다. - 90% 의디바이스가최소한건의개인정보를수집한다. - 70% 의디바이스가암호화하지않은네트워크를사용한다. - 80% 의디바이스가패스워드인증시낮은보안수준을채택한다. 이러한실태조사를바탕으로보고서는사물인터넷보안문제발생이 가상세계 보다 디바이스 자체에있다고보았다. 이와관련하여 RERUM은디바이스단에서보안을고려하여패스워드보안수준을높일경우암호화공간을확보할필요가있어문제가된다고보았으며설계단계부터프라이버시를고려 (Privacy by Design) 해야한다고주장하였다. 60) 60) RERUM, HP IoT Security Study and RERUM's View,

87 2 알마넥 (ALMANAC) 스마트시티를위한신뢰성있고스마트하며안전한사물인터넷 (ReliAbLe smart Secure internet of things for smart Cities, ALMANAC) 은스마트시티에서다양한센서들이수집하는실시간정보를수집및분석하여서비스를제공하는플랫폼을개발하였다. 이플랫폼은서로다른여러프로그램을함께운용할수있는미들웨어 (middleware) 역할을한다. ALMANEC은이러한플랫폼구축을위해 2011년이탈리아토리노 (Torino) 를시범도시로선정하여, 총 3단계에걸쳐플랫폼구축사업을진행하고있다. 플랫폼구축사업의 1단계는스마트시티내센서와사물이다량의정보를실시간수집하는 정보수집플랫폼 을구축하는것이다. 2단계로기기종단간 (end-to-end) 정보전송과사물간 (M2M) 통신을효율적으로관리하기위해초소형네트워크라불리는모세혈관네트워크 (capillary network) 를네트워크계층으로확장하는작업을진행하고있다. 최종단계인 3단계는 정보관리프레임워크 (Data Management Framework) 를바탕으로안전하게정보를관리할수있는역량을구비하여스마트시티종합적정보시스템을구현하고자하였다. 61) ALMANEC은프라이버시정책과관련하여각각의서비스및디바이스제공자들이수집한정보에관한프라이버시문제에대해기업의책임성을강조하고있다. 62) 3 스마티 (SMARTIE) 안전하고더스마트해진도시데이터관리 (Secure and smarter cities data management, SMARTIE) 는사물인터넷디바이스와소비자간정보전송시발생하는보안, 프라이버시및신뢰문제를연구하는 IERC 협력사다. 현재독일, 세르비아및스페인내도시를중심으로연구가진행되고있으며협력국가로포르투갈과영국이참여하고있다. SMARTIE는스마트시티를활성화하기위한가장기본적인항목을 프라이버시및신뢰 (Privacy and Trust) 라고간주하고사물인터넷환경에서 61) ALMANAC, 62) ALMANAC

88 특정공간에특화된보안기술을개발하는네트워크애플리케이션을구현하고자 하였다. 63) 4 버틀러 (BUTLER) 위치및상황인식유비쿼터스및안전한사물인터넷 (ubiquitous, secure internet of things with Location and contex-awareness, BUTLER) 는 2011년부터 3년간진행되는연구프로젝트로스마트라이프를구현하기위해사물인터넷의광범위성 (pervasivenss), 상황인식 (context awareness) 및보안 (security) 이슈를다루고있다. BUTLER는프라이버시문제와관련하여 네트워크계층또는물리적계층과같은이질적인 (heterogenous) 계층에서정보를전송할때보안및프라이버시를어떻게보장할수있는가? 에대한질문을제기하며스마트라이프 (Smart Life) 환경을구현하고자한다. 우선, BUTLER 사용자가다양한애플리케이션에저장되어있는신원정보는물론이러한신원정보가언제, 어디에서복사되었는지이에대한통제권을갖고있어야한다고주장한다. 또한 BUTLER는애플리케이션또는디바이스설계단계에서프라이버시를고려해야한다고주장함으로써두가지사항을모두해결할수있는기술에대한개발및연구를진행하고있다. 64) (2) EU 의사물인터넷 (Internet of Things) 14 개액션플랜 2009 년 7 월 EU 는사물인터넷의활성화를촉진하고동시에보안및 프라이버시문제를다루기위해 [ 표 4-8] 와같이 14 개의사물인터넷액션 플랜을발표하였다. 65) 그리고 2010 년에 EC 는 RFID 응용단계에서프라이버시 및데이터보호원칙을준수하도록가이드라인을제공하는권고안을 채택하였다. 이어서, 2012 년 7 월 EC 는사물인터넷의윤리적및법적체계에 대한보안, 인프라, 관리체계, 표준등다양한이슈관련공청회를통해 63) SMARITE, 64) BUTLER, 65) Commission of the European Communities, Internet of Things - An action plan for Europe,

89 의견을수렴하였다. [ 표 4-7] 2009~2012 년 EU 의사물인터넷활성화정책 연도 EU 의사물인터넷활성화정책 2009 년 14 개사물인터넷액션플랜발표 2010 년 2012 년 RFID 응용단계에서프라이버시및데이터보호원축준수위한가이드라인제공권고안채택사물인터넷의윤리적및법적체계에대한보안, 인프라, 관례체계등다양한이슈에대한의견수렴 EU의사물인터넷 14개액션플랜은사물인터넷의투명성, 경쟁력, 책무성을보장하는사물인터넷거버넌스를구축하는것이목적이다. 14가지액션플랜중두번째액션플랜에해당하는개인정보보호를위한모니터링은구체적으로제29조데이터보호작업반 (the Article 29 Data Protection Working Party) 에대한자문의뢰, EU 법안에대한올바른지침제공또는이해당사자간소통에해당된다. 66) 세번째액션플랜인서비스해지는개개인이언제든지네트워크환경으로부터단절될수있는권리를가질수있음을언급하고있다. 네번째액션플랜인위험요소규명은 EC가신뢰 (Trust), 수용 (Acceptance), 보안 (Security) 과관련하여사물인터넷을통한효과적인조치를취하도록요구하고있다. 이를위해유럽네트워크및정보보안청 (European Network and Information Security Agency, ENISA) 은사물인터넷관련위험을다루고있으며, 리스크관리를위한정책프레임워크를제공할예정이다. 마지막으로, 다섯번째액션플랜인필수자원으로서의사물인터넷은사물인터넷을중요한정보인프라자산이라고간주하고사회및경제에대한지대한영향력을시사하였다. 66) Commission of the European Communities, Communication From the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions,

90 [ 표 4-8] EU 의 Internet of Things 14 개액션플랜 번호액션플랜주요내용 1 거버넌스 - 사물인터넷거버넌스에대한기본원칙수립 2 개인정보보호위한 모니터링 - 사물인터넷서비스에대한데이터보호법적용재검토 3 서비스해지 - 네트워크환경과의연결해제권한을사용자들에게제공 4 위험요소규명 - 사생활침해정보보호에대한위협해소위한대응책마련 5 필수자원으로서의 사물인터넷 - 사물인터넷을사회경제적필수인프라로간주하고, 이를 보호하기위한활동수행 6 표준화권한위임 - 사물인터넷표준화에대한분석및모니터링지원 7 연구개발 - 사물인터넷연구개발프로그램에대한지속적지원 8 민관파트너십 - 사물인터넷에대한공공과민간의공동프로젝트지원 - 특히그린카, 에너지고효율빌딩, 미래공정, 미래인터넷 분야에서민관협력체계구축 9 혁신과시범사업 - 파일럿프로젝트를통한사물인터넷혁신을유도 10 제도적인식 - 사물인터넷에대한협의회를정기적으로개최 11 국제협력 - 사물인터넷에대한각국정보와우수사례공유및공동 대응 12 RFID 태그재활용 - 환경보호를위해기존 RFID 센서의재활용연구 13 활성화측정 - 사물인터넷관련통계데이터확보, 사물인터넷관련기술 의보급을모니터링, 사회및경제적관점에서사물인터넷 효과측정 14 진화에대한평가 - 사물인터넷의진화를모니터링 출처 : EU(2009.6), NIPA(2013.6) 한편 2013 년 8 월에는 사물인터넷의발전지원및신뢰도제고를위한 유럽의정책대안 에서사물인터넷산업에대한 4 가지주요이슈와이를

91 해결하기위한정책옵션을제시하였다. [ 표 4-9] 사물인터넷주요이슈 주요이슈시장경쟁환경변화및국가경쟁력강화윤리적문제표준화및보안이슈기존법규프레임워크와의이질성 내용 - 특정사업자의시장지배력강화로인한산업경쟁구도와해 - 사물인터넷을활용하여국가경쟁력강화를위해서는대규모자원이소요 - 단순사물에불과했던개체들이자율성을가지면서인간의자주성, 정체성침해 - 사물이수집한데이터에대한신뢰성문제부상 - 사물인터넷애플리케이션과시스템및작동환경간상호운용성부재로혁신저하 - 사물인터넷등장에따른신규보안위협출현 - 사물인터넷발전의이상적기준과현실사이의괴리존재 (3) 카사그라스 (CASAGRAS) 프로젝트 카사그라스 (Coordination And Support Action for Global RFID-related Activities and Standardisation, CASAGRAS) 프로젝트는제7차 FP 내 RFID 및사물인터넷발전을위한연구활동이다. 초기에는 RFID 기술및애플리케이션에대한인식과경쟁력을유럽전역에알리기위한 (Raising Awareness and Competitiveness in Europe, RACE) 목적으로추진되었다. 현재는사물인터넷활성화를위한프레임워크개발을주목적으로하고있다. 카사그라스의연구분야는 1) 사물인터넷거버넌스, 2) 사물인터넷사물식별코딩, 3) 표준및규제, 4) 정책및지적재산권, 5) 사물인터넷아키텍처, 6) 사물인터넷서비스및애플리케이션, 7) 사물인터넷홍보및교육등이있다. 해당프로젝트에약 53만 3,000 유로가투입되었으며, 2010년부터 2012년까지 92만 5,000 유로를투입하는 카사그라스 II 가실시되었다. 카사그라스프로젝트보고서에따르면사물인터넷개인정보보호는 RFID

92 기술사용과관련성이높으며, 기술자체의문제라기보다참여기업의개인정보 보호관행에높은중요성이강조되고있다. 예컨대, RFID 기술사용과관련한 프라이버시염려에대하여아래의 3 가지관점이제시되었다. - RFID 기술의중립성확보 - 설계단계에서부터프라이버시를고려 (Privacy by Design) - RFID 기술사용시투명성제고 첫번째관점인 RFID 기술의중립성이란프라이버시문제발생이 RFID 기술자체가아닌프라이버시보호법을따르지않는관행때문이라는것이다. 두번째관점은 RFID 기술의사용자가내부시스템설계단계에서프라이버시를고려해야한다고주장한다. 세번째관점은 RFID 기술사용이가능한투명해져야한다는것으로, 소비자들은 RFID 기술이적용된제품또는서비스를이용할때 RFID 기술이어떻게적용되며활용되는지기술의흐름도에대해숙지하고있어야함을강조하고있다. 위의세가지관점에서볼때 RFID 프라이버시이슈는처리자의단순한 고지 에머물지않아야하며오히려보다강력한보호관행을도입할필요가있음을지적하고있다. 예컨대, RFID 기기, 바코드, 키보드등을통해수집된정보는유럽데이터프라이버시지침 (European Data Privacy Directive), 유럽프라이버시및전자커뮤니케이션지침 (European Privacy and electric communications Directive) 의적용을받아야하며사물인터넷시스템설계시유럽지침에나열된항목들에서제시한프라이버시원칙을모두고려해야한다는것이다. 67) 67) CASAGRAS,

93 (4) 사물인터넷발전에따른개인정보보호의견서 (Opinion 8/2014 on the on Recent Developments on the Internet of Things) EU의대표적개인정보감독기구인개인정보보호작업반 (The Article 29 Data Protection Working Party, WP29) 은 2014년 9월사물인터넷발전에따른개인정보보호의견서를채택및공식발표하였다. 해당의견서는사물인터넷이전세계주요이슈로부상하면서유럽시민에게편익을주고있으나, 동시에프라이버시나보안에대한위협을증가시키고있음을지적하였다. 이에 EU는본의견서를통해사물인터넷생태계에적합한개인정보보호관련법률가이드라인을제공하기에앞서보호위협요소를검토하고자하였다. 사물인터넷분야가매우다양하므로본의견서에서는실제사용주체와상호교류가높은착용형컴퓨팅 (Wearable Computing), 자가측정 (Quantified Self), 도모틱스 (Domotics) 의 3가지분야를집중조명하였다. 웨어러블컴퓨팅은시계또는안경과같이센서, 내장형카메라, 탈 / 부착형마이크를통해기능성이확대된일상생활의객체이다. 자가측정은개인의건강및신체와관련된데이터를수집하여개인의생각, 경험, 일상등을기록및분석하는활동으로라이프로깅 (Life Logging), 자가추적 (Self tracking) 등으로표현된다. 도모틱스는가정 (Domo=home) 과자동화 (automatics) 의합성오로스마트홈 (smart home), 가정자동화 (Home Automation) 등으로표현될수있으며, 전구, 온도계, 흡연알람등네트워크로연결된가전기기에해당된다. WP29는상기 3대사물인터넷분야에서발생할수있는프라이버시및보안위협요소를 6가지로제시하였다. 첫째, 통제권의부족과정보불균형 (Lack of control and information asymmetry) 이다. 사물인터넷디바이스는다른디바이스와통신하면서다량의데이터를자동적으로주고받지만사용자의검토를거치지않기때문에통제력이쉽게결여될수있다. 특히, 빅데이터또는클라우딩컴퓨팅환경에서정보양의증대로인해정보주체는자신의정보가어디에서수집되고어디로전송되는지확인하기어려워정보의불균형을초래할수있다

94 둘째, 사용자동의의질적수준 (Quality of the user's consent) 이다. 사물인터넷환경에서개인정보의처리여부를확인하기가점점어려워지고있으며, 이에따라개인정보자기결정권의수단으로 동의 의의미가퇴색될수가있다. 이에따라 WP29는기존의 EU 법률에서다루는 동의 를사물인터넷환경에서는더이상보장하기어렵다고언급하고있다. 셋째, 데이터로부터의간섭과최초처리목적의변경 (inferences derived from data and repurposing of original processing) 으로사물인터넷의데이터양이증대되면서수집목적과다른목적으로제3자에게데이터가제공될수있는문제점을지적하고있다. 또한다양한센서와복잡한알고리즘이결합하면서스마트폰의자이로스코프 68) 같은세부정보가운전습관과같은전혀다른의미의정보를추론해낼수있음을보이고있다. 넷째, 행위패턴분석및프로파일링등으로인한침해 (intrusive brining out of behavior and profiling) 이다. 사물인터넷디바이스는다양한센서로다량의데이터를수집하기때문에자칫하면사용자의사생활을지나치게모니터링하고프로파일링하여부작용을유발할수있다. 이로인해개개인은사적인공간에서조차자연스러운행동을하지못하게될수있다. 다섯번째로서비스이용시익명화상태로의존속가능성보장미흡 (Limitations on the possibility to remain anonymous when using services) 이다. 예컨대착용형기기를통해수집되는정보와외부정보와의높은결합가능성으로개인이식별또는재식별될수있는위험성이높아지고있다. 여섯번째로기기및네트워크효율성강화에따른보안위험 (security risks: security vs. efficiency) 이있다. 보안을고려하여암호화공간을확대할수록배터리공간을줄여야하기때문에센서의물리적효율성을확보해야하는문제가발생한다. 이러한내용을바탕으로 WP29는사물인터넷에참여하는사업자의유형을기기제조자, 소셜플랫폼, 소프트웨어개발자, 서비스제공사업자, 사물인터넷데이터플랫폼으로구분하였고이들을 EU 정보보호지침에따른 68) 자이로스코프 : 공간에서자유롭게회전하도록장치된일종의회전의

개인정보처리자로간주하여개인정보보호를위한권고사항을제시하였다. 우선모든처리자를대상으로는프라이버시영향평가 (Privacy Impact Assessment) 를수행하도록하였고설계초기단계부터프라이버시고려 (Privacy by Design) 원칙을적용하도록하였다. 특히소셜플랫폼을대상으로는소셜플랫폼제공전수접데이터의편집, 검토및결정여부를사용자에게요청하도록하였다.

95 개인정보처리자로간주하여개인정보보호를위한권고사항을제시하였다. 우선모든처리자를대상으로는프라이버시영향평가 (Privacy Impact Assessment) 를수행하도록하였고설계초기단계부터프라이버시고려 (Privacy by Design) 원칙을적용하도록하였다. 특히소셜플랫폼을대상으로는소셜플랫폼제공전수접데이터의편집, 검토및결정여부를사용자에게요청하도록하였다. ( 그림 4-3) 유럽사물인터넷정책동향 (5) 제 36 회국제개인정보보호기구회의국제회의 (ICDPPC) 선언문 국제개인정보보호기구회의 (International Conference of Data Protection and Privacy Commissioners, ICDPPC) 는바라클라바 (Balaclava) 에서개인정보보호및프라이버시에관한선언문을채택하였다. ICDPPC는영국, 프랑스, 독일등 50여개국가의 87개기관이참여하는개인정보보호감독기구의국제회의체로국제적으로새롭게부상하는프라이버시및개인정보보호현안을논의하고관련정보교류및국제협력을지원하는역할을하며이를위해매년회의를개최하고있다. 금년개최된바라클라바국제회의는사물인터넷에관한모리셔스선언문 (Maurituius Declaration) 을채택하여사물인터넷환경에서발생할수있는데이터보호및프라이버시문제에대한공식의견을발표하였다. 주요

96 내용은사물인터넷환경이모든사물이연결된유비쿼터스를지향하기때문에초연결사회는데이터보호를위한신뢰구축을선행해야하며이를위해사회구성원공동의노력이강조되었다. 공동의노력을위한핵심개념으로투명성이제시되었다. 투명성이란사물인터넷디바이스제공자가정보수집의종류, 목적및보유기간에대해정확하게알고있고, 이를적절하고충분하게이해하기쉬운방식으로소비자에게전달하여야한다는점을포함한다. 사물인터넷환경에서이러한의무사항에대한동의를더이상사전동의로간주하지않을것이라는점과회사가더이상법적소송으로부터자사를보호하기위한수단으로만프라이버시정책을수립하지않을것이라는점은회사경영철학에있어프라이버시에대한인식에큰변화가제공되어야한다는점을설명하고있다. 모든참여자의역할과더불어초기설계단계부터프라이버시를고려하는개념 (Privacy by Design) 및디폴트개념이제시되었다. 설계단계부터프라이버시를고려한다는철학은이제더이상새롭게부상하는개념이아니며혁신기술의강점 (selling point) 이라고본다. 또한보안위협에대한기술적대안으로방화벽으로는불충분하며관련위험을줄이기위해디바이스단자체에서정보가처리될수있는방안이모색되어야한다고주장한다. 한편이러한방안이의무화할경우회사는종단간암호화를통해간섭및방해로부터개인정보를보호해야할것이다. 실제로간섭및방해로인한데이터유출이발생하였을때각국의개인정보보호기구는관련사고에대한일괄대응과함께필요시국제적협력에호소해야한다고주장한다. 결과적으로선언문은사물인터넷환경에서는개발자, 소비자, 개인정보보호기구및개개인등모든참여자가활발하고적극적으로사물인터넷프라이버시이슈에관심을가지고이에대한인식을제고시켜나가야한다고주장하였다. (6) EU 사물인터넷정책에대한시사점 EU 는사물인터넷정책을다른국가들보다앞서추진해왔으며초기에는 사물인터넷진흥정책으로소비자편익증대를위한기술개발연구에

97 집중해왔다. 한편 EU는사물인터넷환경에서발생가능한프라이버시문제의위험성을인식하고이를다루기위해다양한정책적노력을기울이고있다. 사물인터넷환경이가지는프라이버시및보안문제가기존의문제와가지는의미와다르게해석될수있기때문에 EU의 WP29가마련한사물인터넷발전에대한개인정보보호의견서는 EU의프라이버시보호를위한적극적인노력으로비추어질수있다. 사물인터넷의환경이다양한형태로진화되고있기때문에개인정보보호를위한적절한기준을제시하는것은쉽지않다. 따라서사물인터넷환경에서프라이버시및보안위협요소를검토하고, 참여자유형별로권고사항을제시한것은향후사물인터넷개인정보보호관련법률적가이드라인을개발하는데중요한첫걸음이될수있다. 2. 미국의사물인터넷정책동향 (1) 미국국가정보위원회, 혁신문명기술로사물인터넷선정 2008년 4월미국국가정보위원회 (National Intelligence Council, NIC) 는사물인터넷을 2025년까지국가경쟁력에중요한영향을미칠 6대혁신문명기술 (Disruptive Civil Technology) 로선정하였다. NIC는사물인터넷기술개발로드맵을개발하여사물인터넷을 RFID를출발점으로하여센서를활용하는기술로간주하였다. 이러한기술을바탕으로사람및사물이연결됨으로써상호통제와모니터링이가능한방향으로발전할것으로예측하였다. 69) 69) NIC, Disruptive Civil technologies, Conference report, 2008,

98 [ 표 4-10] NIC 가제시한사물인터넷관련기술 직접관련기술 - M2M - 마이크로콘트롤러기술 - 무선통신기술 - RFID 기술 - 에너지수집기술 - 센서기술 - 엑츄에이터기술 - 위치정보기술 - 소프트웨어 간접부가가치부여기술 - 위치태그기술 - 바이오매트릭 - 컴퓨터영상기기 - 로보틱 - 증강현실 - 텔레프레즌스 - 생명기록및개인용블랙박스 - 유형의 UI - 청정기술 출처 : 한국전자통신연구원 (2010) (2) 미국에너지국의스마트그리드 2030 계획 2009년미국정부는 IT 뉴딜정책을발표하여 2020년까지스마트그리드, 헬스케어 IT 등에대한세부계획을수립하였다. 이중스마트그리드분야와관련하여미국은 2003년부터에너지국 (Department of Energy, DOE) 을중심으로 Grid 2030 계획 과 2010년 NIST를중심으로 Smart Grid 상호운영표준화로드맵을구축하였다. Grid 2030' 계획을통해 2030년까지전력공급기반설비및관리시스템을포함한전력부하추종, 전력생산기술및시스템운영비즈니스모델변화를수용할수있는전략목표를설정하였으며, 후자인스마트그리드로드맵 (2010) 을통해전력생산기술, 송 / 배전기반시설및시스템운영, 소비자실시간수요정보등스마트전력망네트워크구축을시도하였다. 70) (3) 연방거래위원회 (FTC), 사물인터넷워크샵개최 2013 년 11 월 9 일연방거래위원회 (Federal Trade Commission, FTC) 는 ' 사물인터넷 : 연결된세계에서프라이버시및보안 (Internet of Things: Privacy 70) SmartGrid News,

99 and Security in a Connected World)' 을주제로한워크샵을개최하였다. 해당워크샵에서는사물인터넷시대의개인정보침해가능성문제를지적하였고소비자투명성의문제를강조하였다. 특히 FTC는대량의비디오동영상을유출한트렌드넷에대해제재조치를취하였는데, 이러한사례를통해 FTC는사물인터넷디바이스보안사고에대해수동적인입장을탈피하고있음을의미한다. 해당워크샵에서열린 커넥티드헬스및피트니스 (Connected Health and Fitness) 발표에서는인슐린펌프등네트워크디바이스가암호화조치를하지않아민감정보를유출할수있다는보안위험성을지적하였다. 2014년 2월 FTC는 사물인터넷 : 소비자통제를통한신뢰구축및이익극대화 (Internet of Things: Building Trust and Maximizing Benefits Through Consumer Control) 라는주제를바탕으로라운드테이블회의를개최하였다. 해당회의는사물인터넷프라이버시및보안문제를다루기위해설계단계에서부터프라이버시를고려 (privacy by design), 개인정보의비식별화, 소비자보호조치를구축하기위한투명성을제안하였다. (4) 오바마행정부의빅데이터관련정책발표 2014년 5월오바마행정부는 빅데이터 : 기회포착과가치보존 (Big Data: Seizing Opportunities, Preserving Values) 을주제로보고서를발간하였다. 해당보고서는빅데이터시대의사물인터넷생태계가낳은프라이버시문제를다루었다. 또한사물인터넷관련기술로와이파이네트워크를통한신호전달, 얼굴인식기술, 음성과영상인터페이스가가능한착용형기술을언급하였다. (5) 미국무인항공기시스템관련법규제동향 무인항공기는공중에서정보룰수집하기때문에다양한정보가수집가능하다는이유로프라이버시문제가제기되어왔다. 미국에서무인항공기는군사용으로개발되어정찰업무중심으로기능을수행해왔지만향후민간시장에서상업용으로보급될예정이다. 이에따라미국방산전문컨설팅

100 업체 Teal Group에따르면 2020년까지드론시장은매년 8% 의성장률을기록하며지속적으로발전할전망이다. 이를위해법규정비의필요성이제기되고으며해당과제의해결을위해무인항공기관련규제작업은국제민간항공기구 (International Civil Aviation Organization, ICAO) 중심으로표준화작업을진행하고있다. 이러한국제적흐름을반영하기위해미국역시무인항공기관련법규를마련하기위해추진하고있다. 71) (6) 헬스케어앱관련법규제동향 미국식약청에따르면 2015 년까지전세계 5 억명의 스마트폰사용자가 의료용모바일애플리케이션을사용할것으로보인다. 72) 헬스애플리케이션확장이예상되면서미국식약청은 2011년부터잠재적유해성평가를진행하였고, 2013년 9월 25일모바일앱의료기기규제에관한가이드라인 (Mobile Medical Applications Guidance for Industry and Food and Drug Administration Staff) 을채택하고이를공식발표하였다. 해당가이드라인은법적규제가아닌권고사항이라는점에서적용의한계가있지만향후법적동향을살펴볼수있는지침을마련하고있다. [ 표 4-11] 미식약청의규제대상, 규제비대상모바일앱구분 규제대상인모바일앱 1 이미규제대상인의료기기의보조기구역할을하거나 2 모바일기기를의료기기로전환하는경우 - 예컨대스마트폰이나태블릿 PC에서헬스케어종사자가환자의메디컬이미지를보고진단을내리는앱또는스마트폰을심전도기기로사용할수있도록하는앱 - 안구운동을측정하는앱, 심장의전기 규제대상이아닌모바일앱 의료기기의정의에부합하는모바일앱이라하더라도사용자에미치는위험성이낮으면 FD&C Act(Federal Food, Drug, and Cosmetic Act) 상의규제를적용받지않음 - 특정치료법추천없이사용자의건강상태나질환을관리하도록도와주는앱, 사용자의건강에대한정보를정리하고추적하는앱, 사용자의미래질환가능성의정보를제공하는앱등이여기해당함 71) 미래창조과학부, 과학기술 &ICT 정책 / 기술동향, ) Kotra Global Window(2013), 미 FDA, 의료용모바일앱최종가이드라인내놓아,

101 신호를측정하는앱, 특정질환때문에일어나는신체, 떨림을측정하는앱등도규제대상이됨 - 혈압계커프의팽창과축소를제어하는앱, 인슐린펌프에공급할인슐린량을조정하는앱 - 체중및염도섭취량측정, 근육및체지방량계산등기능을제공하는앱, 심장병대처법정보를제공하는앱 - 의학전자책은의료기기에해당되지않아규제대상이아님 출처 : U.S Department of Health and Human Services Food and Drug Administration(2013); Kotra Global Window(2013) 의내용을표로작성 이어서 2013년 2월부터 3월까지 FTC는 헬스 관련 앱들이 수집하는 개인정보의 양 및 제3자와 공유 여부를 확인하기 위한 건강 및 피트니스 앱들에대한조사를실시하였다. 73) 조사대상앱은운동, 임신, 다이어트등 12개의건강관련모바일앱으로, 이러한앱들은 76개의제3자에게정보를 전송하였고, 관련 건강정보에 대한 우려를 사전적으로 다루기 위한 조사를 실시하였다. 74) (7) 미국의사물인터넷정책에대한시사점 미국의사물인터넷정책은유럽의포괄적인접근방법과달리부문별접근방식을채택하고있다. 이에따라사물인터넷생태계에서프라이버시및보안을다루는정책역시분야별로추진중에있다. 국가차원에서오바마행정부는빅데이터시대를열기위해관련정책보고서를공식발표하였고, 사물인터넷시대에서프라이버시및보안을보장하기위해 FTC를중심으로소비자들의사물인터넷사물에대한정책에관여하고있다. 73) VentureBeat, FTC may soon turn its regulatory gaze toward data-collecting health apps, ) 아틀라스, 미 FTC, 앱통한건강정보수집규제착수... 헬스케어만큼개인정보보호관심도증가

102 ( 그림 4-4) 미국의사물인터넷정책현황 사물인터넷디바이스의사용자들은대부분소비자로간주될수있으므로 FTC는향후사물인터넷관련프라이버시및보안위협대처에중요한영향을미칠것으로판단된다. 이는트렌드넷에서살펴본 FTC의제재조치와이로인한사회적관심도를고려할때사물인터넷정책동향에서 FTC의역할및영향력을간과할수없을것이며, FTC의향후행보를통해사물인터넷정책에서프라이버시및보안문제의향방을가늠할수있을것으로보인다. 3. 일본의사물인터넷정책동향 일본은 2000년대초반부터사물인터넷관련정책을추진해왔다. 대표적으로 2004년의 u-japan 전략, 2009년의 i-japan 전략, IPv6 기반사물인터넷사회연구 2011년의 IT 융합에의한신산업창출전략, 2012년의 Active Japan ICT 전략 이있다. (1) 2004 년의 u-japan 전략 u-japan 전략 은 2004 년 12 월발표된것으로이를통해일본은 유비쿼터스네트워크환경실현을목표로다양한산업분야에서유비쿼터스 기술을활용하고자하였다. 이를실현하기위해세계최첨단무선네트워크

103 이용환경, 최첨단네트워크접속환경을갖춘교통시스템, u-네트워크환경구축등을추진하고, u-네트워크를활용하여 u-단말을개발하여자동차, 엔터테인먼트, 유통및서비스등다양한산업군에서이용되는기기및상품에 u-단말을연결하여 u-일렉트로닉스화, u-서비스화를이루고자하였다. 75) (2) 2009 년의 i-japan 전략 2009년일본은 i-japan 전략을추진하여센서기반의 M2M 기술및서비스를개발하고자하였다. 세부계획으로 2015년까지사물, 기기등디지털기술이생활속에밀착되는인간중심의디지털사회구현을목표로하였다. 이에따라 2011년생활밀착형기술을개발하여 3조 8,559억원을지원하기로하였고경제산업성을중심으로 IT 융합신산업창출전략을발표했다. 해당전략내용에서일본판 EHR(Electronic Health Record) 에대한상세내용이포함되어있다. 여기서개인의민감정보에해당하는의료정보에대한이력을명확하게하는구조를확립하고자개인정보의안전한수집및취급방침을정비하였다. 이를통해개인의료정보에대한개인정보보호제도정비환경을안전하게구축하고자하였다. 또한 i-japan 2015는교육과정에서정보교육을강조하고자정보교육에대한내용을충실히하고자하였다. 이는새로운정보수단에대한이해와더불어정보보호에대한정보윤리및활용능력을제고하는데목적이있는것으로대학등에서정보교유관련우수사례를발굴및지원하고자하였다. (3) 총무성, IPv6 기반사물인터넷사회연구워킹그룹구성 2009년 9월일본총무성은사물인터넷사회실현을위한프로젝트로 IPv6 기반사물인터넷사회연구워킹그룹 을구성하였다. 두달동안네차례의회의를개최하여 IPv6를활용한사물인터넷사회양상, 방향성및선결과제를주요검토항목으로삼고사물인터넷사회를실현하고자하였다

104 해당프로젝트는스마트단말기의급증으로기존의 IP주소인 IPv4의주소공간인부족해지면서이를대신할수있는대안으로 IPv6를모색하였고, 이를의료, 환경, 재해, 교통, 산업, 생활등분야에서모델별로검토하고자하였다. 총무성은사물인터넷사회구현을위해제도, 기술및비즈니스측면에서과제를제시하였다. 제도적측면의과제로는프라이버시및개인정보보호, 센서네트워크및 RFID 이용에따른사생활침해여부, 신규서비스에대한관리, 기술혁신에대한대응, 네트워크의대규모화에따른대응을포함한다. 비즈니스측면의과제로는인터넷 IPv6의이행홍보, 서비스품질확보를위한역할, 보안확보를위한대책, 사물인터넷접속비용절감을위한통신서비스가있다. 기술적측면에서는연구개발및표준화추진, 국제협력등의과제를제시하였다. [ 표 4-12] 사물인터넷워킹그룹의프로젝트팀 구분제도적측면서비스및비즈니스적측면기술적측면 프로젝트팀 - 사생활및개인정보보호 - 센서네트워크및 RFID 이용에따른사생활침해여부의검토 - 신규서비스에대한관리 - 글로벌화에따른국제협력 - 기술혁신에대한대응 - 문제발생시대응대책마련 - 네트워크의대규모화에따른대응책마련 - 인터넷 IPv6의이행홍보 - 서비스품질확보를위한관계자간역할담당 - 보안확보를위한대책추진 - 혁신의추진 - 사물인터넷접속비용을절감하기위한통신서비스제공 - 다양한시범서비스개시 - 연구개발의촉진과표준화추진 - 국제협력및해외진출전개 출처 : NTT DATA(2011) (4) IT 융합에의한신사업창출전략 2011 년 8 월일본경제산업성은사물인터넷관련 IT 융합에의한신산업

105 창출전략 을발표하였다. 해당전략은부품기술의존시장에서벗어나글로벌시장을중심으로디지털화및네트워크화를통한사물인터넷시대구현을목적으로하였다. 특히 IT기술이미치지못하는개척영역과변화가이미시작된경쟁심화영역을전략범위로설정하여신규비즈니스영역에투자를집중하였다. 경제산업성은신규비즈니스전략으로공통세부전략, 액션플랜, 과제를제시하였다. 우선세부전략으로융합시스템포럼, 융합시스템개발, 사업화리스크관리, 전략적표준화활동을추진하고자하였고, 액션플랜으로스마트 농업시스템, 스마트커뮤니티의국내외전개, 스마트헬스케어 산업, 사회 시스템에적합하도록설계된로봇, 정보단말기를활용한자동차및교통시스템, 컨텐츠및창조비즈니스등 6개분야를포함하였다. 마지막으로정책비전과전략목표달성을위해보안대책, 빅데이터를통한가치창출, 융합형인재육성, 국제협력도모, 신규사업자의시장진출촉진등의과제를제시하였다. 76) (5) 2012 년의 Active Japan ICT 2012년 7월일본정부는 Active Japan ICT 전략을실시하여사물인터넷의정보수집, 전송및해석등관련도시, 환경, 유통등분야에서신규서비스및비즈니스수요를창출하고자하였다. ICT기술로개인및사회의성장동력을활성화시키고새로운시너지효과를창출하여 2020년까지글로벌경쟁력을갖춘일본으로거듭나고자하였다. 이에 2013년일본총무성은 ICT 성장전략회의 를개최하여에너지자원관리, 편리성제고를위한사회적과제를해결하고자스마트 ICT 전략을표방하였다. 해당전략에는스마트그리드, 센서등사물인터넷등최첨단 ICT 활용계획을포함하였다. 76)KISA 인터넷 & 시큐리티이슈, 사물인터넷의시장정책동향분석

106 (6) 2014 년의민간빅데이터활용을위한 개인정보보호법 개정 일본은 2003년개인정보보호법을제정하였으나 2013년개정방침을결정하여 2014년일본은정부차원에서민간빅데이터활용을위한개인정보보호법개정초안을발표했다. 이는사물인터넷환경내빅데이터에초점을두고관련법안을추진중이다. 일본 IT 종합전략본부는 6월빅데이터로활용되는스마트폰상위치정보를포함한개인정보에대한법률을규정하는개인정보보호법개정초안을발표하였고이는이듬해 2015년국회에상정될계획이다. 개인정보보호법개정초안의주요내용은첫째개인정보보호에대한지침서작성및행정처분을담당하는제3자기관 77) 의설립을추진하고자하는것이다. 이제3자기관에서는 2016년이후에설립예정이며이기관에서보호대상정보의범위를결정하고그전까지는기업이자율규칙을정하도록하여제3자기관인독립기관의구체적인역할이규명되지않은상태이다. 둘째, 규제대상의구체화의문제이다. 개인정보의정의가확실하지않은상태에서프라이버시침해로이어질수있는회색지대가존재하여이에대한구체적인규종및민감정보에대한애용을소개하였다. 셋째, 개인정보라고하여도개인을식별할수있는정보를가공을통해익명화할경우개인의동의없이도정보를제공할수있도록하였다. 이를특정가능성저감데이터라고하였다. 78) (7) 일본개인식별번호제도도입 일본은 2013년 5월일본국민개개인에게번호를붙여소득또는사회보장관련개인정보를관리할수있는고유식별번호제도를가결하여 2016년안으로시행할예정이다. 이는소득수준및원천을파악하고연금등효율적인사회보장제도를확립하는데목적이있는것이다. 77) 공정거래위원회또는국가공안위원회와법적으로대등한정부행정조직으로부터독립된개인정보보호기관 78) 한은영, 일본개인정보보호법개정의배경및개정안의주요내용,

107 현재까지일본에는주민번호와같은식별체계는존재하지않는다. 2002년 8월 주민기본대장네트워크시스템 이가동되면서임의의 11자리숫자로이루어진 주민표코드 가각개인에게제공되었다. 한국주민등록증과같은역할을하는것으로주민기본대장카드가있으며이는일본내에서공적인신분증으로활용될수있다. 한편실제교부율은 5% 대에머물러있어제대로시행되지못한것으로평가되고있다. 이카드에는생년월일, 성명, 주소, 연락처등개인정보가기재되어있다. 79) 한편사물인터넷환경에서개인식별제도가활성화될시행정효율성은크게증대되지만개인식별번호가자칫잘못하여유출될경우사회적으로엄청난혼란을야기할수있기때문에이에대한개인정보침해우려가크기대두될수있다. (8) 일본의사물인터넷정책에대한시사점 일본은사물인터넷정책구현에있어서프라이버시에대한고려보다사물인터넷활성화에대한측면이더욱강조하는경향을보여왔다. u-japan', 'i-japan', 'active Japan' 등일련의사물인터넷활성화를표방하는정책명칭에서알수있듯이일본은정부중심으로사물인터넷정책을수립하고있다. 최근에는사물인터넷이라는개념보다빅데이터개념에초점을두고빅데이터에서사용되는개인정보문제를사전검토하고이에대한침해우려를경감시킬수있는정책을표방하는방식으로추진되고있다. 아직은기업의빅데이터활용에무게를더두고있다는점은일본이개인정보에대해서엄격한기준을적용하는데조심스러운입장을취하고있다는점을알수있다. 사물인터넷환경에서개인정보보호문제와관련하여가장부각되고있는제도는개인식별번호제도도입과관련된내용이다. 이는일본행정시스템전반에상당한영향을미칠수있는제도로서이제도의도입및적용의성공또는실패여부가일본내개인정보보호의성패를좌우할수있다고볼수 79) 김유미, 일본의개인식별및본인인증제도의현주소와미래,

108 있다. 사물인터넷프라이버시및보안관련정책역시사물인터넷활용단계에서발생할수있는가능성을다루는방식으로제시되고있다. 이러한정책적노력이지속되어유럽및미국처럼국가대응전략으로구축될필요가있다고판단된다. 4. 중국의사물인터넷정책동향 (1) 중국정부주도의센서네트워크및사물인터넷정책전개 중국은 2009년 8월원자바오총리주도하에 센서네트워크 와 사물인터넷 의개념을제시하고국가중심의발전전략을제시하였다. 이를위해정부차원에서 감지 ( 感知 ) 중국센터 을설립하여센서로모든사람과사물의위치정보를감지하는사물인터넷중심국가발전을도모하고자하였다. 9월에는중국공업정보화부에서센서네트워크표준화위원회를설립하였다. 이는사물인터넷표준의플랫폼을구축하여기술표준의국제화를주도하고자하는것으로표준위원회는 8개팀으로구성되어 6개팀은표준화개발, 나머지 2개팀은연구및개발에초점을두었다. [ 표 4-13] 센서네트워크표준화위원회의프로젝트팀구성 주요활동 표준화추진 연구개발 프로젝트팀 1. 표준화체제및시스템프레임워크 2. 인터페이스기술 3. 표준기술 4. 정보보안기술 5. 통신및정보교환기술 6. 공동정보처리기술 7. 국제표준화를위한조사연구 8. 전력산업에의적용을위한조사연구 출처 : NTT DATA(2011)

109 2009년 11월에는중국국무원이강소 ( 江蘇 ) 성우시 ( 無錫 ) 시를사물인터넷제1호시범도시로선정하였다. 이는 8월원자바오총리가사물인터넷연구개발을강화하도록지시한정책전략차원에서시작된것이었다. 구체적으로사물인터넷의활용분야를공업, 의료, 전력, 환경보호, 교통, 물류, 보세지역관리, 빌딩관리등 9개분야로나누어시범프로젝트를진행하였다. 정부차원의정책적추진과더불어중국과학원및학계연구기관등 IBM 등다국적제조업체와차이나모바일, 차이나유티콤등중국통신대기업들이사업에참여하였다. 2010년 3월에는제11차전국인민대표대회를중심으로사물인터넷을에너지, 바이오의약, 환경보호등정보네트워크산업의발전을위한중점전략을시행하고자하였다. 2010년중국은 10대유망기술을선정하고관련영향력을확인한바있다. 10대유망기술은정보화도시, 4G 이동통신기술, 저탄소기술, 사물간인터넷, 3D 디스플레이, 증강현실, 클라우드컴퓨팅, 백신 R&D, 전동기시스템의에너지절감기술, 메탄하이드레이트채굴기술이있다. 이중 사물간인터넷 은투자가치, 수익력, 파행효과, 생활방식의변화및산업구도의변화에있어가장폭넓은영향력을지닌기술로선별되고있다. [ 표 4-14] 10 대유망기술의영향력 구분투자가치수익력파생효과 생활방식 변화 산업구도 변화 정보화도시 - 4G 이동통신기술 - - 저탄소기술 사물간인터넷 3D 디스플레이 증강현실 - - 클라우드컴퓨팅

110 백신 R&D - 전동기시스템의에너지절감기술메탄하이드레이트채굴기술 - - 출처 : KIET, 미래산업포커스 (2014) (2) 공업정보화부의사물인터넷개발계획 중국발전개혁위원회는 2011년부터 2015년 12차 5개년개발계획으로사물인터넷을중점적으로다루었다. 이를위해 2011년 9월중국공업정보화부에해당안건을위탁하고구체적인계획마련을추진하였다. 구체적인계획으로 4건의전문계획과 15건의세부분야계획을내놓았다. 4건의전문계획으로는차세대정보기술, 첨단설비제조, 신재료, 신에너지자동차를포함하고, 15개의세부분야계획으로사물인터넷, 스마트제조장비, 희토희소금속, 클라우드컴퓨팅, 신형디스플레이등이포함된다. 2015년까지중국국내외자원을동원하여산학간연계한기술혁신을통해사물인터넷산업발전초기모델을구축하는것이다. 센싱, 전송, 애플리케이션, 정보처리등분야에서연구성과를취득하고 200여개이상의국가및산업표준을정립하고자하였다. 또한사물인터넷산업체인을구축해 10개산업클러스터를형성하고이를지원하는공공서비스플랫폼을구축할계획을수립하였다. 80) 2011년 11월중국청두에서 국제사물간인터넷정상회의 가개최되었다. 해당정상회의에서감지, 전송, 응용등소프트업계의윈도우와같이분산된응용소프트웨어를하나로묶어사물인터넷간융합에필요한플랫폼을제공하는공통플랫폼을지속적으로연구및개발할계획을밝혔다. 81) 80) Chinawindow, 공업정보화부, 사물인터넷 12 차 5 개년계획에유입, ) KIET, 초연결시대사물인터넷 (IoT) 의창조적융합활성화방안,

111 [ 표 4-15] 사물인터넷 12 차 5 개년계획의세부전략테마 8 대추진방향주요내용 핵심기술개발표준체계구축산업발전촉진핵심기업육성응용 시범사업추진지역배포정보안전보장공공서비스역량제고 - 센서기술수준향상 - 처리기술연구강화 - 전송기술개발 - 공통기술기초강화 - 표준체계프레임워크구축가속화 - 공통핵심기술표준연구및제정 - 센서관련제조업발전 - 통신산업지원 - 서비스산업육성 - 핵심대기업및중소기업육성 - 브랜드깅버육성 - ( 중점업종 ) 공업 / 농업 / 유통업등에서지원, 전통산업고도화 - ( 인프라 / 안전보장 ) 교통전력환경보호등의영역 - ( 공공서비스 ) 공공안전 - ( 인프라구축 ) 자원공유, 지역간협력시스템, 사물망전국확산위한인프라구축 - ( 단계적확산 ) 우시지역의국가센서네트워크시범특구구축을시작으로전국확산 - ( 지역별사물망특구육성 ) 동 / 중 / 서부지역의중점도시, 도시권기반의사물망종합산업특구육성계획 - 안전기술 R&D 강화 - 안전보장시스템구축및보완 - 네트워크인프라보호강화 - 플랫폼구축 : 전문공공서비스플랫폼구축및보완 - 공공기초기관구축가속화 : 실험실, 센터등구축 - 공공서비스자원통합 출처 : SERIChina Review(2010) (3) 광둥 ( 廣東 ) 성중심의스마트도시건설추진계획 중국정부는 2011 년 11 월부터광둥물련천하과학집단과 IBM 회사간 사물인터넷화 를통한스마트도시건설 MOU 를체결하였다. 해당추진

112 정책을발단으로 2013년 12월광둥성인민정부에서 광둥성사물인터넷발전계획 ( 년) 을발표하였다. 해당계획은 2핵심 3고리 3벨트 ( 兩核三圈三帶 ) 82) 구역을중심으로광둥성사물인터넷전문발전기금및광둥성사물인터넷전문가위원회를설립하였다. 자오칭 ( 肇慶 ) 화남스마트캐슬기지는이미 300억을넘어선생산액을만들어내고있으며후이저우 ( 惠州 ) 산지기지에서는 400억규모의산업기지가중점적으로성장하고있다. [ 표 4-16] 2013년광저우사물인터넷산업 5대제품유형시장규모 제품유형 시장규모 ( 억위엔 ) RFID, 센서, 식별기술 180 차세대통신시스템기술 110 위성센서 30 스마트산업수입 30 총계 350 출처 : 광둥성사물인터넷산업발전및응용보고서 (2013) 이처럼광둥성의사물인터넷산업발전을바탕으로광저우시는 2013 년에서 2018 년까지 5 년동안사물인터넷기금 1 억위안과동관시의 스마트동관 프로젝트로 200 억원을투자하는등대규모투자정책이추진되고있다. 83) (4) 사물인터넷발전을위한대응계획 (2013~2015 년 ) 2013년 1월전국양회를앞두어지방양회에서는후베이성, 충칭, 쓰촨을중심으로사물인터넷육성정책을추진하고자하였다. 최근에는중국국가발전개혁위원회주도로 사물인터넷발전을위한대응계획 ( ) 을발표하여 2015년까지기준제정, 산업지원, 상업모델등구체적인대응방안을마련하여 2020년까지중장기과학기술발전계획을수립하였다. 82) 광저우, 선전을중심으로주삼각지역광저우, 포산, 자오칭과주하이, 중산, 장먼그리고선전, 동관, 후이저우의 3 개의경제일체구역 83) 중화인민공화국국가지식산권국,

113 [ 표 4-17] 사물인터넷발전에관한 10 개특별계획 10 개특별계획내용 최고위원회의사결정 표준제정 주요부처간의견수렴을통한효율적인플랫폼구성 핵심기술활용을위한국가기술의표준화 R&D 사물인터넷기술의창조성과능동성을이용한차세대이동 통신과사물인터넷기술개발을통한사물인터넷산업핵심 경쟁력이룩 응용프로그램산업지원비즈니스모델보안시스템정부지원법률및규정인재육성 중국감지 ( 感知 ) 센터구축을통해공공서비스제공 10개산업전략, 100개이상의중소기업지원으로사물인터넷산업을지원다양한사물인터넷비즈니스모델을제시하여사물인터넷산업이여러분야에서활용될수있도록국가가지원사물인터넷보안취약점을분석 12.5 국가전략신산업발전계획에따라사물인터넷핵심기술촉진사물인터넷산업발전에영향을주는법률및법규규범개선을위한개인정보보호사물인터넷산업을통해주변환경의변화와첨단기술개발및발전의요구및개선 출처 : 국가발전개혁위원회 (2013) (5) 중국의사물인터넷정책에대한시사점 중국은국가중심전략의일환으로사물인터넷정책활성화를추진해왔다. 동시에중국은미국및유럽과같이보안위협의문제를예방하기위해관련연구를병행해온것으로보인다. 이는 사물지능 이라는통신센터를구축하고, 사물망 12-5 발전규획 이라는정책으로사물인터넷에대하여집중적인투자전략을채택한데에서알수있다. 중국은프라이버시및보안관련법률측면에서유럽및일본에비해

상대적으로제도적구제조치가미흡해보인다. 따라서유럽과같은포괄적정책을그대로수용하기는어려울것으로판단된다. 하지만사물인터넷개인정보보호를관장하는법률및규정이라는사물인터넷 10대특별계획을고려해보건대프라이버시및보안위협을다루는정책은향후발생할수있는심각한보안위협을사전에방지할수있고이를통해국가적안전및통일성에기여할수있을것으로보인다.

114 상대적으로제도적구제조치가미흡해보인다. 따라서유럽과같은포괄적정책을그대로수용하기는어려울것으로판단된다. 하지만사물인터넷개인정보보호를관장하는법률및규정이라는사물인터넷 10대특별계획을고려해보건대프라이버시및보안위협을다루는정책은향후발생할수있는심각한보안위협을사전에방지할수있고이를통해국가적안전및통일성에기여할수있을것으로보인다. ( 그림 4-5) 중국의사물인터넷정책현황 제 3 절사물인터넷관련개인정보보호기술동향 1. 해외개인정보보호표준화동향 (1) ITU-T 2012년 ITU-T(International Telecommunications Union-Telecommunication) 의 SG13( 클라우드컴퓨팅및 NGN 등미래네트워크 ) 은사물인터넷의정의, 신규사물인터넷환경분류, NGN에서장치기반통신 (MOC, machine-oriented communication) 애플리케이션의기능적요구사항개요등을제시하는 Y.2060(Overview of the Internet of things) 을신규표준으로승인했다

115 Y.2060에서는사물인터넷서비스에서기본적으로갖추어야할보안요구사항들을 ITU-T 참조모델을통해다음과같이정의하고있다. [ 표 4-18] 의사물인터넷보안요구사항에따르면사물인터넷을디바이스, 네트워크, 서비스로분류하고있다. 디바이스는디바이스에대한접근권한설정, 인증, 접근통제와같은외부에서디바이스에접근하여디바이스를통제할수있는권한의설정및부여를다루고있다. 또한단말무결성검증, 데이터기밀성및무결성등보안의기초가되는사항들에대한요구사항을기술하고있다. 네트워크는접근권한설정및인증외에전송및교환되는데이터와신호에대한기밀성및무결성의보장을요구하고있다. 서비스의경우접근권한설정, 인증외에프라이버시보장, 보안감사수행, 안티바이러스설치등을다루고있다. 특히사물인터넷을통해다양한정보를획득하고이를통해개인을용이하게식별할수있다는특성에따라프라이버시를보장하도록요구하고있다. [ 표 4-18] 사물인터넷보안요구사항 구분 디바이스 보안요구사항 접근권한설정, 인증, 단말무결성검증, 접근통제, 데이터기밀성 및무결성 일반 네트워크 접근권한설정, 인증, 데이터 / 신호정보의기밀성및무결성보장 특정 서비스 접근권한설정, 인증, 데이터기밀성, 무결성, 프라이버시보장, 보안 감사수행, 안티바이러스설치 모바일결제등특수상황에맞게적용가능한보안요구사항 적용 출처 : ITU-T(2012) ( 그림 4-6) 의사물인터넷참조모델은디바이스레이어 (Device layer), 네트워크레이어 (Network layer), 서비스및어플리케이션지원레이어 (Service Support and Application Support layer), 어플리케이션 레이어 (Application layer) 로구분하고있다. 디바이스레이어의역할은사물로부터데이터를

수집하고, 이를다른디바이스나게이트웨이로전송하는것이다. 네트워크레이어는데이터를송 수신하는통신로의역할을한다. 어플리케이션레이어는디바이스, 네트워크의운영체제 (Operation system), 미들웨어 (Middleware) 와함께서비스의관리통제의역할을수행한다. 어플리케이션레이어는사물인터넷과관련한각종서비스를제공하는역할을한다.

116 수집하고, 이를다른디바이스나게이트웨이로전송하는것이다. 네트워크레이어는데이터를송 수신하는통신로의역할을한다. 어플리케이션레이어는디바이스, 네트워크의운영체제 (Operation system), 미들웨어 (Middleware) 와함께서비스의관리통제의역할을수행한다. 어플리케이션레이어는사물인터넷과관련한각종서비스를제공하는역할을한다. 이러한사물인터넷참조모델에서는개인정보의보호를위해 Management Capabilities와 Security Capabilities를규정하고있다. ( 그림 4-6) 사물인터넷참조모델 출처 : ITU-T(2012) (2) IETF 사물인터넷환경에서의개인정보보호를포함한보안은 CORE WG에서초기논의가진행되었다. Security Considerations in the IP-based Internet of Things 란기고서에서는적용될장치의전주기를고려한보안위협과 IETF에서표준화된계층별보안프로토콜의적용에대한분석이기술되어있다. 기존시스템기반보안프로토콜과다르게경량화장치는제조시하드웨어자체의복사가용이하고운영전설정을위해필요한입출력장치나 UI(User Interface) 의제한으로보안초기설정이중요하다. 또한저용량의특성으로키와같이민감한정보를저장하고관리하기가쉽지않으므로운영을포함하여장치의폐기시많은위협요소에노출될수있다. 또한 IETF의 CORE WG 그룹에서는 TCP/IP 기반인터넷환경에적용되었던 TLS(Transport Layer

117 Security), DTLS(Datagram Transport Layer Security), IPSec, HIP(Host Identity Protocol), PANA(Protocol for Carrying Authentication for Network Access) 등을적용할수있는방안을고려하고있는데핵심프로토콜인 CoAP(Constrained Applilcation Protocol) 에 DTLS의적용을기본방향으로설정하고있다. 기존 IP 기반보안프로토콜을적용하기위해서는장치의계산능력과메모리공간을고려하여경량화시킬방안이필요하다. 또한 LLN(Low power and Lossy Network) 의통신능력을고려하여전송하는메시지를최소화해야하는데이를위해다양한기술들이표준화되고있다. < IETF에서제시하고있는보안위협 > 1. Cloning of things 2. Malicious substitution of things 3. Eavesdropping attack 4. Man-in-the-middle attack 5. Firmware Replacement attack 6. Extraction of security parameters 7. Routing attack 8. Privacy threat 9. Denial-of-Service attack (3) onem2m onem2m은 2012년 7월에사물인터넷서비스플랫폼표준화를위해서세계지역별대표표준화기관인한국정보통신기술협회 (TTA), 유럽통신표준화기구 (ETSI), 미국통신정보표준협회 (ATIS) 및통신산업협회 (TIA), 중국통신표준협회 (CCSA), 일본전파산업협회 (ARIB) 및통신기술위원회 (TTC) 가모여서공동으로설립한표준화기구이다. onem2m에는 AT&T, 스프린트, 에릭슨, 시스코, 화웨이등 20여개의주요해외기업이참고하고있으며국내는삼성전자, LG전자, SKT, KT, LG유플러스등이참여하고있다. 또한자동차, 원격검침, 홈 / 가전및의료분야의표준화단체가 onem2m 표준을해당산업에적용하기위해파트너로참여증으로사물인터넷산업분야에서는 onem2m이큰

118 영향력을발휘하고있다. [ 표 4-19] 산업분야별참여표준화단체 분야 표준화단체 스마트자동차분야 CCC Car Connectivity Consortium 스마트미터링분야 ESMIG European Smart Metering Industry Group 홈 / 가전분야 HGI Home Gateway Initiative 유헬스분야 CHA Continua Health Alliance 2014년 8월에는전세계공통사용이가능하며, 다양한산업직군에무관하게상호호환성을보장하는 on2m2m 릴리즈 1.0 표준을발표하였다. 표준에는 M2M/IoT 다양한산업직군간연관요구사항, 아키텍처, 프로토콜, 보안기술, 단말관리및시맨틱추상화기술에관련된 9개기술규격을패키지화해토털솔루션을제공하는표준집합으로구성돼있다. 보안기술파트에는 Security Services and Interactions, Authorization, Security Frameworks, Security Framework Procedures and Parameter, Protocol and Algorithm Details 이포함되어있다. 2. 해외개인정보보호관련업계동향 (1) Oracle Oracle은 2013년에 Privacy and Security by Design: A Convergence of Paradigms 을발표하면서, 소프트웨어의설계단계부터보안을고려한 Security by Design 개념을주장하면서, 소프트웨어보안보증은안전한코딩표준의준수, 개발자에대한보안교육의무화, 개발팀내보안지도자양성, 자동화된분석과시험도구의사용을권장하였다. 또한개인정보보호측면에서는 Privacy by Design 개념및이를위한 7대원칙을제안하였다

119 < Privacy by Design 7 대원칙 > 1. Proactive not Reactive; Preventative not Remedial 2. Privacy as the Default Setting 3. Privacy Embedded into Design 4. Full Functionality Positive-Sum, not Zero-Sum 5. End-to-End Security Full Lifecycle Protection 6. Visibility and Transparency Keep it Open 7. Respect for User Privacy Keep it User-Centric (2) 시만텍 (Symantec) 시만텍은 2010년에사물인터넷서비스를위한보안프레임워크를제시하면서보안및준거를위해서는기기, 데이터, 네트워크계층의보안이필요하고, 식별및신뢰를위해서는루트인증서, 코드사인, 기기와서버간안전한통신, 기기데이터신뢰가필요하다고언급하였다. 또한개인정보보호를위해서는접근통제 (2중인증 ), 데이터암호화, 데이터손실방지, 코드난독화 (Obfuscation) 가필요하며, 기기및데이터관리를위해서는백업, 아카이빙, 기기및어플리케이션관리가필요하다고하였다. 한편사물인터넷을위해제안한보안솔루션에서는운영보안을위해네트워크이벤트감시및비정상행태탐지, 준거및보안측면의모니터링기능을수행해야하며, 데이터관리를위해서는저장소관리및아카이빙, 데이터방어, 준거, 고객개인정보보호등기능을수행해야한다고언급하였다. 또한보안내재화를위해서는정보암호화, 기기인증, 키관리, 인증서관리, 시스템통제등기능이필요하며, 정보보호를위해서는안전한펌웨어업데이트, 안전한 SSL 관리등기능을수행해야한다고하였다

( 그림 4-7) 사물인터넷보안프레임워크 출처 : Synamtec(2010) (3) IBM IBM은 2013년 The Interconnecting of Everything 을통해전통적 IT 시스템의제한된접근 (controlled access) 과달리사물인터넷환경에서는제한된신뢰 (controlled trust) 가필요하다고언급하였다.

120 ( 그림 4-7) 사물인터넷보안프레임워크 출처 : Synamtec(2010) (3) IBM IBM은 2013년 The Interconnecting of Everything 을통해전통적 IT 시스템의제한된접근 (controlled access) 과달리사물인터넷환경에서는제한된신뢰 (controlled trust) 가필요하다고언급하였다. 이를위해사물인터넷구현에서는권한관리, 인증, 접근통제개인정보보호및신뢰요구사항이사용성에부정적영향을미치지않은범위에서효율적으로구현되어야한다고강조하였다. 또한전통적 IT 시스템개발에서필요한주안점 ( 품질, 비용시간 ) 과다른사물인터넷시스템개발에있어필요한새로운 3대주안점 ( 보안, 개인정보보호, 상호운용성 ) 을제시하였다. ( 그림 4-8) 사물인터넷보안프레임워크 출처 : IBM(2013)

121 (4) 시스코 (CISCO) 2013년시스코는인증, 권한관리및접근제어, 강제된네트워크정책으로구성 Internet of Everything (IoE) Secure Framework 를제안하였다. 또한사물인터넷보안문제를해결하기위한글로벌전문가들을모으기위해제조, 전력등사물인터넷과연결된산업군에적용될수있는악성코드공격방어 (Malware Defense), 보안인증관리 (Security Credential Management), 프라이버시보호 (Privacy Protection) 등의주제로 시스코사물인터넷시큐리티그랜드챌린지 (Cisco IoT Security Grand Challenge) 를실시하였다. ( 그림 4-9) IoE 보안프레임워크 출처 : CISCO(2013) (5) SmartThings SmartThings은홈네트워크기반의사물인터넷을위한종합플랫폼을제공하고있다. 조명, 콘센트, 도어락등홈네트워크를구성하는기기들뿐만아니라, 스마트폰기반의애플리케이션및서비스를제공하기위한플랫폼을가지고있다. SmartThings사의전략은개발자와소비자를연결하는허브가되는것이며소비자가요구를홈페이지에서신청할수있도록하였고, 개발자에게는

122 개발툴을제공함과동시에개발한애플리케이션을 Shop에서판매하고있다. 또한사물인터넷보안에강점을가지고있어하드웨어에 unique ID를부여하고, 하드웨어레벨의암호화와정기적인키갱신등의기능을지원하는제품을판매하고있다. ( 그림 4-10) SmartThings의제품군 출처 : SmartThings (6) Mocana Mocana는경량형사물인터넷디바이스에서동작하는임베디드보안솔루션 NanoBoot 개발하여보급하고있다. 단말 / 센서보안을위한 NonoCrypto, NanoDTLS, NanoUpdate, NanoCert, NanoSSL, NanoEAP, 임베디드보안솔루션개발하고있으며, 사물인터넷환경에서네트워크영역의효율적인통신및보안을위한 NanoSec, NanoSSH 임베디드보안솔루션을보급하고있다

123 ( 그림 4-11) 디바이스보안프레임워크 출처 : Mocana (7) 인피이언테크놀로지스 인피니언테크놀로지스는스마트홈, 공장등기밀데이터를저장하고교환하는다양한커넥티드시스템에서의인증, 암호화등을지원하는 OPTIGA Trust P 솔루션을출시하였다. 솔루션은강력한인증을제공하고고의적인공격뿐만아니라사용자의실수로인한우발적인손상으로부터컴퓨팅시스템을보호하는것은물론저장된데이터의보안과개인정보보호를위한기능을포함하고있다. ( 그림 4-12) 옵티가트러스트 P(OPTIGA Trust P) 출처 : 인피니언

124 (8) 시큐아이 시큐아이는 시큐아이사물인터넷보안플랫폼 을개발하였고플랫폼은사물인터넷을통한정보유출, 해킹을차단하기위한하드웨어모듈, 경량 / 고속암호화알고리즘적용소프트웨어모듈, 이를탑재한게이트웨이및센서등 4종이다. 또한하드웨어기반의사물인터넷보안모듈로사물인터넷시스템의위 / 변조와정보유출을차단하며, 국산경량고속암호알고리즘인 LEA, ECC 등을적용해경량사물인터넷시스템에최적화된보안성능을제공하고있다. ( 그림 4-13) 시큐아이사물인터넷보안플랫폼 출처 : 시큐아이 (9) 마크애니 마크애니는사물인터넷을지원할수있는키없는기반구조전자서명기술인 KIDS(Keyless Infrastructure for Digital Signature) 를 공개하였다. KIDS 는 유효기간의제한이없고검증을위한별도의키관리를필요로하지않으며, KIDS 서버한대로초당 50만건의서명을생성하고검증이가능해클라우드와빅데이터는물론전세계사물인터넷상에서유통되는대규모데이터에대한진위여부를식별하는데적합하다. 마크애니는향후 클라우드환경에서데이터진위검증 빅데이터실시간감시 개인정보접근도구에대한접근통제 다양한소프트웨어에대한안전성검사 각종국방시스템에대한보안감시 스미싱차단등에 KIDS기술을적용할계획이다

125 3. 사물인터넷관련개인정보보호기술이슈 (1) 보안위협 사물인터넷은다양한디바이스를기반으로기술을융복합적으로사용하여사용자에게편리하고다양한서비스를제공하는특성상보안취약성및프라이버시침해문제가사물인터넷을구성하는각요소기술마다존재할수있으며, 요소기술을연결하는인터페이스부분에서도존재할수있다. 그리고새로운서비스의등장에따라예상치않은새로운보안취약성도나타날수있다. [ 표 4-20] 사물인터넷구성요소별보안위협 구분디바이스네트워크서비스 보안위협분실 / 도난, 물리적파괴, 웜 바이러스감염, 비인가접근, 정보유출, 데이터위 변조등도청, 정보유출, 데이터위 변조, 서비스거부등정보유출, 데이터위 변조, 서비스거부, 비인가접근, 웜 바이러스감염등 출처 : 국가정보보호백서 (2014) 1 디바이스분실 / 도난및물리적파괴공공및개방된장소에설치된디바이스에물리적접근을통한파괴및절취가가능하다. 또한서비스이용자가소유한단말을분실또는도난당할경우기기내에저장된정보의유출, 프라이버시침해등 2차피해를야기할수있다. 2 정보유출각구성요소에서생성, 처리, 관리되는사물인터넷관련데이터에대한사용자인증, 접근권한설정, 암호화등이이루어지지않을경우외부의침입으로부터정보유출이이루어질수있다. 최근의료기기, CCTV, IP 카메라등민감한

126 사생활정보를다루는사물인터넷기기들이다양하게나타나고있기때문에 이들에대한관리가제대로이루어지지않을경우사생활침해문제도발생할 수있다. 3 데이터위 / 변조센서 / 단말의경우 JTAG 인터페이스, 부트스트랩 (Bootstrap) 로더등을이용한임베디드운영체제및저장데이터의위 / 변조가가능하다. 또한무선네트워크기반의통신과정에서중간자 (MITM, Man-in-the-Middle) 공격을통해전송데이터를중간에서가로채어이를조작할수있다. 이외에도플랫폼또는애플리케이션의설계상오류및보안취약점등으로인해내부서버에저장된정보의위 / 변조가이루어질수있다. 4 서비스거부센서 / 단말은정상적인서비스제공여부, 위치등을확인하기위해이를관리하는게이트웨이또는서비스인터페이스장비와센서 / 단말은주기적으로연결요청을수행한다. 공격자가인증취약점을악용하여비인가된센서 / 단말을네트워크에포함시켜지속적인인증 / 연결요청을보내거나, 임의로대량의패킷을게이트웨이에전송할경우이를처리하는과정에서자원이고갈되어시스템이마비됨으로써정상적인서비스제공을어렵게만들수있다. 5 웜 / 바이러스감염사물인터넷디바이스와이를관리하는플랫폼이인터넷을기반으로동작함에따라기존인터넷환경의웜 / 바이러스를이용하여사물인터넷환경에서공격이가능하다. 최근에는임베디드소프트웨어를겨냥한센서 / 단말대상의변종악성코드도등장하고있다. (2) 보안이슈 사물인터넷은가정및산업뿐만아니라, 점차사회공공분야에까지확대되고

127 있어, 이러한사물인터넷에침해사고가발생하면기존의 PC나스마트폰에서의침해사고와는달리막대한손실을발생시킬수있다. 따라서안전하고신뢰할수있는사물인터넷서비스를제공하기위해서는우선사물인터넷서비스구성요소각각에대한보안이슈를체계적으로살펴볼필요가있다. 1 디바이스 1.1 디바이스인증 / 식별사물인터넷에서의디바이스인증및식별은매우중요한이슈이다. 권한없는제 3자가악의적으로설치하여거짓정보를제공하는디바이스로인해임의로난방을켜고, 도어락을해제하거나디바이스가가지고있는개인정보유출등의피해를방지하기위해서디바이스에대한인증및식별은반드시필요한절차라고할수있다. 하지만사물인터넷에서디바이스에대한인증및식별을하는것은쉬운일이아니다. 우선장래에사물인터넷에연결되는디바이스의개수가수십억개에이를것으로전망되며, 사물인터넷을구성하는장치들중대부분의디바이스는연산능력이떨어지거나메모리및파워가한정되어제한적인연산능력을갖추게될것이라는것에있다. 사물인터넷에서주로사용될것으로예상되는인증및식별기술로는인증서를이용한방법, ID/ 패스워드를이용하는방법, SIM(Subscriber Identity Module) 카드를이용한방법등이있다. 인증서를이용한방법은안정적이고강력한인증기능을제공하는장점이있지만, 연산량이많아서자원제약적인디바이스에는한계가있으며, 공개키기반구조 (PKI, Public Key Infrastructure) 를필요로하는등의단점이있다. ID/PW 인증기술은서버에패스워드리스트가저장되므로서버에저장된클라이언트의패스워드리스트가노출될경우인증이무력화될수있다. 따라서이를방지하기위하여서버에서패스워드를저장할때해쉬함수를통하여해쉬값을저장하며, 인증시도가이루어질경우서버는클라이언트가제출한 PW의해쉬값을계산하여저장된해쉬값과검증하는방식을채택하는경우가많다. SIM 카드를이용하는경우플라스틱카드형태가주류이지만, 회로기판에바로부착되어사물인터넷디바이스에사용될수있는형태인 Embedded SIM도있다

128 ( 그림 4-14) 기기인증 출처 : 한국전자인증 1.2 디바이스접근제어사물인터넷에서는전통적인접근제어방식들이가지던이슈들과분산된많은디바이스에적용가능한지, 유동적이고자원제약적인디바이스에적용가능한지가중요한이슈가된다. 역할을기반으로접근제어를수행하는 RBAC(Role Based Access Control) 의경우초기에제어규칙을관리하기위한비용은적지만, 많은디바이스에적용될경우규칙의폭발적인증가를수용하기어려운단점이있다. 속성기반의 ABAC(Attribute Based Access Control) 은사용자의속성을바로사용함으로써규칙을잘다룰수있지만, 다수의디바이스가연동되는사물인터넷환경에서는속성들을동일하게일치시켜야하는어려움이있다. 또한두방법모두최소한의권한만을체크해리소스를허가하지않으며, 모든권한을살핀후에야허가를할수있는단점이있으며, 권한을위임하는것이어려운점등접근제어에대한운영이유동적이지못하다. 이러한문제는디바이스의수가증가할수록더심각해지는데, 이러한문제를해결하기위한대안으로 CapBAC (Capability Based Access Control) 이주목을받고있다. 이는특정리소스를사용할수있는권한요청시토큰을

발급하여사용할수있게하는개념으로서, 권한위임, 자격철회등이지원이 되며자격을매우자세하게기술할수있는것이장점이다. ( 그림 4-15) CapBAC 적용시나리오 출처 : TXT CRS 1.3 디바이스 OS 보안사물인터넷의디바이스들은다양한보안위협에노출되어있으며, 언제든지사이버공격의대상이될수있는가능성을가지고있다.

129 발급하여사용할수있게하는개념으로서, 권한위임, 자격철회등이지원이 되며자격을매우자세하게기술할수있는것이장점이다. ( 그림 4-15) CapBAC 적용시나리오 출처 : TXT CRS 1.3 디바이스 OS 보안사물인터넷의디바이스들은다양한보안위협에노출되어있으며, 언제든지사이버공격의대상이될수있는가능성을가지고있다. 따라서사물인터넷을구성할때는보안에대한철저한계획을가지고시작해야한다. 보안 OS는운영체제차원에서자원에대한통제와커널에대한보호, 시스템에서일어나는동작에대한감사등의기능을수행한다. 최근에는사물인터넷을구성하는디바이스를위한임베디드보안 OS 개발이요구되고있는데, 임베디드보안 OS는데이터암호화, tamper proof, 보안업그레이드, 신뢰할수있는루트, 사용자및정책관리등의보안기능들을제공한다

130 ( 그림 4-16) 임베디드보안 OS 개요도 출처 : 한국전자통신연구원 1.4 디바이스경량암호 / 보안프로토콜사물인터넷을구성하는디바이스간의통신에서의보안을위해기밀성, 무결성에대한부분을고려해야한다. 이를위해서는암 / 복호화및해시기술이적용되어야한다. 사물인터넷을구성하는많은장치의경우자원제약적인경우가많기때문에, PC에서주로사용하던전통적인암호방식을그대로적용하기에는한계가있다. 따라서경량화된암호 / 보안프로토콜이요구된다. 국내외에서거론되는암 / 복호화알고리즘은 PRESENT, KATAN, HIGHT, LEA 등이있다. 한편 IETF CORE WG에서는핵심프로토콜인 CoAP에 DTLS의적용을기본방향으로설정하고있다. DTLS 프로토콜을경량화하는방법으로는핸드쉐이크메시지의패킷개수를줄이거나인증서에대한검증과정을간단히하는방법이있다. 핸드쉐이크메시지를줄이는방법은메시지패킷을줄이기위해자원제한적인장치의소유자에게초기핸드쉐이킹과정을위임한다. 장치소유자와각장치는사전에비밀키를안전하게공유하고서버측과 DTLS 세션을맺는다. 하지만이방법은디바이스에 DTLS 프로토콜을전부올려야하는부담이있어암호화모듈을탑재하지못하는초경량센서에는적용할수없다는단점이있다. 인증서에대한검증을간단하게하는방법은계산량의오버헤드를줄이기위해 OCPS(Online Certificate Status Protocol) 를통한인증서검증을게이트웨이에서하는방법이다. 하지만암호화모듈을이용할수있는

장치라고가정한다하더라도게이트웨이를통한인증서검증은신뢰할수 없으며중간자공격이가능하다. ( 그림 4-17) COAP 에서종단간보안기술 출처 : FGSN 1.5 데이터보관효율적인사물인터넷서비스를위해서는대량의이기종데이터를수집하고수집된데이터에서의미를추출해야한다. 하지만데이터를수집할때어느디바이스에서데이터가전송되었는지알수있다는단점이있다.

131 장치라고가정한다하더라도게이트웨이를통한인증서검증은신뢰할수 없으며중간자공격이가능하다. ( 그림 4-17) COAP 에서종단간보안기술 출처 : FGSN 1.5 데이터보관효율적인사물인터넷서비스를위해서는대량의이기종데이터를수집하고수집된데이터에서의미를추출해야한다. 하지만데이터를수집할때어느디바이스에서데이터가전송되었는지알수있다는단점이있다. 이러한단점은데이터를제공하는디바이스에서익명성기술을제공함으로써어느정도해결이가능하다. 이러한기술들로는응답자의응답메시지를대표들의공개키로암호화하는방법과응답데이터들을통계적인기법을이용하여데이터분포를재구성하는방법등이있다. 이밖에도이기종네트워크사이에익명채널 (Anonymous Channel) 을만들거나, k-익명화메시지전송방법등을이용하여응답자의프라이버시를보호할수있다. 또한사물인터넷은이기종네트워크에서부터수집되는데이터를서비스에맞는형태로가공하여사용자에게제공한다. 보안성을위해서데이터는반드시암호화하여디바이스 / 서버에저장되어야하지만이는데이터의검색속도를낮추어서비스제공시지연시간을늘리는원인을제공한다. 특히대용량의데이터를다루는사물인터넷서비스의경우에는이같은요소가서비스활성화에장애를초래할수있다. 따라서보안성을제공하면서데이터검색을빠르게하여신속하게데이터처리를할수있는암호기술이필요하다. 대표적인기술로는암호화된자료를복호화하지않은상태에서도원하는자료를

132 검색할수있게해주는검색가능암호기술 (Searchable Encryption Technique) 이있다. 이는데이터검색에복호화가필요하지않기때문에빠르게데이터에접근할수있다는장점이있다. 이기술은대칭키기반과공개키기반으로나눌수있다. 대칭키기반은데이터를암호화하여저장한상태에서사용자만이알고있는값을아용하여트랩도어를만들고, 이트랩도어와암호문들을사용하여검색을하는방법이며, 공개키기반검색암호기술은자신의개인키로트랩도어를만들어검색하는기술이다. 1.6 데이터처리사물인터넷디바이스나서버등에서데이터를처리함에있어서프라이버시침해가능성이높기때문에프라이버시보호형마이닝기법 (Privacy Preserving Data Mining) 을사용할필요가있다. 프라이버시보호형마이닝기법은 4가지로분류할수있다. 첫번째로프라이버시보존형데이터퍼블리싱기법은데이터처리및가공후, 그결과값이프라이버시침해가되지않도록변형을가하는기법이다. 두번째로데이터마이닝결과변형기법은, Association Rule Hiding과같이알고리즘자체를변형하는방법이다. 세번째로쿼리감사기법은쿼리결과값을수정하거나제한하여정보누출을방지한다. 마지막으로분산프라이버시기법은 Pinka의 multiparty 프로토콜과같이데이터분산화를통해프라이버시를보호한다. 2 네트워크 2.1 무선보안사물인터넷을 위한 무선 통신은 초경량 저전력 환경에서 디바이스 및 무선공유기에대한장치위장 복제, 서비스거부공격, 무선신호교란, 배터리소모 공격등다양한위협이발생가능하다. 특히상대적으로유선에비해취약한 구조를 갖는 무선의 특성상 스니핑을 통한 도청, 주요정보 유출이 심각한 문제가될수있다. 이를막기위해서는데이터암호화가필수적인데각각의 통신방법 (Wi-Fi, ZigBee, Bluetoot 등 ) 에서는프로토콜의보안을위한방법들을 제시하고있다. Wi-Fi에서는보안을위해 WPA1/WPA2(Wi-Fi Protected Access

133 1/2) 및 WEP(Wired Equivalent Privacy) 을제공한다. WPA2에서는 AES-CCMP (AES-Counter Cipermode with Block Chaining Message Authentication Code Protocol) 을이용하는데, AES의카운터모드와 CBC 모드를이용해암호화를수행하고, 무결성체크코드를생성하여기밀성및무결성을제공한다. ZigBee는 IEEE 의 PHY/MAC 계층을활용하고있으며, AES-CCM를사용하여기밀성및무결성을제공한다. 블루투스는데이터전송률에따라 BR(Basic Rate), EDR (Enhanced Data Rate), HS(High Speed), 및 LE(Low Energy) 로나누어지는데, BR/EDR의경우암호화를위해 LFSR 기반의스트림암호암고리즘인 E0이쓰이며, 인증과정에서는 SAFER+ 암호기반의 E1 알고리즘이사용되고, LE의경우암호화를위해 AES-CCM을사용한다. 2.2 경량화프로토콜사물인터넷서비스에서사용되는디바이스는일반적으로높은자원제약성을가진다. 이때문에 CoAP(Constrained Application Protocl) 이나 LwM2M(Lightwegith M2M) 프로토콜이개발되었다. CoAP은인터넷을통해매우제한적인자원을가지는장비간상호통신이가능하며저전력으로 동작해야하는센서와스위치디바이스 응용을목적으로만들어졌다. CoAP 은 응용계층의프로토콜로써 HTTP로쉽게변환되어웹에통합된다. 현재까지 CoAP 보안을위한표준은 DTLS(Datagram Transport Layer Security) 가있지만, 디바이스에서구동하기위해서는 CoAP 자체보안을개선해야할필요가있다. CoAP에기반을둔 LwM2M의경우에도 onem2m 파트너쉽프로젝트를통해활발히진행되고있다. LwM2M에서는클라이언트와서버간의상호인증을기반으로서비스가제공된다. 기밀성과무결성을제공하기위해데이터는암호화되어상호간에교환되어야한다. LwM2M 프로토콜은 DTLS를통해인증및데이터무결성과기밀성을제공함으로가능한오랜기간동안 DTLS 세션을유지하도록권고하고있다. LwM2M 서버상에서는 DTLS를제공하기위해총 4개의키관리메커니즘을정의하고있다. 먼저사전에당사자간키분배를통해암호화를수행하는 Pre-Shared 모드는 AES_128_ CCM_8 혹은 AES_128_CBC_SHA256를통해보안이제공된다. Raw Public Key Certificate

134 모드의경우에는 ECDH(Elliptic Curve Diffie-Hellman) 와 ECDSA(Elliptic Curve Digital Signature Algorithm) 를이용하여키를안전하게교환하며이를통해생성된키는이전과같은암호화기법으로암호화된다. X.509 서명을사용하는모드에서는이전모드에서제공하는암호화기법을적용하여생성된정보가상호간에교환되게된다. 마지막으로관리되는게이트웨이환경상에서와같이보안이필요치않은환경에서는 No Sec모드가사용될수있다. 접근제어매커니즘은접근제어오브젝트관리프로세서에의해해당권리를요청하고생성한이후에해당오브젝트에대한접근권한을부여받는방식으로제공되고있다. MQTT 프로토콜은이기종의기기간의어플리케이션메시지통신을지원하기위해만들어졌다. 이러한디바이스는매우간단한기기부터복잡한기기까지포함할뿐아니라어떠한운영체제및소프트웨어를포괄한다. 일반적으로이러한기기들은인터넷과같이보안이취약한환경에서동작되게된다. 따라서 MQTT 상에서의종단간 (End-to-end) 통신보안은안전한메시지교환을위해선결되어야하는문제다. MQTT 프로토콜은전송계층프로토콜이므로메시지전송에관해서만기술된다. 구현시유저와디바이스에대한인증메커니즘이필요하며서버자원에대한접근제어또한필요하다. 이와더불어어플리케이션메시지의무결성과프라이버시보호는메타데이터를포함하여프로토콜전반에걸쳐해결되어야한다. 소프트웨어와시스템은악의적인공격에노출된다고가정되며이를디자인하기위해서는많은고려가필요하다. MQTT 보안레벨은크게 Unsecured, Base Secured로나뉜다. 먼저 Unsecured 레벨에서는 layering 과터널링이사용되지않는보안레벨로써 SSH, IPsec/VPN과같은프로토콜을이용하여보안을제공한다. Base secured 보안레벨의경우 TLS에의해 layer가정의된다. 다른프로토콜과의연동을위해 TLS는정해진파라미터를사용하여구현되어야한다. 3 서비스 3.1 접근제어 / 권한제어 서비스영역에서의대표적인보안이슈로는서비스에대한접근제어가있다

135 정당한사용자만이서비스를제공받도록해야하며, 접근제어가제대로이뤄지지않을경우비인가사용자에의한정보유출및서비스거부등을통해서비스의가용성에문제가발생할수있다. 일반적으로접근제어를위해주로사용되는기법으로는임의적접근제어 (Discretionary Access Control), 강제적접근제어 (Mandatory Access Control), 역할기반접근제어 (Role-Based Access Control), 속성기반접근제어 (Attribute-Based Access Control) 기법이널리활용된다. 사물인터넷관점에서살펴보면임의적접근제어는서비스제공자가서비스사용자에대한권한을직접부여방식으로, 유연하게적용할수있는반면에서비스제공자의실수및고의로인한보안문제가생길수있다. 강제적접근제어기법은임의적접근제어기법보다보안이강화되었으며, 서비스제공자대신에공통플랫폼을통해사물인터넷보안책임자가서비스사용자에대한권한을설정하는방식이다. 역할기반접근제어는서비스사용자에게각각역할을부여하고특정역할마다서비스에대한접근권한을부여할수있는방식으로요구사항및조건에따라다양하게적용할수있다. 속성기반접근제어기법은사용자의인증을수행하고, 사용자의권한이아닌속성에따라접근제어를수행하는기법이다. 속성기반접근제어기법에서사용되는속성 (attribute) 에는할당된역할, 사용자 ID, 소속, 거주지등의정보가될수있다. 사물인터넷서비스에서접근제어를적용하기위해서는주체, 요소뿐만아니라기밀성이나무결성에대한보안레벨을평가하여그에맞는접근제어기법을신중하게적용할필요가있다. 3.2 공개 API 사용공개 API(Open API) 는 REST(REpresentational State Transfer), SOAP(Simple Object Access Protocol) 과같은웹기반기술을사용하는서비스를접근하기위한공개된 API를의미한다. 사물인터넷도다양한서비스제공을위해공개 API가많이활용될것으로예상되는데분산서비스거부공격 (DDoS) 처럼방대한양의트래픽을집중시켜웹서비스를중단시키는공격이공개 API를통해서비스되는애플리케이션환경에서도똑같이발생할수있다. 따라서공개 API를사용할경우에도관리와보안성제고노력이필요하다. 아울러공개

136 API를사용하기위해서는사용자인증을수행하는데, 초창기에는웹에등록된사용자아이디와비밀번호를사용하여인증을하였다. 그러나트래픽분석에의한사용자정보유출문제가부각되자공개 API를접근할때인증에대해관심을가지기시작했고, 이에대한해결방법으로 Open ID, SAML(Security Assertion Markup Language), OAuth(Open Authentication) 등이제안되었다. Open ID 방식은 ID를제공해주는 3자서비스를통해서 Open ID를인증받고공개 API를사용하는기법이다. Open ID 방식에서는사용자와 RP(relying party), OP(OpenID 제공자 ) 가참여하여인증을수행하게된다. 인증과정중에사용자는 RP를통해서 OP로부터 Open ID를인증받는데, 이같은특징때문에 Open ID방식은악의적인 RP에의한피싱공격이가능하다. SAML은사용자, idp(id 제공자 ), SP( 서비스제공자 ) 로 3개의개체로나누어지며, 사용자는인증을받기위해서 SP로부터받은 SAML 요청을통해서인증및인가를수행한다. OAuth 인증방식은공개 API에대한인가를목표로개발되었으며, 사용자, OAuth 제공자, OAuth 고객으로나누어진다. 사용자가 API를이용하기위해서는 OAuth 고객인서비스에로그인을하고 OAuth 고객은 OAuth 제공자에요청토큰과비밀키를발급받고, 사용자는해당요청토큰과비밀키를인증받아최종적으로접근토큰 (Access Token) 을획득한다. OAuth 1.0은공격자가인가된사용자의세션을고정시키는세션고정공격에대한취약성을가지고있으며, OAuth 2.0은서명, 암호화등을 SSL(Secure Socket Layer) 에만전적으로의존하는한계가있다. 3.3 ID 관리사물인터넷을위한서비스를제공하기위해서는사용자인증을거쳐서인가된사용자에대한접근만허용하여가용성을보장할수있어야한다. 이를위해서가장간단한인증기법으로는식별자 (ID) 를통한인증이있다. 사물인터넷환경에서는다양한서비스가등장함에따라서비스제공자가관리해야하는 ID정보도기하급수적으로증가할것으로예상된다. 따라서 ID 관리가더욱더어려워짐에따라개인정보누출, 주민번호도용등의문제가심화될것으로예상되는바이에대한대책마련도시급하다

137 제 4 절사물인터넷관련국내 / 외개인정보침해사례 사물인터넷환경에서는다양한디바이스및사물간수집정보들이결합하면서프라이버시및개인정보침해의위협이발생할수있다. 사물인터넷환경에서의개인정보보호를위한제도적장치를마련하기위해노력하고있지만실질적인성과는현재까지도미흡한상황이다. 이는사물인터넷환경에서법 / 제도의필요성을인지하고이에대한논의를지속적으로하고있지만, 과연어느수준까지개인정보를보호해야하는가에대한적절한합의가도출되지못했기때문이라판단된다. 본절에서는사물인터넷에서의발생한해외 개인정보오 / 남용현황을살펴보고국내에서발생할수 있는개인정보침해 가능성을모색하고이에따른개선사항을모색해보고자한다. 1. 온스타 (OnStar) 의개인정보무단수집사례 온스타는자동차내부보안, 핸즈프리통화, 위치정보네비게이션, 원격진단시스템관련서비스를제공하는대표적인커넥티드카서비스업체로1995년미국에출시된이래현재전세계가입자가 700만명에달하는세계 1위텔레매틱스서비스업체이다. 온스타는 2000년대초반 GPS 수신기를통해서비스를제공한다는이유로사생활침해논란을제기한바있다. 당시 FBI는자동차에추적장치를설치하면승객의대화내용이원격으로도청가능하다는점을확인한후, 실제범인검거과정에서이러한기술을활용하였다. 하지만 2003년제9순회법원은이러한원격도청이가능할경우비상사태가발생시온스타서비스를정상적으로이용할수없다는이유로해당문제의위법성을기각하였다. 84) 이어서 2011년에온스타는미국고객의프라이버시를침해할가능성에대한비판을받았다. 사건의발단은온스타가개인정보보호정책약관변경에대한전자메일을고객에게전달하면서불거진것으로, 해당약관에는고객이온스타 84) 온스타 Begins Spying On Customers' GPS Location For Profit?

138 서비스해지후에도차량의위치정보, 이동정보, 결제정보등고객정보의수집을계속수집할수있다고표기되어있었다. 또한경우에따라암호화조치를통해개인을식별할수없는형태로수집정보를보험사와같은제3자에게제공또는판매를허용한다는내용을담고있었다. 해당메일에대해유명해커조나단은자신의블로그에 온스타는수익을내기위해소비자들의 GPS 정보를엿보기시작했나? 라는글을게재하였고, 이를통해약관변경사항에대해부정적인의견을피력하였다. 이로인해다수의고객들은온스타측에강한항의의사를표명했으며, 약관변경사유에대한해명을요구했다. 논란이확산되고온스타고객이집단행동에나설조짐을보이자온스타측은 고객이서비스해지후개인정보수집에동의하지않을경우, 정보수집을중단할것이다. 라고해명을하였고이로인해사건이일단락되었지만이로인해온스타는케넥티드카의프라이버시문제를언급할때항상등장하는침해사례가되었다. 85) 한편, 온스타는 2011년 3월보험사와제휴를맺어 드라이브세이프앤세이브 (Drive Safe and Save) 프로그램을캘리포니아, 오하이오주및텍사스주에실시하였다. 이는 스냅샷 (Snap Shot) 프로그램일환으로추진된것으로, 스냅샷프로그램이란차량에설치된주행거리정보, 야간운행정보, 브레이크를밟는빈도등운전정보및습관에대한기록에대한회사의모니터링을운전자가허용할경우차량보험료를최고 30% 까지할인해주는것이다. 해당프로그램은안전운행을감시하는효과를통해사고를예방하고보험료를인하할수있지만, 일부소비자보호단체관계자들은프라이버시침해가능성은물론현재선택사항인프로그램이의무화가될것이라고우려를제기하였다. 86) 온스타의이러한침해사례를통해향후커넥티드카와연동하여수집될다양한정보들이유출될수있는가능성이제기될수있으며, 서비스이용에연루된사용자가증대될수록관련문제의심각성에대한우려역시높아질수있을것이다. 85) en.wikipedia.org/wiki/ 온스타 86) The Car Connection, Pay-As-You-Drive Car Insurance: Big Savings, No Privacy?,

139 2. 웹캠제조사트렌드넷의동영상유출사례 트렌드넷은라우터, 모뎀, IP 보안카메라를판매하여사용자들이인터넷을통해가정및사업장의영상을원격으로감시할수있도록하는네트워크디바이스판매사이다. 2010년씨큐어뷰 (SecurView) 라는상품명으로디지털카메라를판매하기시작했으며가정내아기, 병원내환자, 사업장및은행내동작을감시하는카메라용도로판매되었다. 트렌드넷의웹기반모니터링카메라단말기인시큐어뷰어가촬영한동영상이고객들의 IP해킹을통해온라인상에서무단게시하는사건이발생하였고이에대해 FTC는 2012년 1월프라이버시침해여부에대한조사에착수하였다. 조사결과 IP주소를알면누구든지해당동영상을다운로드받거나확인할수있다는보안결함이발견되었다. 한편트렌드넷은보안상결함이없다고항변함으로써지속적으로해당제품을판매하였다. FTC는추가조사를하였고, 이를통해트렌드넷이 2010년 4월펌웨어업데이트버전을상용화할때고객의로그인계정정보를암호화하지않고인터넷상에서동영상을전송및저장했다고밝혔다. 또한트렌드넷전용모바일앱에서도고객이로그인시계정정보가지속적으로단말기에저장되어왔던점을지적하였다. 87) FTC의트렌드넷에대한제재사례 88) 는사물인터넷프라이버시정책에서이례적인것으로평가되고있다. 89) 미국은프라이버시및보안정책수립에있어 FTC가소비자에게상당한영향력을미치고있고, 그러한영향력은지속적으로확대될전망이다. 따라서 FTC가트렌드넷사례에서보여준제재조치는트렌드넷뿐아니라다른유사사물인터넷디바이스의프라이버시및보안문제에서도지적될가능성이높을것으로판단된다. 87) Register, "FTC slaps TRENDnet with 20 years' probation over webcam spying flaw" ) FTC 의對트렌드넷제재사례는 59 페이지참조. 89) en.wikipedia.org/wiki/in_the_matter_of_ 트렌드넷,._Inc

3. 베이비모니터 (Baby Monitor) 해킹사례 2013년미국휴스턴에서는아기를부모와다른방에재울때카메라로아이상태를지켜볼수있는 베이비모니터 를해킹해사생활을침해한사건이발생하였다. 공격자는와이파이를쓰는제품의취약성 ( 디폴트패스워드사용하거나패스워드미설정 ) 을이용하여 베이비모니터 를해킹하였고, 이를통해가정내부를모니터링하고아기에게는욕설을하였다.

140 3. 베이비모니터 (Baby Monitor) 해킹사례 2013년미국휴스턴에서는아기를부모와다른방에재울때카메라로아이상태를지켜볼수있는 베이비모니터 를해킹해사생활을침해한사건이발생하였다. 공격자는와이파이를쓰는제품의취약성 ( 디폴트패스워드사용하거나패스워드미설정 ) 을이용하여 베이비모니터 를해킹하였고, 이를통해가정내부를모니터링하고아기에게는욕설을하였다. ( 그림 4-18) Baby Monitor attack 출처 : FOX 무인기 (Drone) 의개인정보유출사례 2014년 3월 CNN 머니는해커가무인기를활용해스마트폰내개인정보및민감정보유출에성공할수있음을밝혔다. 이러한해킹은 스누피 (Snooy) 라는기술을이용한다. 이기술을활용해무인기는와이파이가활성화된스마트폰등에연결하여해킹을할수있다. 예컨대무인기가무선인터넷인것처럼가장하여스마트폰에접근할수있고스마트폰이접근을허용하면스마트폰내모든접속정보및사용자정보가유출될수있다. CNN 머니는영국런던에서월킨슨연구원과함께해당해킹기술의성공여부를실험을통해시연해본결과약 1시간동안무인기아래보행자들의스마트폰에저장된 150여개의정보를수집하였으며웹사이트계정탈취도가능하다는점을확인하였다. 90)

141 무인기의개인정보침해가능성은미국뿐아니라무인기를상업적으로활용하려는개인및기관에서도관심을가질수있는사안으로보여진다. 따라서무인기가스마트폰을해킹하고개인정보를유출하는데악용되었을때발생할수있는보안위협성은매우심각하다고보여진다. 미국에서는그러한무인기의보안취약성을해결하기위해암호화조치를취하기위한기술적노력을기울일수있으나해킹실험성공으로무인기가가지고있는취약성이충분히노출된상황이기때문에이에대한정책적차원의노력역시선행되어야할것으로예상된다. 5. GPS 해킹시스템 2012년텍사스대학오스틴캠퍼스의연구팀이상용 GPS 수신기를사용하는무인기에 GPS 스푸핑공격을가해, 비행중인무인기의통제권을빼앗아오는것을시연하였다. 공격은암호화되어있지않고인증이필요없는상용 GPS에의존하는시스템의취약성을통해이뤄졌으며, 고도를실제보다더높게인식하도록함으로써자동조종장치가고도를잃게속일수있었다. 2014년 7월에발표된연방항공청 (FAA) 보고서에따르면민간용무인기 ( 드론 ) 의 GPS가신호방해 (Jamming) 또는신호조작 (Spoofing) 에매우취약한것으로나타났다. 또한단돈 3천달러짜리장비로 GPS용인공위성을이용해배와비행기의이동경로를마음대로조작할수있는해킹기법도공개되었다. ( 그림 4-19) GPS 해킹시스템 출처 : 조선비즈 90) CNN Money, This drone can hack your phone",

6. 스마트카해킹 (1) 국제보안행사 Black Hat Asia 2014 에는차를마음대로제어할수있는 20달러짜리회로기판이소개되었다. 아이폰의 4분의 3 크기에불과한이회로기판을자동차에연결하면해커가원격에서조종하는대로운전대가움직이거나브레이크가걸리게도할수있으며, 헤드라이트를마음대로켰다끄거나창문을내릴수도있다.

142 6. 스마트카해킹 (1) 국제보안행사 Black Hat Asia 2014 에는차를마음대로제어할수있는 20달러짜리회로기판이소개되었다. 아이폰의 4분의 3 크기에불과한이회로기판을자동차에연결하면해커가원격에서조종하는대로운전대가움직이거나브레이크가걸리게도할수있으며, 헤드라이트를마음대로켰다끄거나창문을내릴수도있다. 또한스마트카의시동이나브레이크를원격조정해마음대로움직일수있으며, 악성코드를삽입하여운전중인스마트카가갑자기제멋대로주행경로를이탈하거나, 도로한복판위에서자동차작동을원격에서중단시킬수있다. ( 그림 4-20) 스마트카공격 출처 : 인포탱크 7. 스마트카해킹 (2) 2014 년 7 월글로벌보안기업카스퍼스키랩 (Kaspersky Lab) 은커넥티드카 시대에예상되는보안위협을경고했다. 발생가능한보안위협으로 BMW 가 발표한커넥티드드라이브시스템분석결과인계정탈취, 모바일애플리케이션 조작, 통신공격을통한허위명령전송등의해킹문제를지적하였다. 또한 커넥티드카의암호가탈취될경우자동차위치는물론자동차의잠금장치도

143 원격으로조작할수있게된다는점이밝혀졌다. 카스퍼스키랩은스페인마케팅및디지털미디어기업 IBA 사와함께 커넥티트카연례보고서 를작성하였으며, 이보고서에서는사이버범죄자들이커넥티트카의프라이버시, 업데이트및스마트폰애플리케이션을활용하여커넥티트카를공격및침투할수있다는점을밝혔다. 이러한공격은데이터유출사고에서인명피해에이르기까지심각한보안위험성을야기할것으로예상된다. 91) 커넥티드카는향후지능형교통시스템과결합하여다양한정보를수집하는사물인터넷핵심디바이스로부상할것으로보여진다. 한편수집정보다방대한만큼노출될수있는취약성또한매우커지고있는실정이다. 다양한해킹시연사고에서해킹에쉽게노출될수있다는점은이러한취약성을입증하는사례로손꼽히고있다. 케넥티드카에대한보안문제를다루는것은따라서사물인터넷프라이버시및보안문제를다루는핵심사안으로분류되며이에대한집중적인관심이투영될필요성이제기된다. 8. 스마트 TV 해킹시연사례 시장조사업체 Strategy Analytics의조사에따르면 2013년스마트 TV 출하량은 7,500만대에이르러 2014년에는전년대비 44% 증가할전망을보이고있다. 시장조사업체가트너 / 디스플레이서치에따르면 2016년에는두배에이르는 1억 9,800만대가판매될것으로추정되고있다. 스마트 TV의보급률이증대되면서구체적인스마트 TV 해킹사례는밝혀지지않고있다. 하지만해킹시연에서발생하는해킹위협에서자유롭지못하다는결과가속출하고있다. 2012년 3월캐나다에서개최된해킹컨퍼런스인 캔섹웨스트 (CanSecWest) 에서한연구원은스마트 TV를해킹해시청자의사생활을몰래촬영한영상을인터넷에공개했다. 이론상으로만가능했던스마트 TV 해킹이실제모의해킹실험에서가능해진것이증명된셈이다. 이듬해 2013년 4월넷섹 2013(NETSEC-KR 2013) 에서발표된자료에의하면 91) GMA NEWS, "Internet-connected cars vulnerable to cyber-hijacks-kaspersky",

144 일부전문가는스마트 TV 해킹시프라이버시침해가능성이가장우려되는점이라고지적하였다. 92) 같은해미국온라인보안업체 isec 파트너스도라스베거스사이버보안컨퍼런스에서유사한방식으로스마트 TV를해킹하여집안내부촬영및계좌정보수집가능성을보여주었다. 2014년 3월독일의컴퓨터전문잡지 c't는삼성전자, LG전자및필립스의스마트 TV가해킹에노출되었다고밝혔다. 각각의스마트 TV에서앱검색기록, 웹사이트로그인정보, 채널정보등이확인되었고, 이러한정보는 TV가인터넷에연결되었을때더위험해진다는점을지적하였다. 스마트 TV는개인용컴퓨터와마찬가지로웹공격및악성코드공격에취약하다. 특히 TV는모바일기기와달리포트가여러개여서물리적공격에도상대적으로더욱취약하다. 만약해커가스마트 TV의쉘 (Shell) 93) 을획득할경우해커는원격제어도할수있어스마트 TV는더욱위험해질수있다. 스마트 TV를악용한피싱도우려될수있는데, 예컨대해커가홈쇼핑주문전화를해킹하여주문을대신받고결제금액을가로챌수있으며, 이를통해소비자의민감정보및금융정보가탈취될수있다. 94) 취약성이다양한만큼스마트 TV는개인정보침해논란에서자유로울수없을가능성이높다. 따라서사물인터넷스마트기기와관련하여스마트 TV 관련침해사례는지속적으로증가할것으로예상되며기업들은자사의제품을안정적으로공급하기위해서이러한보안취약성을극복하는데지속적인관심을가질가능성이크다. 9. 스마트가전을이용한스팸메일발송 2014 년 1 월미국에서는가정에설치된인터넷라우터, TV 나냉장고와같은 가전제품이악성코드에감염되어피싱, 스팸과같은악성메일을 3 차례씩 10 만건단위로발송한사고가발생하였다. 미국의보안업체프루프포인트社에 92) NETSEC-KR 2013, 스마트기기보안발표, ) 사용자의명령어를해석하고운영체제가알아들을수있기지시하는역할을담당하는기능 94) MailOnline, Could your smart TV be hacked?,

따르면전세계에서발생한 75만건의스팸 / 피싱이메일중 25% 이상이데스크톱이나노트북, 모바일기기가아닌물건들에의해발송되고있으며, 스마트 TV나냉장고등을해킹하여제품에탑재된메일링기능을악용해스팸메일을발송하고있다고밝혔다. ( 그림 4-21) 스마트가전을통한스팸메일발송 출처 : 조선비즈 10.

145 따르면전세계에서발생한 75만건의스팸 / 피싱이메일중 25% 이상이데스크톱이나노트북, 모바일기기가아닌물건들에의해발송되고있으며, 스마트 TV나냉장고등을해킹하여제품에탑재된메일링기능을악용해스팸메일을발송하고있다고밝혔다. ( 그림 4-21) 스마트가전을통한스팸메일발송 출처 : 조선비즈 10. 구글글래스의개인정보침해위협 구글글래스는사물인터넷시대에서각광받는웨어러블기기이다. 인터넷에자유롭게연결되어정보를수집하는웨어러블기기는해킹에노출될위험역시높을가능성이크다. 2014년 9월카스퍼스키랩 (Kaspersky Lab) 의연구원은구글글래스에서발생할수있는개인정보침해가능성및보안위협을조사하였다. 조사결과우선구글글래스는 중간공격자 (Middle in the Attack) 95) 에노출될가능성이크기때문에카페또는공항과같은공공장소에서공격자가구글글래스사용자의디바이스에저장된정보를가로챌수있다는점이밝혀졌다. 조사진행연구원은실제로모의해킹을수행하였고, 그결과구글글래스착용자의네트워크상트래픽이탈취되어사용자가어떤웹브라우저에접속했으며무슨뉴스를보고무엇을검색했는지확인할수있었다는점을밝혔다. 96) 95) 네트워크통신을조작하여통신내용을도청하거나조작하는공격기법 96) Kaspersky Lab, Wear the Danger",

146 구글글래스는인터넷을통해구글서버로정보를전달하기때문에상당규모의개인정보또는결합하여개인정보로식별될수있는정보를확인할수있으며이는프라이버시및개인정보침해문제를가지고있다. 또한카스퍼스키랩의모의해킹과마찬가지로해커가컴퓨터또는스마트폰을해킹할때구글글래스에명령을내릴수있는루트권한 97) 을가질수있으므로루트권한이해커에의해장악될경우구글글래스착용자의모든행동을감시할수있기때문에착용자의개인정보가유출될위험성이매우커지게된다. 98) 의료현장에서구글글래스를사용하여환자의수술을진행하는경우도언급되고있다. 이때사용될구글글래스는환자의진료기록을구글서버에전달하고구글글래스의사용자는다시관련정보를전달받는방식으로상호작용이이루어진다. 한편데이터전송과정에서보안취약성과해킹으로사용자의민감정보가유출될우려가있으며이러한문제는구글글래스가다양한분야에서보안위협의문제를야기할수있다는점을보여주고있다. 11. 갤럭시기어의개인정보침해위협 삼성전자가출시한스마트워치인갤럭시기어2는구글글래스에이어사물인터넷시대에서주목받고있는웨어러블디바이스이다. 2014년 9월카스퍼스키랩은구글글래스와함께갤럭시기어2에대한보안취약성및프라이버시침해가능성에대한조사를진행하였다. 그결과갤럭시기어2의경우몰래카메라로악용될가능성이있으며애플리케이션을설치하는과정에서스파이기능을가진악성앱이설치될수도있다. 이럴경우악성앱이스파이앱처럼사용자의위치정보및대화내용을도청하는도구로악용될수있다. 갤럭시기어는사용자의편의성을고려해볼때지속적으로관심을받을지는미지수이지만웨어러블기기의한축을담당하는스마트디바이스로서이러한디바이스가수집하는정보가발생할수있는프라이버시위험성을고려할필요는있다고판단된다. 갤럭시기어를통해수집되는정보가유출되고이로 97) 여러사용자가사용하는컴퓨터에서전체적으로관리할수있는총괄권한 98) DIGIEECO, "" 구글글래스를둘러싼개인정보보호이슈와시사점,

147 인해발생할수있는부작용을검토해봄으로써웨어러블기기에서발생할수 있는프라이버시및보안위협의문제를체계적으로다룰수있을것으로 판단된다. 99) 12. 스마트헬스케어웨어러블기기의개인정보침해위협 2014년부터국내에는헬스케어웨어러블디바이스로핏빗 (Fitbit), 조본업 (Jawbone Up) 등이잇따라출시되면서관련보안문제및개인정보침해문제가사회문제로거론되고있다. 핏빗은사용자의건강관리기록을수집하여빅데이터활용가치를높일수있지만데이터를수집하고처리하는과정에서개인정보유출등보안문제를야기할수있다. 해당침해가능성에대한우려를해소하기위해미국, 영국, 네덜란드등시민단체는스마트헬스케어웨어러블기기의개인정보유출및프라이버시침해를다루기위한 웨어러블디바이스출시반대운동 을추진하고있다. 해당운동을추진하고있는시민단체는 싸이보그를멈추어라 (Stop the Cybogs 100) )' 이다. 이단체는핏빗을포함한웨어러블디바이스를상용하게되면사용자가언제어디서나감시를받을수있고사용자가직면하는모든순간이저장및수집되어 잊혀질권리 를침해할수있다고경고하고있다. 101) 13. 스마트의료기기해킹 Black Hat USA 2013에서는당뇨병환자에게자동으로약물을투여해주는인슐린펌프를해킹하여환자에게약물을과다투여하는모습을시연했다. 공격자는인슐린펌프의통신주파수해킹을통해송수신정보하이재킹및인슐린투여량에대한조작이가능하다. 또한 Breakpoint 컨퍼런스 2012에서는심박기에내장된전송기의펌웨어를해킹하여전기공급량을원격제어하는 99) Kaspersky Lab, Same Security Threats, Different Devices: Wearables and Watchables, ) 생물과기계장치와의결합체를지칭하는말 101) Stop the Cyborgs,

148 해킹을시연하였다. 14. 스마트미터기의개인정보침해위협 스마트미터기는전기사용량외에도개별가전제품의전기소비량을전송할수있어정보전송시사생활침해가능성을내포하고있다. 예컨대 TV 시청여부, 컴퓨터사용여부, 요리시간등사용자가집안내부에서소비하는전기소비량등의정보가암호화되지않고전송되었을때해커들은이를다양하게악용할수있게된다. 스마트미터기는 2010년부터미국에너지부가다룬문제이다. 미국에너지부는 스마트그리드기술과관련한정보접근및사생활문제 라는보고서를발간하여, 스마트미터기가다량의개인정보를수집하여경보시스템설치여부, 고가의 TV 보유여부, 특정의학장치의사용여부를확인할수있다는점을밝혔다. 이어서 2012년독일에서개최된 28C3 카오스커뮤니케이션대회에서다리오칼루치오 (Dario Carluccio) 와스테판브링쿠스 (Stephan Brinkhaus) 두화이트해커는 프라이버시를위한스마트해킹 을주제로한발표에서스마트미터기가수집한정보를분석하였고, 그결과각가정의보유컴퓨터와 PC 대수와프로그램시청목록및 DVD 불법복제여부를확인할수있었다. 102) 또한알랜길버트미국시민자유연맹 (ACLU) 버몬트지사이사는스마트미터기가가지고있는보안위협은스마트폰의보안위협과동일하다는주장을펼쳐왔다. 나아가스마트미터기를통해당국이소비자전력정보수집을금지해야하며수집전에소비자에게영장을제시해야한다고주장하였다. 한편캐나다프리티시콜럼비아주는 대마초와의전쟁 을선포하고경찰과함께단속에나선바있다. 대마초는보통 24시간실내재배를하기때문에사용전력이평균전력소모량의 3배인 93kwh를사용한다. 이러한문제에따라캐나다연방정부는 15g 이하의소량대마초재배를합법화하자는법안이 102) 28th Chaos Communication Congress, Smart Hacking For Privacy,

149 제안되어논란이되기도하였지만미국과같은경우는합법화에대한강력한반대로인해성사되지않았다. 이처럼스마트미터기의전력사용정보를분석하면대마초재배의심가정은일반집보다 3~5배의전기를더사용하는경향이있어의심조사대상이될수있다. 103) 아울러미국필라델피아에서도미국필라델피아전력회사 (PECO) 소비자들이스마트미터기를통해양방향커뮤니케이션이가능하다는이유로스마트미터기의설치를반대하고이미설치한미터기를제거한사건이발생하기도하였다. 이와유사하게 2013년캘리포니아전기회사 PG&E는안티스마트미터활동단체를몰래감시한사유로주정부로부터일반기금에 39만달러를지불하도록명령을받았다. 스마트미터기의사생활침해논란에대해서일부전문가들은이러한현상이집단히스테리라고주장하고있지만, 스마트미터기가수집하는정보가다른정보와쉽게결합하여개인을식별하게되었을때사생활침해가능성논란이제기될소지가크다. 앞서살펴본각국의스마트그리드정책의추진현황을감안할때스마트미터기는개개인의가정에깊숙이들어와프라이버시측면에서사적인활동을감시할수있는도구가될수있다는문제점을내포하고있다. 따라서스마트그리드정책의활성화에따라스마트미터기의프라이버시문제는지속적으로논의될가능성이제기되고있다. 15. 미국, 개량운전면허증 (EDLs) 개인정보침해위협 미국은 2008년국경법개정에따라멕시코, 캐나다등국경을통과하는미국인에게여권또는출생증명서를요구하고있으며, 이를제시하지않을시재입국을금지하는조치를취해왔다. 한편 2009년 6월개량운전면허증 (Enhanced Driver's Lincese, EDL) 을제시하면칩에내장된 RFID 기술로신원정보확인을신속하게할수있어입국심사의효율성이대폭증대될수있었다. 103) NETWORK WORLD, Are Smart Meters real-time Surveillance Spies?,

150 이러한 RFID 칩이내장한리더기를암호화하였을때입국심사관은이를활용하여신원정보를안전하게보유할수있지만, 리더기자체가탈취되거나리더기가수집한정보가클라우드에저장되었을때관련보안위협은매우커진다고볼수있다. 미국국토안보부는해당 EDL이기존 ID 카드에기재된신원정보보다오히려안전하다고주장하고있다. 한편캘리포니아주정부는주지사를중심으로전파칩을내장한운전면허증이위험하다고반대하고있으며주의회역시 EDL의사용을금지하는법안을제시한바있다. EDL은미국내이민자의인구가증가하면서지속적으로관련프라이버시문제를야기할수있으며 RFID가사물인터넷디바이스의기반기술로여겨진다는점은사물인터넷시대에서발생할수있는개인정보침해문제로볼수있다. 104) 제 5 절사물인터넷관련국외개인정보정책규제현황 사물인터넷시대가도래하면서스마트기기관련해외개인정보정책은각국마다상이한정책을표방하고있다. 개인정보정책집행현황은대체로법 / 제도정책의입안보다는사전적인예비단계로서개인정보보호담당자의부처소견또는침해사건에따른당국의조치수준에서이루어지고있다. 이러한당국의노력들은사물인터넷관련개인정보정책에대한글로벌추이를가늠할수있는근거가될수있다. 1. 트렌드넷유출사고에대한미국연방거래위원회 (FTC) 의조치 지난해 9월미국연방통상위원회 (Federal Trade Commission, FTC) 는보안카메라전문업체트렌드넷을상대로생중계영상을포함한민감정보를불법적으로다룬 4가지관행을지적한고소장을제출하였다. 조사결과인터넷상에서약 700개의 CCTV에서촬영중인실시간영상링크가유포되었다. 104) Homeland Security, "Enhanced Drivers Licenses: What are They?",,

151 FTC는트렌드넷이향후 20년에걸쳐외부기관을통해격년으로보안감사를받도록하는제재명령을내렸다. 특히트렌드넷웹캠단말에대한무단접속및해킹을방지하기위해한층강화된정보보호프로그램을구축하도록하였다. 또한 FTC는트렌드넷이웹캠단말의보안및개인정보보호정책에대해소비자에게정확한전달을해야한다는점도강조하였다. 이에따라소비자들이카메라단말이촬영, 저장, 전송, 조회하는개인정보를통제할권한이있으며펌웨어업데이트, 제품관련보안이슈에대해정확하게고지하도록하였다. 또한구매후 2년동안업데이트또는설치제거등과같은기술지원을무상으로제공하도록하였다. 트렌드넷의타미타해리슨 (Tamikia Harrison) 대표는 2012년보안취약이확인된사건을통해이를개선한펌웨어업데이트버전을배포하여소비자들에게이에대해고지했다고발표하였다. 105) 한편트렌드넷해킹사건을통해사물인터넷시대의단말해킹이더욱심각한문제로대두될것으로보인다. 또한사물인터넷서비스제공자인자이블리 (Xively) 의필립데스아우텔스 (Philip DesAutels) 기술수석은단말기제조시보안을고려해야하며제품출시후에도이를보완하기위한연구를지속해야한다고강조하였다. 이를통해트렌드넷논란으로사물인터넷단말에대한해킹및사이버범죄문제에대한경각심이제고되었으며, FTC의제재명령이가지고있는영향력에대해서도재심할수있는계기가되었다. 또한 FTC는소비자권익보호와개인정보보호라는두가지역할을수행하는반면, 트렌드넷에대한제재명령에서개인정보보호보다소비자권익보호측면에비중을더실어제재명령을내렸다. 2. 구글글래스에대한각국의개인정보보호정책현황 구글글래스는기본적으로구글검색, 네비게이션, 동영상촬영, 이메일 전송의기능을가지고있어개인정보침해가능성이큰사물인터넷스마트 기기이다. 105) Tech News Workd, Webcam Maker Takes FTC's Heat for Internet-of-Things Security Failure

152 작년주요국가에서구글글래스가출시되기전부터구글글래스관련개인정보침해가능성에대한우려를표명하기시작했다. 미국개인정보보호양당간부회의의원들은 2013년 5월구글글래스에서발생가능한개인정보이슈에대해질문하는서신을보냈다. 해당서신에는구글글래스의개인정보관련세부기능활용방안및개인정보취급이슈는물론구글글래스가수집한개인정보의활용계획, 보호계획, 정책수정가능성에대한내용을포함하였다. 유럽, 캐나다, 멕시코의개인정보당국역시유비쿼터스감시를우려하며미국과유사한개인정보침해위협에대한이슈에대해구글에질문하는서신을전달하였다. 정부당국뿐아니라학계에서구글글래스의프라이버시침해우려에대한경각심을불러일으켰다. 미국언어학자노암촘스키교수는 2013년 6월구글글래스가빅브라더와같은역할을하면서결국프라이버시침해로인간의삶을파괴할것이라고강도높게비판하는글을게시하였다. 각국가가구글글래스의정보보호법준수여부와관련하여제기한질문들은아래와같다. [ 각국정부의정보보호담당자의질문내용 ] 106) 1. 구글글래스는정보보호법을어떻게준수할것인가? 2. 구글과응용소프트웨어개발자들은어떠한개인정보보호장치를갖고있는가? 3. 구글글래스를통해수집되는정보는무엇이며, 앱개발자또는제3 자와공유되는정보는무엇인가? 4. 구글은수집정보를어떻게활용할것인가? 5. 구글글래스는안면인식기능이포함되어있지않은데, 향후인식기능을포함할계획이있는가? 6. 구글글래스가타인의정보를은밀하게수집하는등의문제에대한윤리적갈등을어떻게해결할것인가? 7. 구글은개인정보침해위험성평과관련공개열람할수있는기록이있는가? 8. 구글글래스의개인정보침해가능성을시험하기위한모의해킹을시연할의향이있는가? 각국정부에서제시한프라이버시우려에대한서신에도불구하고현재까지 구글은구글글래스도입으로개인정보정책에대한수정방침을세우지않고 있다 년전직구글 CEO 레리페이지는구글글래스의프라이버시 106) Consumer Watchdog, "Bipartisan Privacy Caucus Asks Important Privacy Questions About Google Glass",

153 침해우려에대해걱정할만한수준이아니라는언급으로구글글래스에대한사회적우려를불식시켰고현 CEO 팀쿡역시프라이버시우려에대해언급한바가없다. 2013년 7월미국의개인정보보호간부회의의원들이보낸서신에대한답변에서도구글은개인정보침해위험성에대한답변을보류하고구글글래스로인한개인정보정책의수정은없을것이라는점을밝혔다. [ 구글의개인정보정책 ] 107) - 구글은사용자의언어와같은기본정보에서사용자가가장유용하다고여기는광고 또는 온라인에서 가장 중요하게 여기는 사람과 같은 복잡한 정보에 이르기까지 다양한정보를수집할수있다. - 구글은사용자에게이름, 이메일 주소, 전화번호또는신용카드 같은개인정보를 요청할수있다. - 광고서비스를사용하는웹사이트방문일시, 구글광고및컨텐츠이용일자등 사용자가사용하는서비스및사용방식에대한정보를수집할수있으며, 해당 정보는기기정보, 위치정보, 로그정보로분류된다. - 구글은사용자가거주하는국가이외의지역에있는서버에서개인정보를처리할수 있다. - 사용자는구글서버에서정보를삭제한후에도구글서버에서삭제하지않을수 있으며백업시스템에서도삭제하지않을수있다. 구글은 2013년구글의스트리트뷰수집서비스제공을위한차량운용시인근와이파이망에설치된무선기기 (AP) 의일련번호등개인정보를무단수집한바있다. 해당사건으로인해구글은전세계에서개인정보보호법위반에따른제재를받았으며, 그결과 2013년 3월미국에서는 30여개주에총 700만달러의벌금지불을선고받았고, 프랑스및독일법원은각각 2011년 3월 10만유로를, 2013년 5월 15만유로의벌금형을선고받았다. 국내에서도개인정보보호위원회가구글의개인정보정책이국내법규정에미흡하다고판단하여 2012년 2월구글측에개선할것을권고하였다. 2014년 6월 29일영국영화관 10곳중 9곳이가입해있는 107) Google,

154 영국영화출품자협회에서영화관내구글글래스착용을금지하기로하였다. 해당협회는구글글래스의배터리지속시간이 45분이지만여러명이녹화할경우영화를불법유통시킬우려가있다고밝혔다. 이에대해구글측은구글글래스를불법촬영카메리가아닌휴대폰으로간주해달라고대응하였지만구글글래스는눈동자의움직임으로모든명령을내릴수있기때문에인터넷검색, 영상촬영을할수있는가능성이있다. 이에따라영국에서는영화관출입시구글글래스착용제한이가시화될전망이다. 108) 2013년영국교통부는구글글래스출시를앞두고운전주행중도로에집중해야한다는이유로구글글래스착용을금지하는법안의발의를추진하였다. 영국교통부는 2003년운전중휴대전화사용을제한하는법규를제정한바있다. 109) 이에따라구글글래스또한 2013년말벌금및처벌로고정될예정이었지만아직까지해당법안은추진중에있다. 이듬해 2014년 2월웨스트버지니아, 일리노이, 뉴저지등미국내 8개주는스마트폰등다른 IT 기기와마찬가지로운전중구글글래스착용을금지할예정이다. 해당법안을발의한게리하웰웨스트버지니아공화당의원은 운전자가구글글래스로동영상을시청하다가끔찍한사고가날수있다. 고밝혔다. 이어서 2014년 5월미국일리노이주는운전중구글글래스착용을금지하는법안을추진중이다. 일리노이주상원의원아이라실버스테인은구글글래스가운전중운전자를산만하게만들기때문에착용을금지하는법안을제출했다고보도했다. 이는운전중영상물시청을금지하는미국법적규제가확대된것으로보인다. 110) 2014년영국에서는영화관에서구글글래스착용을제한할예정이다. 영국파이낸셜타임즈는 7월 1일영국영화관 10곳중 9곳이가입해있는영화출품자협회에서지난달 29일영화관내구글글래스착용을금지하기로했다. 111) 이처럼구글글래스를포함한웨어러블디바이스확산에따른개인정보침해가능성논란은점점더가시화될것으로보인다. 따라서이에따른제도 108) Mashable, UK Bans Google Glass in Movie Theaters, Is the U.S Next?, ) theguardian, "UK set to ban Google Glass for drivers, ) Digital Trends, Illinois may ban driving with google glass, ) theguardian, Google glass banned in UK cinemas,

155 정비가필요한상황이며구글글래스외에도삼성및 LG 에서출시한스마트 시계가수집하는개인정보에대한개인정보보호법등의제도정비및 가이드라인의제시가필요한상황이다. 112) 3. 구글글래스프라이버시정책관련영국정보보호위원회의입장 영국에서구글글래스는 2014년 6월부터판매되기시작하였다. 이에따라구글글래스의프라이버시침해논란이제기되고있으며, 영국정보보호위원회 (Information Commissioner's Office, ICO) 는사용자가구글글래스를통해사전허가없이영상및사진촬영을통해프라이버시를침해할수있다고지적했다. 앤드류패터슨 ICO 수석기술책임자는 ICO 공식블로그에서프라이버시침해여부를결정하는관건은구글글래스사용자가동영상또는사진촬영시다른사람이인지하고있는여부와관련성이높다는입장을밝혔다. 실제로미국샌프란시스코의일부바에서는구글글래스착용을금지하도록하였는데이는사전허락없이다른고객의사진또는동영상을촬영할수있는우려때문이다. 구글글래스를어떤분야의서비스로간주하여개인정보법의적용을받을것인가의문제와관련하여앤드류패터슨 (Andrew Paterson) ICO 수석기술책임자는구글글래스에대해서 CCTV에대해적용하는것과같은규칙을적용해야한다고지적했다. 이에덧붙여, 구글글래스가가정내용도로만정보를수집한다면, 즉개인의사적용도로사용할경우개인정보보호법 (Data Protection Act) 의적용을받지않는다고보았다. 하지만만약이를사업적목적이나지역캠페인지원등다른목적으로활용한다면처벌예외대상으로간주하지않는다고지적했다. ICO 수석기술책임자의견해가영국개인정보호법의법적권한을대신한다고할수는없다. 하지만구글글래스자체가최근상용화되기 112) KISDI, 글로벌 ICT 기업들의개인정보보호정책변화에따른국내정책방향,

156 시작하였으므로수석기술책임자의견해는상당부분영국당국의입장을조심스럽게반영한것으로해석할여지가있다. 따라서구글글래스의개인정보보호관련정책은영국 ICO뿐아니라다른여타국가의개인정보보호당국에서도관심을갖고논의할가능성이높으며해당법 / 제도추이를살펴볼필요가있다. 113) 4. 영국 CCTV 개정지침사물인터넷관련현황 영국정보보호위원회사무국은 2014년 5월 20일 CCTV 지침 (CCTV code of practice) 개정초안을발표하였다. 해당초안은개인정보또는개인정보로분류될수있는정보를수집하는 CCTV 및기타감시카메라를사용할때필요한관행에대한권고사항을다루고있다. 관련개인정보는영국데이터보호법 (Data Protection Act 1998, DPA) 의적용을받으며, 해당지침은 CCTV 및감시카메라를다루는기관이 DPA의법적의무사항들을준수할수있도록구체적인가이드라인을제공하고있다. 이번에발표된개정초안은부상하는기술의실례 (Examples of emerging technologies) 항목을신설하여부상하는기술이수집하는개인정보에대해서어떠한접근방식을취해야하는지에대해서자동번호판인식시스템 (Automatic Number Plate Recognition Systems, ANPR), 몸에착용하는비디오카메라 (Body worn video camera, BWVs), 원격조정기기 (Remotely operated vehicles, Drones) 에대한프라이버시관련논의사항들을언급하였다. 나아가부상하는기술의프라이버시영향평가, Privacy by Design 및프라이버시관련주의사항들에대해논하였다. 자동번호판인식시스템은수집되는정보의수준과다른기기와의연동성이높아지고있어서프라이버시관련문제들이제기되고있다. 관련논의사항은아래와같다. 113) ICO's blog, Wearable Technology- the future of privacy,

157 - 여러이동정보에대해서프라이버시영향평가 (PIA) 를수행했는가? - 모바일또는기기를사용하여 ANPR 을이용할경우사용자에게적절한경고메시지 를제공하는가? 몸에착용하는비디오카메라 (BWVs) 는의류에부착하여음성및시각 정보를수집할수있는것이다. BWVs 의보급이확대되고가격도 인하되면서해당카메라를 구입하는중소기업또는일반인들이점점더 많아지고있다. 프라이버시관련논의사항은아래와같다. - 특정사건이발생했을때에만 BWVs가동작하는지, 아니면사건과관계없이계속동작하는지? - 특히녹음기능이동작하는지, BWVs 사용을정당화할수있도록개인정보영향평가를충분히수행하였는지? - 정보가수집될수있는개인에게공정한처리정보가제공되었는가? 예컨대 BWV를착용하고있는개인에게영상녹화를알리는신호가있었는가? - 개인정보처리자의웹사이트에서추가적인정보를받을수있는가? - 수집된정보를보호하기위해적절한기술적보안제재가이루어졌는가? - 영상보관기간이영상의수집, 이용및목적을달성하는데최소한의기간인가? - 수집된영상이제3자와계속공유하는경우정보공유협정이있는것인가? 원격조정기기 (Drones) 의경우도유사한문제를제기하고있다. 새롭게부상하는기기에대한설명에이어해당초안은프라이버시영향평가를언급하고있다. 즉새롭게부상하는기기를사용하기전에프라이버시영향평가를수행해야한다는것이다. 마지막으로, 기기를사용할때 Privacy by Design 특징을고려해야한다고주장한다. 예컨대기기에전원을켜고끄는스위치가있어서녹화를중단할수있는장치가있어야하며, 명시된사용의목적에한해서녹화할수있어야한다고언급하고있다

158 개인에게공정한처리정보 (fair processing information) 를제공하는것과관련하여사물인터넷관련제품은문제를가지고있다. 적절하고보다혁신적인방법으로정보주체에게권리를알려주는방안을고안할필요가있다. 만약기기를사용하고자한다면정보를요청하는자에게정보를제공및삭제할수있어야한다. 114) 5. 호주법제개혁위원회의착용형기기관련현황 호주법제개혁위원회 (Australian Law Reform Commission) 은디지털시대의심각한프라이버시침해 (Serious Invasions of Privacy in the Digital Era) 라는보고서에서 감시기기법 (Surveillance Device Act) 을다루고있다. 이법률에서착용형기기가다루어졌으며감시기기법의영상감시기기관련규정이모든착용형기기에적용되는것은아니지만감시에이르지않는착용형기기의사용은합법적이며, 기기사용이합법적인지의여부는촬영된움직임, 감시하거나녹화한범위, 활동에참여한당사자들이기기의사용을인지하고있었는지여부와같은사용환경에따라결정된다고보고있다. 6. 사물인터넷해외개인정보보호정책관련시사점 사물인터넷에서개인정보보호문제는중요한이슈로다루어질가능성이커지고있다. 앞서살펴본다양한침해사례의발생또는해킹실험을통해입증된시연성공사례는향후사물인터넷디바이스가노출할수있는정보유출의취약성이매우높을것이라는전망을시사하고있다. 이러한위험성을줄이기위해각국에서는각국가의사물인터넷추진현황에따라필요한수준의프라이버시및보안수준을설정하고자노력을기울이고있다. 이러한노력은주로개인정보보호정책과관련한정책수립또는법적규제를중심으로이루어지고있다. 114) CCTV code of practice, Information Commissioner's Office,

159 개인정보보호를위한정책수립에서공통점은각국가마다사물인터넷디바이스가가지고있는보안위험성이심각해질것이라는점에대한대책수립의필요성에공감하고있다는점이고차이점은개인정보보호가가지고있는문제가각산업분야별로다르고, 사고발생시이에대응하는부문및대응전략및행동지침이다르기때문에사후대응을하고있어, 개인정보보호정책수립의통일성을확립하기가어렵다는점이다. 예컨대유럽은사물인터넷디바이스가가지고있는프라이버시및보안위협에대해사전예방적접근방식을채택하고있고, 미국과같은경우대규모유출사고발생이후이에대응하기위한사후조치를중심으로정책을발전시켜나가는모습을보여주고있다. 결과적으로, 사물인터넷생태계는아직확립되지않은상태의회색지대의성격을보이고있어각국정부의다양한정책수립이선행된후이에대한종합적인분석및접근방식이이루어져야할것으로보인다. 사물인터넷의프라이버시및보안조치를너무강조하게될경우활성화에제약을가할수있고, 활성화에박차를가할경우상당량의개인정보가유출될수있는심각한취약성에노출될수있기때문이다. 따라서국가별로각자의정책접근방식에부합하는대응방안을마련하고, 이를 EU 중심의사물인터넷개인정보보호정책의기준에부합할수있도록공동의노력을기울일필요성이제기된다고보인다. 이를위해아래에서는사물인터넷디바이스가수집하는개인정보를분류하고이러한분류기준을바탕으로수집될수있는개인정보를살펴본뒤, 이러한수집과정에서발생할수있는위험성을검토하고자한다. 그리고국내에서이러한위험성에서나타나는결함들을보충할수있는법 / 제도적현황및한계점을검토하여이에대한개선방안을수립하고자한다

160 제 5 장사물인터넷환경에서수집되는정보분류 제 1 절개인정보의정의및분류기준 개인정보보호법 제2조에의하면개인정보란살아있는개인에관한정보로서성명, 주민등록번호및영상등을통하여개인을알아볼수있는정보 ( 해당정보만으로는특정개인을알아볼수없더라도다른정보와쉽게결합하여알아볼수있는것을포함한다 ) 를의미한다. 즉, 개인정보 는협의적의미로살아있는개인을식별할수있는정보를의미하지만, 광의적인의미로는당해정보만으로특정개인을알아볼수없는경우에도다른정보와쉽게결합하여개인을알아볼수있는정보들까지포함한다. 115) 본장에서는개인정보를민감도에따라 [ 표 5-1] 과같이세가지기준으로분류하고자한다. [ 표 5-1] 개인정보민감도 개인정보민감도 정의 H M L 개인을식별할수있는정보 개인을식별할수없지만민감한정보 개인을식별할수없고, 민감하지않은정보 제 2 절스마트커뮤니케이션디바이스 (Smart Communication Device) 1. 스마트폰 (1) 서비스개요 115) 개인정보의이해,

스마트폰이란 PDA 등에서제공되던개인정보관리기능과휴대폰의휴대전화기능을결합한휴대용기기이다. 전화기능이탑재된소형컴퓨터라고볼수있는데무선인터넷을이용하여사용자가원하는어플리케이션을이용하면서엔터테인먼트, 전화, 인터넷포탈등과같은서비스를이용할수있는장치이다.

161 스마트폰이란 PDA 등에서제공되던개인정보관리기능과휴대폰의휴대전화기능을결합한휴대용기기이다. 전화기능이탑재된소형컴퓨터라고볼수있는데무선인터넷을이용하여사용자가원하는어플리케이션을이용하면서엔터테인먼트, 전화, 인터넷포탈등과같은서비스를이용할수있는장치이다. (2) 수집되는정보 스마트폰은시공간의제약없이휴대가가능할뿐만아니라, 사용자의편의를위한다양한어플리케이션을제공하기때문에많은양의정보를갖고있다. 스마트폰의서비스흐름도와수집되는정보는 [ 그림 5-1] 과 [ 표 5-2] 에나타나있다. 어플리케이션중에는주소록, 전화번호부, 일정등과같이사생활과관련성이높은서비스들도있다. 이에따라스마트폰에는운영체제사, 통신사, 앱개발사및광고서비스제공회사등많은사업자가스마트폰서비스제공과관련이있으며, 다양한정보를수집, 이용, 저장, 제공하고있다. [ 그림 5-1] 스마트폰의서비스흐름도

162 [ 표 5-2] 스마트폰에서수집되는정보 관리영역 디바이스 Wi-Fi 정보 H: 사진, 동영상, 음성, 신용카드번호, 계좌번호, 전화번호 M: 시청정보, 검색기록, SNS 활동로그, 앱사용내역 L: 제조일자, 일정정보 SSID(Service Set Identifier), 단말기정보 ( 모델, 일련번호, IMEI번호, USIM 번호, 구매년월일, MAC 정보 ) 네트워크 NFC 블루투스 3G/4G NDEF(Next Data Exchange Format) ID, NFC tag SpecificationID, VendorID, ProductID, Version PrimaryRecord, VendorRecord, VendorIDSource MEID(Mobile Equipment Identifier), ESN(Electric Serial Number), MSIN(Mobile Subscriber Identifier Number) 플랫폼 / 서비스 H: 신용카드정보, 발송지주소, 사용자정보 M: 통화기록, 문자메세지 2. 구글글래스 (1) 서비스개요 구글글래스 (Google Glass) 는구글이 프로젝트글래스 (Project Glass) 라는연구개발프로젝트로개발중인제품으로서헤드마운티드디스플레이 (HMD) 가장착된착용컴퓨터이다. 스마트폰과같은핸즈프리 ( 손을쓰지않는 ) 형태로정보를보여주며자연언어음성명령을통해인터넷과상호작용을한다. (2) 수집되는정보 구글글래스는기본적으로구글검색, 사진및동영상촬영, 네비게이션, 이메일전송등의기능을가지고있다. 구글글래스의서비스흐름도와수집되는정보는 [ 그림 5-2] 과 [ 표 5-3] 에나타나있다. 사진및동영상촬영기능이탑재되어있어휴대용 CCTV와같은역할을함으로써사용자가

163 이동하는상황에대한정보수집이가능하다. 또한모든이용자의글래스웨어 사용정보가구글서버인글래스싱크를통해저장됨으로써정보전달이 이루어지며글래스웨어를활용해서이루어지는모든활동들이저장가능하다. [ 그림 5-2] 구글글래스의서비스흐름도예시 [ 표 5-3] 구글글래스에서수집되는정보 관리영역 디바이스 정보 H: 사진, 촬영영상, 음성, 위치정보 M: 촬영한공간정보 L: 예약설정정보, 배터리사용정보, 기기장애이력 네트워크 Wi-Fi 블루투스 SSID(Service Set Identifier), 단말기정보 ( 모델, 일련번호, IMEI번호, USIM 번호, 구매년월일, MAC 정보 ) SpecificationID, VendorID, ProductID, Version PrimaryRecord, VendorRecord, VendorIDSource 플랫폼 / 서비스 H: 사용자정보 M: 엔터테인먼트콘텐츠정보 3. 스마트워치 (1) 서비스개요 스마트워치란일반시계보다향상된기능을장착하고있는임베디드시스템

손목시계이다. 모바일앱 (application) 을구동하여 FM 라디오기능, 오디오나비디오파일재생기능등모바일미디어플레이어기능을수행한다. 또한, 스포츠전용스마트워치에는 GPS 기능과칼로리계산등과같은기능이장착되어있어주로훈련이나다이빙, 야외스포츠활동에사용된다.

164 손목시계이다. 모바일앱 (application) 을구동하여 FM 라디오기능, 오디오나비디오파일재생기능등모바일미디어플레이어기능을수행한다. 또한, 스포츠전용스마트워치에는 GPS 기능과칼로리계산등과같은기능이장착되어있어주로훈련이나다이빙, 야외스포츠활동에사용된다. (2) 수집되는정보 스마트워치는다양한센서가탑재되어있어사용자의건강및운동상태데이터를추적하고감시할수있다. 스마트워치의서비스흐름도와수집되는정보는 [ 그림 5-3] 과 [ 표 5-4] 에나타나있다. 스마트워치는센서, 플렉서블스크린, 무선인터넷으로구성되어있어일상생활을통해발생하는다양한정보를수집하고처리하게된다. 운동종목별이동거리, 걸음수, 심박수측정, 인증정보, 건강상태등과같은개인의민감정보도수집된다. [ 그림 5-3] 스마트워치의서비스흐름도

165 [ 표 5-4] 스마트워치에서수집되는정보 관리영역 정보 디바이스 M: 심전도, 심박동수, 걸음수, 디바이스인증정보 네트워크 Wi-Fi 3G/4G 블루투스 SSID(Service Set Identifier), 단말기정보 ( 모델, 일련번호, IMEI번호, USIM 번호, 구매년월일, MAC 정보 ) MEID(Mobile Equipment Identifier), ESN(Electric Serial Number), MSIN(Mobile Subscriber Identifier Number) SpecificationID, VendorID, ProductID, Version PrimaryRecord, VendorRecord, VendorIDSource 플랫폼 / 서비스 H: 환자의진료기록, 사용자정보 제 3 절 Connected Car 서비스에서수집되는정보분류 1. 블루링크 (1) 서비스개요 현대자동차의블루링크 (BlueLink) 는네비게이션과 IT 기술이연계된커넥티드카서비스이다. 스마트폰애플리케이션을통해차량원격시동, 공조제어가가능하며, 안전보안, 차량관리, 드라이빙, 컨시어지서비스를제공한다. 116) (2) 수집되는정보 블루링크는서비스를제공하기위해차량내에다양한센서들을탑재하여 필요한정보를수집한다. 블루링크의서비스흐름도와수집되는정보는 [ 그림 5-4] 과 [ 표 5-5] 에나타나있다. GPS 를통해위치정보, 주행거리등의정보를 116) 한국방송통신전파진흥원, 커넥티드카 (Connected Car) 의주요사업자동향과서비스보급의선결과제,

166 수집하고, 압력센서와가속도센서를통해평균속도, 최고속도, 공회전시간등의정보를수집한다. 수집된정보들은 Wi-Fi를통해블루링크플랫폼으로전송된다. 블루링크서비스를이용하기위해서는가입시성명, 주소, 전화번호, 결제정보등을수집하는데이러한정보를기반으로하여서비스제공및사용대금청구에이용한다. [ 그림 5-4] 블루링크의서비스흐름도 [ 표 5-5] 블루링크에서수집되는정보 관리영역 디바이스 Wi-Fi 정보 H: 위치정보 M: 주행일자, 주행거리, 운행시간 L: 평균속도, 최고속도, 공회전시간, 주행가감속분포, 차속구간분포, 배터리전압 / 냉각수온도 / 자동변속기오일온도 / 엔진오일온도이상시간, 고장코드, 누적주행거리, 소모품교환 ( 점검 ) 정보 SSID(Service Set Identifier), 단말기정보 ( 모델, 일련번호, IMEI번호, USIM 번호, 구매년월일, MAC 정보 ) 네트워크 블루투스 SpecificationID, VendorID, ProductID, Version PrimaryRecord, VendorRecord, VendorIDSource 3G/4G MEID(Mobile Equipment Identifier), ESN(Electric Serial Number), MSIN(Mobile Subscriber Identifier Number) 플랫폼 / 서비스 H: 성명 ( 법인명 ), 주민 ( 법인 ) 등록번호, 사업자등록번호주소, 전화번호, 이메일, 긴급연락처, 계좌 / 카드번호, 청구주소 M: 차대번호, 차량번호, 보험사, 보험만기일, 차량계약번호 L: 차량모델

167 2. 온스타 (1) 서비스개요 온스타서비스는미국 GM에서제공하는커넥티드카서비스로, 차량사고시실시간응급구조, 도난차량추적및감속등의서비스를제공한다. 117) 또한 GM의중앙콜센터와통신하여차량위치알림, 무선도어잠금알림서비스를애플리케이션을이용하여원격제어가가능하다. 118) (2) 수집되는정보 온스타는서비스를제공하기위해차량내에다양한센서들을탑재하여필요한정보를수집한다. 온스타의서비스흐름도와수집되는정보는 [ 그림 5-5] 과 [ 표 5-6] 에나타나있다. GPS를통해차량의위치정보와주행거리등의정보를수집하고, 압력센서와가속도센서를통해차량속도, 차량충돌정보등을수집한다. 수집된정보들은블루투스와 Mobil의 4G 네트워크를통해온스타의플랫폼으로전송된다. 온스타의서비스를이용하기위해서는가입시이름, 주소, 전화번호, 이메일, 신용카드번호등이수집되는데이러한정보를기반으로하여서비스제공및사용대금청구에이용한다. 117) 커넥티드카서비스의진화방향, ) 한국방송통신전파진흥원, 커넥티드카 (Connected Car) 의주요사업자동향과서비스보급의선결과제,

168 [ 그림 5-5] 온스타의서비스흐름도 [ 표 5-6] 온스타에서수집되는정보 관리영역 디바이스 블루투스 정보 H: 차량위치정보 M: 핸즈프리통화서비스 L: 차량상태, 주행거리, 오일수명, 타이어공기압, 연비정보, 차량에설치된온스타정보 ( 버전정보 ), 차량시동 ON/OFF 정보, 차량충돌정보 ( 충돌방향, 에어백전개정보등 ), 차량속도, 안전벨트사용, 기타차량사용방법에대한정보 SpecificationID, VendorID, ProductID, Version PrimaryRecord, VendorRecord, VendorIDSource 네트워크 3G/4G UE(User Equipment) ID - IMSI(International Mobile Subscriber Identity), GUTI(Globally Uniqeu Temporary Identifier), S-TMSI(SAE Temporary Mobile Subscriber Identity), IP 주소 (PDN 주소 ), C-RNTI(Cell Radio Network Temporary Identifier), UE S1AP(S1 Application Protocol) ID, UE X2AP(X2 Application Protocol) ID ME(Mobile Equipment) ID - IMEI(International Mobile Equipment Identity) 플랫폼 / 서비스 H: 이름, 주소, 전화번호, 이메일, 로그정보, PIN, 번호판, 비상연락정보, 신용카드번호 M: 차량취득정보, 차량식별번호 (VIN) L: 제조사, 차량모델, 차량출시연도

169 제 4 절 Smart Health Care 서비스에서수집되는정보분류 1. 핏빗 (1) 서비스개요 핏빗은손목밴드형헬스케어디바이스로밴드형디바이스를착용함으로써사용자의걸음수, 칼로리소모량, 이동거리, 활동시간, 수면시간및수면효율성정보등을블루투스 (Bluetooth) 를통해사용자의컴퓨터, 스마트기기에서무선으로제공한다. (2) 수집되는정보 핏빗은서비스를제공하기위해디바이스내에다양한센서들을탑재하여필요한정보를수집한다. 핏빗의서비스흐름도와수집되는정보는 [ 그림 5-6] 과 [ 표 5-7] 에나타나있다. GPS를통해위치정보와이동거리등의정보를수집하고, 가속도센서를통해걸음수등의정보를수집한다. 수집된정보들은블루투스를통해연동된스마트폰의핏빗애플리케이션으로전송되어애플리케이션상에서확인이가능하다. 핏빗의서비스가입시이름, 성별, 키, 몸무게등의정보가수집되는데이러한정보를기반으로하여개인화된서비스를제공하는데이용한다

[ 그림 5-6] 핏빗의서비스흐름도 [ 표 5-7] 핏빗에서수집되는정보 관리영역디바이스네트워크블루투스플랫폼 / 서비스 정보 H: 위치정보 M: 이동거리 L: 걸음수, 오른층수, 칼로리소모량, 활동시간 ( 분기준 ), 수면시간, 수면의질, 일어나는시간 SpecificationID, VendorID, ProductID, Version

170 [ 그림 5-6] 핏빗의서비스흐름도 [ 표 5-7] 핏빗에서수집되는정보 관리영역디바이스네트워크블루투스플랫폼 / 서비스 정보 H: 위치정보 M: 이동거리 L: 걸음수, 오른층수, 칼로리소모량, 활동시간 ( 분기준 ), 수면시간, 수면의질, 일어나는시간 SpecificationID, VendorID, ProductID, Version PrimaryRecord, VendorRecord, VendorIDSource H: 이메일주소, 이름, 성별, 키, 생년월일, 몸무게, SNS 프로필사진, 성별, 네트워크, 사용자 ID, SNS 친구목록및기타공개정보 M: 방문한페이지기록 L: 섭취음식, 수면, 섭취수분, 체질량, 브라우저정보, 운영체제정보, 사용자를참조한외부또는내부페이지주소, 계정생성시의 IP 주소, 사용자가핏빗을통해동기화할때마다핏빗모바일앱이구동되는기기의 IP주소 2. NUVANT MCT (1) 서비스개요 코벤티스 (Corventis) 에서는환자의심장에붙여심장운동을감시해알려주는

심장감시기인 NUVANT MCT를개발했다. 환자의심장근처에밴드모양의 PiiX를부착하고환자가기기를작동시키면심전도검사 (ECG) 결과를코벤티스중앙관제센터로보낸다. 뿐만아니라환자의체온, 심장박동, 호흡속도, 체액, 신체움직임과같은생체정보를수집하며, 심장이상이발견될경우환자에게가장적합한의사를추천하여사망확률을최소화시킬수있다.

171 심장감시기인 NUVANT MCT를개발했다. 환자의심장근처에밴드모양의 PiiX를부착하고환자가기기를작동시키면심전도검사 (ECG) 결과를코벤티스중앙관제센터로보낸다. 뿐만아니라환자의체온, 심장박동, 호흡속도, 체액, 신체움직임과같은생체정보를수집하며, 심장이상이발견될경우환자에게가장적합한의사를추천하여사망확률을최소화시킬수있다. 119) (2) 수집되는정보 NUVANT MCT는서비스를제공하기위해부착형디바이스에센서를탑재하여필요한정보를수집한다. NUVANT MCT의서비스흐름도와수집되는정보는 [ 그림 5-7] 과 [ 표 5-8] 에나타나있다. 심박동센서를통해심전도와심박동수등의정보를수집한다. 수집된정보들은 Wi-Fi와블루투스를통해코벤티스중앙관제센터로보내지고, 서비스가입시수집한환자정보및진료기록과같은정보를기반으로하여개인화된서비스를제공하는데이용한다. [ 그림 5-7] NUVANT MCT 의서비스흐름도예시 119) 사물인터넷 (IoT, M2M) 개발동향과시장전망및응용분야별참여업체사업전략

172 [ 표 5-8] NUVANT MCT 에서수집되는정보 관리영역 정보 디바이스 M: 심전도, 심박동수 네트워크 Wi-Fi 블루투스 SSID(Service Set Identifier), 단말기정보 ( 모델, 일련번호, IMEI 번호, USIM 번호, 구매년월일, MAC 정보 ) SpecificationID, VendorID, ProductID, Version PrimaryRecord, VendorRecord, VendorIDSource 플랫폼 / 서비스 H: 환자의진료기록, 청구서발송지주소, 환자정보 M: 심전도검사결과, 해당서비스에가입한의료진리스트및의료진의구체적인전문분야를판단하기위한과거진료내역 3. 헬리어스 (1) 서비스개요 프로테우스바이오메디컬社의헬리어스는알약에 부착하는스마트센서이다. 약이환자의위에도달했을때스마트센서는위액과반응하여패치형수신기에 신호를보낸다. 환자와 담당 의사는 분석한결과를 스마트폰에서확인할 수 있고, 환자상태파악및담당의사의적절한처방이가능하다. 스마트센서를활용한알약의원래목적은환자의복약패턴을모니터링하기 위함이었으나, 그외에도심박동, 체온 등다양한데이터를추적할수 있을 전망이다. 120) (2) 수집되는정보 헬리어스는그자체가알약에부착하는센서로서심박동및온도센서의 기능을하며심박동수, 체온, 복약패턴등의정보를수집한다. 헬리어스의 서비스흐름도와수집되는정보는 [ 그림 5-8] 과 [ 표 5-9] 에나타나있다. 수집된 120) 사물인터넷 (IoT, M2M) 개발동향과시장전망및응용분야별참여업체사업전략

173 정보들은블루투스를통해연동된패치형수신기에전송되어분석되고, 분석결과는스마트폰을통해확인할수있다. 분석결과와서비스이용을위해수집된환자정보및진료기록을토대로하여환자상태를파악하고, 처방을내리는데이용한다. [ 그림 5-8] 헬리어스의서비스흐름도예시 [ 표 5-9] 헬리어스에서수집되는정보 관리영역 디바이스 정보 M: 심박동수, 활동및휴식상태, 센서의고유번호 L: 알약섭취시간 네트워크 블루투스 SpecificationID, VendorID, ProductID, Version PrimaryRecord, VendorRecord, VendorIDSource 플랫폼 / 서비스 H: 이름, 생년월일, 주민등록번호등가입시필요한환 자정보 M: 진료기록, 복약패턴

174 제 5 절 Smart Home Appliances 서비스에서수집되는정보분류 1. 스마트 TV (1) 서비스개요 스마트 TV는기존의 TV와는달리 TV라는디바이스에서인터넷연결을통해검색및블로그나 SNS 사용등다양한서비스를사용할수있다. 그리고스마트폰과연동하여스마트폰에저장된사진이나동영상을 TV 화면으로간편하게옮겨볼수있으며, TV 리모콘없이도간단하게사용자의음성과손동작만으로채널변경, 음량조절, 동영상시작및종료등이가능하다. (2) 수집되는정보 스마트 TV는블루투스를통해연동된스마트폰용셋톱박스를통해사진, 동영상, 음성, 시청정보, 검색기록, SNS 활동로그, 앱사용내역등의정보를수집한다. 스마트 TV의서비스흐름도와수집되는정보는 [ 그림 5-9] 과 [ 표 5-10] 에나타나있다. 수집된정보들은블루투스를통해스마트 TV의플랫폼에전송되어 VOD, 홈쇼핑, 개인화된추천콘텐츠등의서비스를제공한다. [ 그림 5-9] 스마트 TV의서비스흐름도

175 [ 표 5-10] 스마트 TV 에서수집되는정보 관리영역 디바이스 H: 사진, 동영상, 음성 정보 M: 시청정보, 검색기록, SNS 활동로그, 앱사용내역 네트워크 Wi-Fi 블루투스 SSID(Service Set Identifier), 단말기정보 ( 모델, 일련번호, IMEI번호, USIM 번호, 구매년월일, MAC 정보 ) SpecificationID, VendorID, ProductID, Version PrimaryRecord, VendorRecord, VendorIDSource 플랫폼 / 서비스 M: 개인화된추천콘텐츠정보 2. 스마트냉장고 (1) 서비스개요 스마트냉장고는저장하는식품의유통기한관리가가능하며, 냉장고에있는스크린을통해각종요리레시피를제공한다. 그리고소비자가주로구입하는물품을애플리케이션을통해간편하게주문하고다양한상품정보를제공한다. 이외에도실시간날씨, 뉴스등을확인할수있으며, 사용자의스마트폰과연동하여실시간으로일정관리를할수있게해준다. (2) 수집되는정보 스마트냉장고는 Wi-Fi를통해연동된스마트폰의카메라나바코드스캐너를통해구매영수증이나제품바코드를통해구입식품에대한정보를수집한다. 스마트냉장고의서비스흐름도와수집되는정보는 [ 그림 5-10] 과 [ 표 5-11] 에나타나있다. 수집된정보들은 Wi-Fi를통해스마트냉장고의플랫폼에전송되어냉장고안의식품내역을한눈에파악할수있도록활용하고, 냉장고내식품을이용하여만들수있는요리의레시피를제공하는데이용한다

[ 그림 5-10] 스마트냉장고의서비스흐름도예시 [ 표 5-11] 스마트냉장고에서수집되는정보 관리영역 디바이스 정보 H: 신용카드번호, 계좌번호, 사진, 일정정보 L: 냉장고온도, 냉동고의온도, 식재료구입목록, 냉장고내식품목록, 식품구매일자, 유통기한, 메모, 뉴스, 날씨, 일정정보 네트워크 Wi-Fi SSID(Service Set Identifier),

176 [ 그림 5-10] 스마트냉장고의서비스흐름도예시 [ 표 5-11] 스마트냉장고에서수집되는정보 관리영역 디바이스 정보 H: 신용카드번호, 계좌번호, 사진, 일정정보 L: 냉장고온도, 냉동고의온도, 식재료구입목록, 냉장고내식품목록, 식품구매일자, 유통기한, 메모, 뉴스, 날씨, 일정정보 네트워크 Wi-Fi SSID(Service Set Identifier), 단말기정보 ( 모델, 일련번호, IMEI 번호, USIM 번호, 구매년월일, MAC 정보 ) 플랫폼 / 서비스 L: 냉장고내식품을이용한요리법, 보관된식품의 3D 이미지, 구매대행 3. 스마트세탁기 (1) 서비스개요 스마트세탁기에는 NFC 기능이탑재되어있어전용애플리케이션및스마트폰연결을통해세탁기이상유무점검및세탁코스다운로드등의다양한스마트기능을사용할수있다. 애플리케이션에서세탁기의원격제어가가능하고, 음성으로세탁기를실행할수도있다. 스마트미터기가설치되어

177 있다면전기요금이적은절전시간을확인해추천해주는스마트절전기능도 제공해준다. 121) (2) 수집되는정보 스마트세탁기는디바이스에마이크가내장되어있어음성정보를수집하고, 스마트폰을태그하여업데이트되는정보를다운로드받을수있다. 스마트세탁기의서비스흐름도와수집되는정보는 [ 그림 5-11] 과 [ 표 5-12] 에나타나있다. 수집된음성정보와수집된음성정보로세탁기를작동시킬수있고, 스마트폰을 NFC 리더기에태그하여세탁기점검및세탁코스를다운로드받을수있다. [ 그림 5-11] 스마트세탁기의서비스흐름도예시 121) LG 전자 ( 검색일 : )

178 [ 표 5-12] 스마트세탁기에서수집되는정보 네트워크 관리영역 디바이스 정보 M: 전기요금패턴정보 L: 사용하는세탁코스, 음성정보, 기기오류정보 SSID(Service Set Identifier), 단말기정보 ( 모델, 일련번 Wi-Fi 호, IMEI번호, USIM 번호, 구매년월일, MAC 정보 ) NFC NDEF(Next Data Exchange Format) ID, NFC tag 플랫폼 / 서비스 H: 메일주소, 스마트폰연동서비스 ID/PW 4. 로봇청소기 (1) 서비스개요 스마트청소기는음성명령을통한원격제어서비스가가능하며스마트청소기에내장되어있는천장영상인식기술로집구조를파악하여청소를할수있다. 스마트청소기제품중 삼성스마트탱고뷰 의경우네트워크보안을위해해당기기만을위한별도의 AP(Access Point) 의설치가필요하다. (2) 수집되는정보 로봇청소기는디바이스의카메라를통해사진, 동영상정보를수집하고, 마이크를통해음성정보, GPS를통해디바이스이동경로등의정보를수집하며, 장애물센서를통해청소기진로를막는장애물을인식한다. 로봇청소기의서비스흐름도와수집되는정보는 [ 그림 5-12] 과 [ 표 5-13] 에나타나있다. 수집된사진과동영상정보를통해비어있는집의상태를관찰할수있고, 장애물센서로장애물의위치를파악하여장애물을피하여이동하며청소를하는데이용한다

179 [ 그림 5-12] 로봇청소기의서비스흐름도예시 [ 표 5-13] 로봇청소기에서수집되는정보 네트워크 관리영역 디바이스 Wi-Fi 정보 H: 영상, 음성 M: 집구조정보 L: 청소시간예약설정정보, 배터리사용정보, 기기장애이력, 디바이스이동경로 SSID(Service Set Identifier), 단말기정보 ( 모델, 일련번호, IMEI번호, USIM 번호, 구매년월일, MAC 정보 ) 플랫폼 / 서비스 H: 주소, 신용카드번호, 계좌번호 제 6 절 Smart City/Building/Grid 서비스에서수집되는정보분류 1. 스마트시티 (1) 서비스개요 스마트시티는특정서비스나플랫폼이아닌, 도시거주민대상또는도시

180 행정의효율성을높일수있는다양한서비스와기술을망라한것이라할수 있다. 122) 스마트시티의구성요소중대표적인것중하나가스마트클린이다. 스마트 클린은 RFID를기반으로한도시의음식물쓰레기종량제를위한계량기기설치 및관제서비스이다. 사용자가음식물쓰레기를배출할때 RFID 카드인식을 통해사용자인증을하고이때배출하는음식물쓰레기의무게를측정한후 배출량과 결제 정보를 중앙 시스템에 전송한다. 중앙시스템에서는 입력된 데이터를기반으로 사용자의 관리비에 음식물 쓰레기 처리 비용을 합산하여 청구하게된다. 123) (2) 수집되는정보 스마트클린에서는무게센서를통해쓰레기의무게정보를수집하고, NFC 인식센서를통해 NFC 카드의정보를수집한다. 스마트클린의서비스흐름도와수집되는정보는 [ 그림 5-13] 과 [ 표 5-14] 에나타나있다. NFC 카드의태그를통해수집한정보와쓰레기의무게정보를종합하여비용을산출하고, 중앙시스템에입력되어있던주소및결제정보를이용하여비용을부과한다. 122) 한국방송통신전파진흥원, 전세계주요국의스마트시티추진사례분석, )

[ 그림 5-13] 스마트클린의서비스흐름도예시 [ 표 5-14] 스마트클린에서수집되는정보 관리영역 디바이스 M: 주소 ( 아파트동, 호수 ) L: 음식물쓰레기중량 정보 RFID RFID tag 네트워크 Mobile UE(User Equipment) ID - IMSI(International Mobile Subscriber Identity),

181 [ 그림 5-13] 스마트클린의서비스흐름도예시 [ 표 5-14] 스마트클린에서수집되는정보 관리영역 디바이스 M: 주소 ( 아파트동, 호수 ) L: 음식물쓰레기중량 정보 RFID RFID tag 네트워크 Mobile UE(User Equipment) ID - IMSI(International Mobile Subscriber Identity), GUTI(Globally Uniqeu Temporary Identifier), S-TMSI(SAE Temporary Mobile Subscriber Identity), IP 주소 (PDN 주소 ), C-RNTI(Cell Radio Network Temporary Identifier), UE S1AP(S1 Application Protocol) ID, UE X2AP(X2 Application Protocol) ID ME(Mobile Equipment) ID - IMEI(International Mobile Equipment Identity) 플랫폼 / 서비스 H: 납부자번호, 이름, 주소 ( 아파트동, 호수 ), 생년월일, 휴대전화번호, , 계좌번호, 신용카드번호 2. 스마트빌딩 (1) 서비스개요

182 스마트빌딩이란건축, 통신, 사무자동화, 빌딩자동화등의 4가지시스템을유기적으로통합하여첨단서비스기능을제공함으로써경제성, 효율성, 쾌적성, 기능성, 신뢰성, 안전성을추구하는빌딩으로건물의냉 / 난방, 조명, 전력시스템의자동화와자동화재감지장치, 보안경비, 정보통신망의기능과사무능률및환경을개선하기위한사무자동화를홈네트워크로통합한고기능첨단건물이다. 124) (2) 수집되는정보 빌딩출입통제, 침입탐지시스템에서는빌딩내다양한센서를통해정보를수집한다. CCTV와같은카메라, 마이크를통해영상및음성정보를수집하고, 화재감지기를통해온도나연기여부를인식하고, 지문인식센서를통해개인의지문정보를수집한다. 빌딩출입통제, 침입탐지시스템의서비스흐름도와수집되는정보는 [ 그림 5-14] 과 [ 표 5-15] 에나타나있다. 수집되는정보는 Wi-Fi를통해중앙관제시스템에보내진다. 영상및음성정보를통해외부인침입을탐지하고, 도난및사고의위험을감지하며, 온도및연기여부를인식하여화재의위험에대비한다. 수집한지문정보는시스템에입력된개인정보와대조하여출입이허가된사람에게출입을허용하는데이용한다. 124) 한국정보통신기술협회, 스마트빌딩구축관련표준화,

[ 그림 5-15] 빌딩출입통제, 침입탐지시스템의서비스흐름도예시 [ 표 5-16] 빌딩출입통제, 침입탐지시스템에서수집되는정보 관리영역 디바이스 정보 H: 사진, CCTV 영상, 음성, 지문정보, 위치정보 M: 출근시간, 퇴근시간 네트워크 Wi-Fi SSID(Service Set Identifier), 단말기정보 ( 모델, 일련번호, IMEI 번호,

183 [ 그림 5-15] 빌딩출입통제, 침입탐지시스템의서비스흐름도예시 [ 표 5-16] 빌딩출입통제, 침입탐지시스템에서수집되는정보 관리영역 디바이스 정보 H: 사진, CCTV 영상, 음성, 지문정보, 위치정보 M: 출근시간, 퇴근시간 네트워크 Wi-Fi SSID(Service Set Identifier), 단말기정보 ( 모델, 일련번호, IMEI 번호, USIM 번호, 구매년월일, MAC 정보 ) 플랫폼 / 서비스 H: 이름, 전화번호, 부서, 사원번호, 출근시간, 퇴근시 간, 권한정보 3. 스마트미터 (1) 서비스개요 스마트미터는일반적으로 에너지사용량을실시간으로계측하고통신망을통한계량정보제공으로가격정보에대응하여수용가에너지사용을적정하게제어할수있는기능을갖춘디지털전자식계량기 로정의되고있다. 스마트미터는시간대별전력사용량을측정하여그정보를송신할수있는전자식전력량계를말하며, 공급자와소비자를정보통신으로연결하여전력의소비와

공급의효율적관리를지원해주는지능형전력시스템이다. 125) (2) 수집되는정보 스마트미터는전압 / 전류센서를통해전력사용량, 전류정보, 전압정보등을수집하고, 온도센서를통해디바이스의온도등을수집한다. 스마트미터의서비스흐름도와수집되는정보는 [ 그림 5-16] 과 [ 표 5-17] 에나타나있다.

184 공급의효율적관리를지원해주는지능형전력시스템이다. 125) (2) 수집되는정보 스마트미터는전압 / 전류센서를통해전력사용량, 전류정보, 전압정보등을수집하고, 온도센서를통해디바이스의온도등을수집한다. 스마트미터의서비스흐름도와수집되는정보는 [ 그림 5-16] 과 [ 표 5-17] 에나타나있다. 수집되는정보는 Zigbee와 Wi-Fi를통해중앙시스템으로전송된다. 실시간으로계측된에너지사용량에따라가격정보가조절되고실시간가격정보, 전력사용량, 거주지주소등을통해전기요금을산출해부과하는데이용한다. [ 그림 5-16] 스마트미터의서비스흐름도예시 125) 한국그린비즈니스협회, 스마트미터시장의주요동향및전망,

185 [ 표 5-17] 스마트미터에서수집되는정보 관리영역 디바이스 정보 M: 고객번호, 전력사용량, 측정기지시값, 전기요금, 관리번호, 수용가번호, 사용시간 L: 주파수, 역송전값, 정전정보, 전류정보, 전압정보, 사용되는기기의전류정보, EMS 정보, 스마트미터고장정보, 온도, 기기상태 Zigbee Zigbee Tag 네트워크 Wi-Fi SSID(Service Set Identifier), 단말기정보 ( 모델, 일련번호, IMEI 번호, USIM 번호, 구매년월일, MAC 정보 ) 플랫폼 / 서비스 H: 이름, 주민등록번호, 거주지주소, 연락처 M: 전력사용량, 전기요금, 사용시간 L: 정전정보, 전류정보, 전압정보, 사용중인가전제품전류정보, 스마트미터고장정보, 온도, 기기상태

186 제 6 장개인정보위험분석프레임워크 제 1 절위험분석의필요성 급변하는정보화사회는다양하고심각한보안위협을내포하고있다. 최근에는이러한보안위협이점차전문화, 고도화되고, 복합해지면서보안사고도 IT 인프라에관련한사고에서특정정보 ( 개인정보, 기업비밀정보등 ) 에대한사고로변화하고있다. 최근에는시스템, 웹서비스등의기술적보안취약점을이용한해킹으로기업내부의정보를유출하거나개인금융정보를도용하여금전적이득을취하는것을넘어, 기업의업무연속성을파괴하는 DDoS(Distributed Denial of Service) 126), Mass SQL Injection 127) 과같은공격으로발전하고있다. 또한해커들의공격방식이점점전문화, 고도화되고, 다양한기능을포함한악성코드및해킹툴들이나타나고있다. 이로인해대량의고객정보를해킹하여조직적인판매활동을하는경우도증가하고있다. 최근의보안위협은크게 2가지로변화하고있다. 첫째는, 과거자신의실력을과시하기위한단순한공격위협에서, 경제적이익을위한조직적, 계획적인범죄로변화하고있다. 둘째는, 해킹기법을공유하여쉽게접근가능하고, 공유된해킹기법을발전시켜또다시공유하는방식으로확대되어재생산되고있다는점이다. 이러한공격목적의변화와공격기법확대및고도화에따라보안사고가발생할경우, 치명적이고거대한피해가발생할가능성이증가한다. 정보사회에서이러한위협의변화에따라보안위협에대한대응방법이변화하고있으며, 최근에는법적, 제도적요구강화및위험증가에따라보다체계적이고종합적인위험대응의필요성이증가하고있다. 이에따라해킹, DDoS 공격등지속적인사이버위협에대응하고, 법 제도적요구에대한 126) 해킹방식중하나로여러공격자를분산배치하고동시에서비스거부공격을실행하여시스템이정상적으로서비스를제공하지못하도록하는것 127) 해킹방식중하나로보통데이터베이스접속을통해 SQL injection 을시도하는것과대조적으로툴을이용하여한번의공격으로다량의코드를삽입하여다량의데이터베이스값을변조시켜웹사이트에치명적인영향을미치는것

187 준수 (Compliance) 수준을결정하고, 비즈니스위험으로서의보안위험을식별하며대응수준을결정하는것등이중요한요구사항으로대두되고있다. 또한궁극적으로보호해야할대상이서버, 네트워크등의 IT 인프라가아닌정보, 사람이므로위험분석기법역시전통적인위험분석기법외에사람중심, 정보중심의위험분석으로진화할것이다. 128) 제 2 절 IT 위험분석프레임워크 1. 위험과 IT 위험 위험이란 좋지않은일이생길우려가있어위태롭고험악하다 는의미이다. 더욱구체적으로, 생길우려 라는불확실성 ( 발생가능성 ) 과 좋지않은일 이라는손실 ( 영향력 ) 이라는두개의개념을내포하고있다. 129) IT 위험 (Information Technology risk, or IT risk) 이란정보기술 (Information Technology) 과관련한위험을의미한다. IT 위험이라는용어자체는상대적으로새로운개념인데, 정보보안 (Information Security) 이다양한측면의위험중에서단지하나의측면에불과할뿐이며, IT와관련된영역이라는생각에기인한다. 일반적으로, 위험은사건발생가능성과그사건이정보기술자산에미치는영향력의조합으로정의된다. 반면, 정보자산에미치는사건의영향력은자산이가지는취약성과그자산이이해당사자에게준하는가치의조합으로정의된다. 그리고발생가능성은특히 IT 위험영역에서위협으로서표현될수있다. 따라서위험과 IT 위험은아래와같이정리될수있다. 130) 위험 (Risk) = ( 발생가능성, 영향력 ) IT 위험 (IT Risk) = ( 위협, 취약성, 자산가치 ) 128) 인포섹 ( 주 ), 위험분석기법과보안컨설팅동향 (2008) 129) 김연종, 안상현, 조현춘, Chemical Industry and Technology, 가스시설의위험성평가기법및적절한기법의선택을위한고려사항 (1996) 130)

188 2. IT 위험분석프레임워크개요 일반적으로 IT 위험관리에서위험분석이란정보시스템의위험을평가하고, 비용효과적으로보호대책을마련하기위해수행하는 IT 보안관리 (IT Security Management) 의필수과정에속하는절차이다. 위험분석의목적은보호대상의위험을측정하고, 측정된위험이허용가능한수준인지판단할수있는근거를제공하는것이다. 위험분석을효과적으로수행하기위해서는 ( 그림 6-1) 과같이먼저보호대상의중요도를파악하여위험분석범위와수준을결정하기위해사전위험분석을시행해야한다. 사전위험분석이란상위수준에서상세위험분석이필요한고위험의보호대상또는서비스를식별하는것을말한다. 위험분석수준에따라서수행절차의복잡성과시간및인력소모가달라지므로, 시스템환경에맞는위험분석수준을선택하는것이중요하다. 사전위험분석을통해위험분석의수준을기본통제방식으로할것인지, 상세위험분석으로할것인지를결정해야한다

189 ( 그림 6-1) 위험분석모델 기본통제방식은최소의보안대책을수립하는방식으로위험분석시행에드는자원과비용이거의없다. 이는보안대책의실행에드는시간과노력이최소화되는장점이있으나기본통제의수준이너무낮으면취약성을그대로노출시킬수있다는단점이있다. 기본통제는국내외표준기관이나, 산업계표준기관에서발행하는문서, 서비스규모또는유형이유사한기관에서작성된자료들을이용할수있다. 물론자체적으로서비스환경에맞는기본통제를도출해낼수도있다. [ 표 6-1] 은기본통제의적용예이다

190 [ 표 6-1] 기본통제의적용예 분류중요도기본통제대분류소분류상하 소프트논리적웨어통제통제 1. 중요프로그램의접근통제가이루어지고있는가? 2. 모든사용자들이사용자 ID를가지고있는가?... 보안목적기무가 밀성 결성 용성 물리적 통제 시설물 접근 통제 1. 카드를이용한접근통제가이루어지고있는가? 2. 출입기록의유지가잘되고있는가?... 상세위험분석방식은보호대상의중요도가높거나가치가클경우적용하게된다. 자산분석, 위협분석, 취약성분석, 대응책분석을통해위험을산출하는일련의과정을상세위험분석이라고한다. 일반적으로위험분석을수행한다고함은상세위험분석을수행함을말한다. 131) 사물인터넷환경에서의위험분석프레임워크란향후사물인터넷서비스가상용화되어보급되었을때발생할수있는여러위험을사전에인지하고이를위한대안을도출할수있는프로세스를의미한다. 현재까지위험분석프레임워크는주로정보시스템, 금융등의분야에서각특성에맞게개발되었으나상호간복합적으로사용하는데는한계가있다. 따라서본보고서에서는기존의위험분석프레임워크들의장 / 단점을분석하여사물인터넷환경에적합한프레임워크를제시하고자한다. 131) 한국정보통신기술협회, IT 서비스위험분석방법 (2008)

191 제 3 절기존위험분석프레임워크 1. NIST SP800-30:2002 미국표준기술연구소 (National Institute of Standards and Technology, NIST) 는미국상무부기술관리국산하의각종표준을담당하는기관이다. (NIST가하는일 ) NIST SP800-30은비용효과적인정보보호통제를선택하는데필요한방법을제시하는것을목표로작성한표준화문서이다. NIST SP800-30은조직의임무를성공적으로수행하기위한효과적인위험관리프로그램을수립하는데참고자료로서사용될수있도록작성되었다. 위험평가는 NIST SP800-30에서제시하는위험관리단계중첫번째단계이다. 위험평가는다음의 9단계로이루어져있다. 132) 1 단계는시스템특성정의단계이다. 이단계에서는관리대상이되는시스템의경계와그특성을정의한다. 2 단계는위협식별단계이다. 이단계에서는시스템에가해진공격에대한과거기록을바탕으로위협을명시화한다. 3 단계는취약성식별단계이다. 이단계에서는보안요구사항및보안검사를통해얻어진데이터를바탕으로어떤잠재적취약성이있는지식별하여목록으로만든다. 4 단계는통제분석단계이다. 이단계에서는현재통제분석단계에서계획하고있는목록을정리한다. 5 단계는공산도 ( 발생가능성 ) 정의단계이다. 이단계에서는존재하는위협의특성을파악하여위험의발생가능성을측정한다. 6 단계는영향력분석단계이다. 이단계에서는위험으로인한정보보안의손실을측정한다. 7 단계는위험성정의단계이다. 이단계에서는위험의발생가능성과그영향력을바탕으로위험의정도를위험레벨로나타내는과정을거친다. 8 단계는관리법제시단계이다. 이단계에서는앞의단계들을바탕으로해당조직에게적절한관리법을제시한다. 9 단계는문서화단계이다. 이단계에서는위험평가전체진행상황에대한보고서를 132) NIST, Risk Management Guide for Information Technology Systems(2002)

192 작성한다. 133) 본보고서에서는위험평가에필요한 9 단계중에서위험평가프레임워크에필요한위험측정방법을제시하고있는 5 단계인공산도 ( 발생가능성 ) 정의단계부터 7 단계인위험성정의단계까지의내용을구체적으로살펴보고자한다. 공산도 ( 발생가능성 ) 정의단계에서는위협이일어날수있는발생가능정도를세단계의등급 ( 높음, 중간, 낮음 ) 으로평가한다. 영향력분석단계에서는실제로위협이발생하였을때나타날수있는영향력을세단계의등급 ( 높음, 중간, 낮음 ) 으로평가한다. 종합적인위험의정도를결정하기위한위험성정의단계에서는앞의단계에서측정된공산도와영향력을각각수치화하여서로곱한값을 위험도 라정의하고, 그값에따라위험도를세단계 ( 높음, 중간, 낮음 ) 로분류한다. 이에대한구체적인내용은다음과같다. (1) 위험측정 1 5단계 공산도 ( 발생가능성 ) 정의 5 단계에서는위협의발생가능성을 높음, 중간, 낮음 의세단계로분류하고있다. 높음과낮음의차이는보호해야하는자산이얼마나위협의동기를불러일으키는지와공격의가능성및관리의취약성에따라결정되는것을의미한다. 각단계에대한정의가아래 [ 표 6-2] 에정리되어있다. 134) 133) NIST, Risk Management Guide for Information Technology Systems(2002) 134) NIST, Risk Management Guide for Information Technology Systems(2002)

193 [ 표 6-2] 발생가능성수준및정의 발생가능성높음중간낮음 정의 - 위협의주체가강한동기를갖고있으며, 충분한역량을가지는경우 - 노출되는취약점을예방하기위한통제조치는효력을발휘하지못하는경우 - 위협의주체가동기와역량을가지고있지만, 통제조치를통해취약성의노출을막을수있는경우 - 위협주체의동기또는역량이미흡한경우 - 통제조치를통해취약성의노출을현저하게막거나예방할수있는경우 2 6단계 영향력분석 6 단계에서는위협의영향력을 높음, 중간, 낮음 의세단계로분류하고있다. 높음과낮음의차이는위협이발생했을시손실되는자산의가치와해당기관의평판, 목적, 이익의손실정도, 그리고직접적인인적피해의크기에따라결정된다. 각단계에대한정의가아래 [ 표 6-3] 에정리되어있다. 135) [ 표 6-3] 영향도수준및정의 영향도높음중간낮음 정의 - 노출된취약성이중요한유형자산또는자원의큰손실을가져올수있는경우 - 조직의임무, 명성, 또는이익을위반허간, 해치거나, 방해할수있는경우, 또는인간의죽음또는심각한상해를가져올수도있는경우 - 노출된취약성이유형자산또는자원의손실을가져올수있는경우 - 조직의임무, 명성, 이익을위반하거나, 해치거나, 방해할수있는경우, 또는인간에게상해를입힐수있는경우 - 노출된취약성이몇몇유형자산의손실을가져올수있는경우 - 두드러지게조직의임무, 명성, 이익에영향을미칠수있는경우 135) NIST, Risk Management Guide for Information Technology Systems(2002)

194 3 7단계 위험성정의 7 단계에서는위협의발생빈도와영향력의높고낮음에따라각각점수를부여하여, 둘을곱한값이위험성을나타내도록정의한다. 그리고계산된점수에따라위험성을 높음, 중간, 낮음 의세단계로분류하였다. 각분류의정의에는단계에따른필요조치를포함한다. 이에대한내용이 [ 표 6-4] 와 [ 표 6-5] 에각각나타나있다. 136) [ 표 6-4] 위험성측정방법영향도 발생가능성 낮음 (10) 중간 (50) 높음 (100) 높음 (1.0) 낮음 중간 높음 중간 (0.5) 낮음 중간 중간 낮음 (0.1) 낮음 낮음 낮음 위험성 : 높음 (50 초과 100 이하 ), 중간 (10 초과 50 이하 ), 낮음 (1 이상 10 이하 ) [ 표 6-5] 위험성수준및정의와그에따른필요조치 위험성높음중간낮음 위험성에따른정의및필요조치발견된사항이높은위험으로평가될경우, 관리시스템의수정이요구되며우선적으로기존시스템을유지하되, 교정을위한조치가가능한빠르게이루어져야함발견된사항이중간정도의위험으로평가될경우, 교정조치를취할필요가있고합리적인기간내에이러한조치를통합하려는계획이수립되어야함발견된사항이낮은위험으로평가될경우, 시스템의 DAA가수정될필요가있는지혹은위험을감수할것인지를결정해야함 136) NIST, Risk Management Guide for Information Technology Systems (2002)

195 (2) 위험분석프레임워크의적합성평가 NIST SP800-30의 5 단계부터 7 단계를통해이루어지는위험평가방법에서는시스템의취약성과위협의대상이되는자산을평가하여그에대한영향력을고려한설계방법을사용하였다. 사물인터넷환경에서개인정보위험을평가하기위해서는위협의대상이되는개인정보에대한민감도가필수적인요소로고려되어야한다는점에서 NIST SP800-30의위험평가방법을참고할수있다. 하지만 NIST SP800-30과는달리, 사물인터넷은아직시장에서활성화되지않고있어수집할수있는취약성에대한기존자료수집이어렵다는점에서사물인터넷디바이스의위험을평가하기에는부적절한것으로판단된다. 또한 NIST SP800-30에서는위협에따른영향력을평가하는기준으로손실되는자산의가치와해당기관의평판, 목적, 이익의손실정도, 그리고직접적인인적피해의크기에따라그수준을결정하는데평판, 이익의손실정도라는항목은사물인터넷환경에서개인정보의위험평가에는기존의취지와다소벗어난부분이있기때문에위험평가에적용하기에는부적합하며, 평가의기준이되는정의부분에서일부수정이필요하다고판단된다. 2. KS X ISO/IEC )138) KS X ISO/IEC 27005는정보보안위험관리 (Information Security Risk Management, ISRM) 의국제표준인 ISO/IEC 27005를기반으로기술적내용및국제기준을유지하면서마련한한국산업표준이다. KS X ISO/IEC 27005의위험분석프레임워크의목적은위험평가를시행하고적절한통제항목을구현하여해당조직에적합한위험관리체계를구축하도록구체적인활동과구현지침을제공하는데있다. KS X ISO/IEC 27005의위험분석프레임워크에서는상황설정, 위험평가, 위험처리, 위험수용, 위험정보교환, 위험모니터링및검토라는총여섯단계의프로세스로 137) 138)

196 이루어져있다. 상황설정단계에서는위험분석을위해기본이되는기준의수립과위험분석의범위및경계를설정하는것을주목적으로한다. 위험평가단계에서는상황설정단계에서수립된기준에따라위험을평가하는과정을말한다. 위험평가단계는위험식별, 위험산정, 위험수준평가라는세부과정으로나뉘게된다. 그후위험처리단계를통해평가된위험을어떻게처리할것인가를결정하고, 처리된위험이수용할수있는수준이라는것이증명되면위험수용단계를거쳐수용된위험에대한사항을명시하고해당위험에대한처리과정을종료한다. 그리고위험정보교환단계와위험모니터링및검토과정은위험분석프레임워크전체에걸쳐일어나며, 위험프로세스진행과정을지원하기위해존재한다. 위의위험분석프로세스의각단계는다시입력, 활동, 구현지침, 출력의네단계의프로세스를통해각각이이루어진다. 입력은해당단계를수행하는데필요한정보를뜻한다. 활동은해당단계에서수행할행위에대한명시로정의된다. 구현지침단계에서는활동단계에서명시한목적을수행하는데필요한고려사항을구체적으로명시한다. 출력은단계수행후의결과물을의미한다. KS X ISO/IEC 27005의위험분석프로세스에서위험평가및위험처리단계는반복적으로일어날수있다. 위험평가단계에서결과로도출된위험평가에대한정보가위험처리단계를수행하기위한충분한정보를제공하지못할경우, 위험처리단계에서해당위험에대한적절한위험처리가진행되기어렵다. 이러한경우에는첫단계인상황설정단계로돌아가평가기준및위험의범위를다시설정하여새롭게위험분석을진행할수있다. 또한위험처리단계에서처리된위험이수용할수있는기준이하로측정되지못한경우에도프로세스의반복이일어날수있는데, 이때는위험처리단계로다시돌아가적합한처리방식을다시선정하는방법을취할수있다. 위험에대한평가및수용기준이부적합하다고판단되는경우에는첫단계인상황설정단계로돌아가평가및수용기준을수정하여프로세스를다시시작하는방법을택할수도있다

197 위험평가단계와위험처리단계에서이루어지는이러한반복프로세스를 통하여위험평가및위험처리가적절한수준으로행해지게된다. 이에대한 전반적인프로세스는 ( 그림 6-2) 에도식화되어있다. ( 그림 6-2) KS X ISO/IEC 위험분석프로세스 각단계에서의수행에대한설명은다음과같다. (1) 위험분석프로세스 1 상황설정

198 상황설정단계를수행하기위해필요한정보에는위험관리상황설정에필요한조직에대한모든정보가포함된다. 이단계에서는위험관리를위한상황을설정하는것을목표로한다. 상황설정단계에는위험관리를위해필요한기본적인기준의수립, 범위와경계를정의, 위험관리를위한조직결성이주요활동이된다. 각활동을수행하는데있어필요한구현지침으로다음의요소가적절히고려하여야한다. 먼저, 위험관리를위해필요한기본적인기준에는위험평가기준, 영향기준, 위험수용기준이있다. 첫째, 위험을평가하기위한기준을적립할때에는위험에의해영향받을수있는업무프로세스의중대성, 관련정보자산의수준, 법규정요구사항및계약요구사항등이고려되어야한다. 둘째, 영향기준을개발하고정보보안사건으로인해발생하는조직에대한피해또는비용의정도를파악하는단계에서는위험에영향을받을수있는정보자산의등급수준, 정보보안의 3요소 ( 비밀성, 무결성, 가용성 ) 를위반하고있는지를검토, 업무프로세스 ( 내부또는제3자 ) 의손상등이고려되어야한다. 셋째, 적절한위험수용수준을정의하기위해서는업무기준, 법및규정측면, 사회적요인및인적요인등이고려되어야한다. 위험분석을위해서는분석대상의범위와경계를정의해야한다. 이를위해고려해야할사항으로는조직의업무목표, 전략및정책, 조직의기능및구조, 조직에적용될수있는법, 규정및계약요구사항, 조직의정보보안정책등이있다. 위험관리에필요한기준과분석대상의범위와경계를정의한후에는위험관리를위한조직을결성해야한다. 결성된조직의주된역할과책임으로는조직에적합한위험관리프로세스의개발, 이해관계자의식별및분석, 조직의모든내 / 외부당사자의역할과책임정의, 모든관련된프로젝트또는활동에대한인터페이스, 의사결정경로정의등이있다. 2 위험식별 위험식별단계에서는잠재적손실을일으킬수있는요소를식별하고그 손실에대해가능한방법, 대상, 이유에대한통찰을얻는것을목표로한다

199 위험식별은자산식별, 위협식별, 기존체제식별, 취약성식별, 결과식별의다섯가지요소로분류할수있다. 첫째, 자산식별단계를수행하기위해필요한정보에는위험평가의범위및경계, 자산의소유자리스트, 식별대상리스트, 해당자산의기능에관한정보가포함된다. 자산식별단계는정해진범위내의자산식별을목표로한다. 자산식별수행시에는각자산에대한소유자식별, 위험평가를위한정보제공의목적을가지고서적절하게상세한수준으로자산이식별되어야한다. 그수준은위험평가프로세스가반복될때다시조정되어질수있다. 일반적으로자산은중요자산과업무지원을위한모든유형의자산, 두가지종류로구분할수있다. 중요자산은업무프로세스및활동과조직내정보와관련된자산이다. 업무지원을위한모든유형의자산에는하드웨어, 소프트웨어, 네트워크, 인력, 물리적장소등이있다. 둘째, 위협식별단계를수행하기위해필요한정보에는사고검토, 자산소유자, 내부및외부위협기록으로부터획득한위협과관련된정보가있다. 위협식별단계는위협과그원천을식별하는것을목표로한다. 위협식별수행시에는다음사항을고려해야한다. 먼저, 위협은우연히혹은의도적으로발생할수있으므로, 우연적인위협과의도적인위협에대한원천모두가식별되어야한다. 그리고위협이되는대상을구체적으로선정한다. 이는발생가능한위협모두를포괄할수없으므로업무프로세스에방해되지않는적정수준에서범위의설정이이루어져야한다는것을의미한다. 또, 위협은유형별로식별하여야한다 ( 예 : 승인되지않은활동, 물리적피해, 기술적고장 ). 마지막으로, 위협식별을할때는과거기록을참조하되, 업무환경이나정보시스템환경등에의해위협이변할수있다는것을고려해야한다. 셋째, 기존체제식별단계를수행하기위해필요한정보에는문서화된통제체제, 위험처리구현계획을포함한다. 기존체제식별단계는기존체제및계획된통제체제를식별하는것을목표로한다. 기존체제식별수행시에는다음사항을고려해야한다. 먼저, 정책중복을피하기위해기존체제의식별이우선적으로이루어져야한다. 또한기존체제를식별하면서그체제가정확하게동작하는지를보장하기위한검사를수행해야한다. 그리고기존

200 체제가발생가능한위협과취약성에얼마나효과적으로사용될수있는지를평가하는것이중요하다. 또, 기존체제정보를명시한문서검토도필요하며, 정보보안책임자들과실제작업자들이기존및계획된체제에관해토론을통하여검토해야한다. 마지막으로내부감사결과에대한검토가이루어져야한다. 넷째, 취약성식별단계를수행하기위해필요한정보에는기존에파악된위협에대한목록, 자산과기존체제목록이있다. 취약성식별단계는현체제가가지는취약성을식별하는것을목표로한다. 취약성검토영역으로는프로세스및절차, 일반적인경영활동, 직원, 물리적환경, 정보시스템구조, 하드웨어, 소프트웨어또는통신장비, 외부당사자에대한의존도등이있다. 기술적취약성분석방법에는자동화된취약성점검도구, 침투시험, 코드검토등이포함된다. 취약점의존재는그자체로는피해를발생시키지않지만, 이를인지하고모니터링하는것이필요하다. 다섯째, 결과식별단계를수행하기위해필요한정보에는자산목록, 업무프로세스목록, 위협및취약성목록, 자산및업무프로세스와위협및취약성의관련성에대한정보가포함된다. 결과식별단계는비밀성, 무결성, 가용성의손상이자산및업무프로세스에미치는영향력을식별하는것을목표로한다. 결과식별단계수행시에는조사및복구시간, 업무프로세스중단에대한손실, 기회비용, 인명피해및그들의건강에대한손실, 피해복구의금전적비용등을고려하여야한다. 3 위험산정위험산정방법은상황에따라정량적이거나정성적일수있고, 이들의조합이될수도있다. 정성적산정은위험수준의일반적인지표를얻고주요한위험을드러내기위해우선으로사용된다. 그후중요한위험에대한더구체적이거나정량적인분석을시행하는것이필요할수있다. 보통정성적인분석을수행하는것이정량적인분석보다덜복잡하고비용이적게들기때문이다

201 정성적산정은잠재적결과의규모와그결과가발생할가능성을설명하기위해정성적인속성의척도를사용한다 ( 예 : 낮음, 중간, 높음 ). 정성적산정의이점은사람들이이해하기쉽다는것이며, 단점은척도의주관적선택에종속된다는것이다. 정량적산정은결과와발생가능성모두에대해 ( 정성적산정에서사용한설명적척도대신 ) 다양한근거로부터의데이터를이용한숫자값의가치척도를사용한다. 분석의품질은숫자값의정확성과완전성, 그리고사용된모델의정당성에달려있다. 정량적산정은대부분의경우과거의사고데이터를사용하여조직의정보보안목적과관심대상에직접연관된다는장점을제공한다. 하지만그러한데이터가부족하거나새로운위험또는취약성에대해서는사용이어렵다는것이단점이다. 또한사실적이고감사가능한데이터를사용할수없는경우에도정량적접근방법의사용이어렵다. 위험산정단계를수행하기위해필요한정보에는자산및업무프로세스에관련된영향과발생가능성을포함하는사고시나리오목록이포함된다. 위험산정단계는모든관련사고시나리오에대하여위험수준을산정하는것을목표로한다. 위험산정은평가된결과와발생가능성에기초한다. 거기에는비용대비효과, 이해관계자의우려등의적절한기타변수를고려할수있다. 산정된위험값은사고시나리오의발생가능성과그결과의조합이된다. 4 위험수준평가위험수준평가단계를수행하기위해필요한정보에는발생가능성및영향력에의해평가된위험목록및위험평가기준이있다. 위험수준평가단계는위험수준평가기준과위험수용기준에따라위험수준의우선순위를비교하는것을목표로한다. 위험수준평가수행시에는다음사항을고려하여야한다. 첫째, 위험수준평가기준은내 / 외적정보보안위험관리상황에서일관성을가져야한다. 둘째, 조직의목적과이해관계자의관점등을고려하여야한다. 셋째, 낮거나중간수준의위험이누적되어더높은위험을만들수있으므로이를고려하여야한다. 넷째, 정보보안특성이고려되어야한다 ( 예 : 비밀성의손실이자산및업무프로세스의손실과관련이없는경우,

202 비밀성에미치는모든문제는위험요소가될수없다 ). 다섯째, 관련된업무 프로세스의중요도를고려한다. 5 위험처리위험처리는위험감소, 위험수용, 위험회피, 위험전가의네가지요소로세분된다. 첫째, 위험감소단계를수행하기위해필요한정보는위험수준기준에따라우선순위가정해진위험목록이다. 위험감소단계는잔여위험을수용가능한수준으로낮추기위하여위험수준을감소시키는것을목표로한다. 위험감소수행시에는다음사항을고려하여야한다. 먼저, 위험을수용단위로낮추기위한적절한규제를개발하여야한다. 이를위해법, 규정및계약적요구사항과위험수용기준을고려하여야한다. 또한규제의개발및규제의실제적용시드는비용을기술적, 환경적및문화적측면에서고려하여야한다. 둘째, 위험수용단계를수행하기위해필요한정보는위험수준기준에따라우선순위가정해진위험목록이다. 위험수용은위험수준평가에따른위험의수용하는것을의미한다. 이로인해위험에대한더이상의조치는없다. 만일위험수준이위험수용기준을만족한다면추가적인통제를구현할필요가없고위험을수용한상태를유지할수있다. 셋째, 위험회피단계를수행하기위해필요한정보는위험수준기준에따라우선순위가정해진위험목록이다. 위험회피단계는특정위험을일으키는행위나조건을회피하는것을목표로한다. 위험회단수행시식별된위험이너무크거나, 위험처리대안의구현비용이효익을초과하는것으로판단되는경우, 업무의운영조건을변경함으로써해당위험으로부터완전히벗어날수있다. 예를들어자연에의한위험은위험이존재하지않거나통제되는장소로정보처리시설을물리적으로이전하는것이비용면에서가장효과적일수있다. 넷째, 위험전가단계를수행하기위해필요한정보는위험수준기준에따라우선순위가정해진위험목록이다. 위험전가단계는해당위험을가장

203 효과적으로관리할수있는주체에게위험을전가하는것을목표로한다. 위험전가수행시인지된위험을온전히전가할수도있으며, 특정위험을외부인과공유할수도있다. 위험전가는새로운위험을만들어낼수도있고, 기존의위험을변형시킬수도있다. 따라서위험전가후에는추가적인위험처리가필요할수도있다. 6 위험수용위험수용단계를수행하기위해필요한정보로는위험처리계획과잔여위험평가의기록이있다. 위험수용단계는위험을수용하기위한결정과그결정과관련한책임에대해공식적으로기록하는것을목표로한다. 위험수용수행시평가된위험이배경수립에서결정된위험수용기준을만족시킨다는설명이명시되어야한다. 또한책임있는관리자가제안된위험처리계획과잔여위험을검토하고승인하며, 그러한승인에관해기록하여야한다. 그리고위험을동반하는효익이매우매력적이거나, 위험감소의비용이너무높다는이유로인해위험수용이논쟁의대상이될수있다. 그런경우의사결정자가원칙적으로는위험의수용기준을만족시키지못하는위험을수용해야할 경우가발생한다. 이때, 의사결정자는 해당위험에대해명확하게언급해야 하며, 기존위험수용기준에부합하지못하는결정을정당화하기위한충분한 설명이필요하다. 7 위험소통위험소통단계를수행하기위해필요한정보는위험관리활동에서얻어진모든위험에대한정보이다. 위험소통단계는위험에관한정보가의사결정자와기타이해당사자간에교환되고공유되어야함을목표로한다. 위험소통단계수행시공유되는정보는위험의속성, 유형, 발생가능성, 심각도, 처리및수용가능성등이있다. 위험관리조직은비상상황뿐만아니라일상의업무에필요한위험소통을위한계획을세워야한다. 이를통해위험소통활동은지속적으로수행되어야한다

204 8 위험모니터링및검토위험모니터링및검토는위험요소의모니터링및검토, 위험관리모니터링의검토및개선, 두영역으로세분될수있다. 첫째, 위험요소의모니터링및검토단계를수행하기위해필요한정보로는위험관리활동에서얻어진모든위험에관한정보가있다. 위험요소의모니터링및검토단계는위험관리활동중발생할수있는변동사항을초기에식별하고계속적인위험관리에차질이없도록모니터하고검토하는것을목표로한다. 위험관리조직은다음사항이지속적으로모니터링이되도록보장하여야한다. 여기에는위험관리범위에새롭게포함되는자산의목록, 자산가치의변경상황, 조직내 / 외부에서발생할수있는새로운위협, 새롭게발견되거나혹은증가한취약성이위협에이용될가능성, 새롭게발생하거나혹은다시발생하는위협에노출되는취약성, 누적된영향이위험수용수준을초과하는지를검토, 정보보안사고가포함된다. 둘째, 위험관리모니터링의검토및개선단계를수행하기위해필요한정보는위험관리활동에서얻어진모든위험에관한정보이다. 위험관리모니터링의검토및개선단계는위험관리프로세스를지속적으로모니터하고, 검토하고개선하는것을목표로한다. 이를수행하기위해위험관리조직은위험과그요소를측정하기위해사용되는기준이아직유효하고업무목적, 전략및정책에일관성이있는지정기적으로검증해야한다. 또한업무상황에대한변화가발생했을때는변화된상황이위험관리프로세스에서적절히고려되고있는지를검증하고필요할경우그에적합하게개선해야하는의무를가진다. (2) 위험분석프레임워크의적합성평가 KS X ISO/IEC 의위험평가방법에서는조직단위의정보보안 관점에서위험을평가하고이에대한대책을세워지속적으로관리하는 프로세스를취하고있다. 한국정보보안시스템관리의표준인 KS X ISO/IEC

205 27001에서제시하는기본적인정보보안시스템관리의개념을기반으로하여조직정보의위험을평가하고관리하는역할을수행한다. KS X ISO/IEC 27005의위험평가방법은일반적인조직을대상으로개발되었다는특성을가지기때문에, 기업, 정부기관, 비영리조직등어떠한형태의조직에라도적용할수있다는장점을가진다. 하지만 KS X ISO/IEC 27005의프로세스를적용하기위해서는위험평가의대상이조직의특성을반영해야한다는데한계가존재한다. 즉, 조직의목적, 업무, 가치, 구조등이결과에영향을주기때문에디바이스나서비스단위의정보보안이필요한사물인터넷관점에서이를적용하기에는무리가있다. 사물인터넷환경에서의위험평가를위해 KS X ISO/IEC 27005의전반적인흐름을참고할수는있으나, 구체적인내용까지적용하기에는한계가있다. 사물인터넷환경에서의위험평가를위해서는사물인터넷의특성을적합하게반영한프레임워크를구축할필요가있다. 3. ISACA RISK IT 정보시스템감사통제협회 (Information Systems Audit and Control Association, ISACA) 는정보시스템과기술에대한효과적인거버넌스, 통제및인증체계를구축하기위해연구하며, 표준및실무활동을개발하여관련산업의증진을목적으로설립된민간비영리기관이다. ISACA에서는 IT 위험관리를위해위험관리프레임워크인 Risk IT를개발했다. 139)140) Risk IT는 IT와연관된위험관리를다루고있는데, 기업의문화적인요소나운영적인이슈까지도포함하고있다. IT 자원에대한위험은쉽게간과되기쉬우며, 다른위험들과통합적으로관리되는것이통상적이었으나 Risk IT에서는이를구분하여 IT 사용에관한비즈니스위험을분석하는프레임워크를제시하고있다. Risk IT는 ISACA에서개발한다른프레임워크인 COBIT 141) (Control Objectives for Information and Related Technology) 이나 Val IT 142) 를보완한것이다. 139) 140) 141) 142) ISACA, The Val IT Framework(2008)

206 COBIT은기업 IT의거버넌스와관리를위한프레임워크로서가치창출과위험감소를목적으로하고있다. 세부항목으로는전략적연계, 가치제공, 리스크관리, 자원관리, 성과측정을실무차원에서설명한것이다. 이를구현하기위해사업요구사항, IT 자원, IT 프로세스 3가지항목이있다. 우선, Val IT는 COBIT의목표중가치제공을보완하기위해개발된것이며, IT 투자를통해비즈니스를창출하는프레임워크이다. 조직이 IT 투자비용과다양한위험의투명성을대비해경영자들이올바른의사결정을할수있도록지침을주는것을목표로하고있다. Val IT는가치거버넌스 (Value Governance), 포트폴리오 관리 (Portfolio Management), 투자 관리 (Investment Management) 3 가지 도메인으로구성되어있다. 반면 Risk IT는 COBIT의목표중리스크관리를중점적으로다루기위해개발되었다. 결국, Risk IT는 COBIT과 Val IT의연장선상에서 IT 거버넌스와자원활용을좀더완벽하게만들어주기위해개발된것이라고볼수있다. 143) 이들간의관계는 ( 그림 4-3) 에자세히도식화되어있다. 143)

( 그림 6-3) Risk IT, COBIT, Val IT 와의관계 Risk IT 프레임워크는크게리스크관리 (Risk Governance), 리스크평가 (Risk Evaluation), 리스크대응 (Risk Response) 3가지도메인으로나누어진다. 144) 앞에서기술한 3가지도메인은독립된것이아니라상호작용적이다. 각도메인은 3가지프로세스로나눠진다.

207 ( 그림 6-3) Risk IT, COBIT, Val IT 와의관계 Risk IT 프레임워크는크게리스크관리 (Risk Governance), 리스크평가 (Risk Evaluation), 리스크대응 (Risk Response) 3가지도메인으로나누어진다. 144) 앞에서기술한 3가지도메인은독립된것이아니라상호작용적이다. 각도메인은 3가지프로세스로나눠진다. 리스크관리는공통위험관점의설정및유지, ERM(Enterprise Risk Management) 과의통합, 위험을인식한비즈니스의사결정을설정을포함하고있다. 리스크평가는데이터수집, 위험분석, 위험프로파일의유지를포함하고있다. 마지막으로리스크대응은위험계산, 위험관리, 사고대처로구성되어있다. 이를정리한것이 [ 표 6-6] 이다. 또한각프로세스는 4 6개의핵심활동으로이루어져있다. ( 그림 6-4) 에서는각도메인의역할과도메인간의관계를표현하고있다. 144) ISACA, The Risk IT Framework(2009)

208 [ 표 6-6] Risk IT 의도메인과도메인을구성하는프로세스 Domain Process RG1. Establish and maintain a common risk view Risk Governance(RG) RG2. Integrate with ERM RG3. Make risk-aware business decisions RE1. Collect data Risk Evaluation(RE) RE2. Analyse risk RE3. Maintain risk profile RR1. Articulate risk Risk Response(RR) RR2. Manage risk RR3. React to events

209 각도메인별세부사항은아래와같다. ( 그림 6-4) Risk IT 프레임워크의각도메인의역할과관계 (1) 위험분석프로세스 1 리스크관리거버넌스란 조직의목적달성을지향하도록조직내활동들을통지, 지휘, 관리및감시하기위하여이사회가구현한프로세스및구조의조합 을의미한다. 145) 따라서리스크관리는조직의리스크를전사적차원에서이사회주관으로다루는것을의미한다. 이를통해기업은리스크를최소화하여 145)

210 리스크가조정된최상의수익확보를추구할수있다. 리스크관리의내부 프로세스는아래와같다. 1.1 공통위험관점의설립및유지일반적리스크관점을수립하고유지하는단계로리스크관리업무가 IT와관련된손실과경영진의지원에대해전사적목적의수준과동일하다는것을보장한다. 핵심활동으로는전사적 IT 리스크평가수행, IT 리스크지원에대한한계점제안, IT 리스크에대한내성입증, IT 리스크정책할당, IT 리스크의식과문화제고, IT 리스크에대한효과적인의사소통장려등이있다. 1.2 ERM과통합 IT 리스크와관련된전략을전사적위험관리 (Enterprise Risk Management, ERM) 에서도출한전략과통합하는단계이다. 프로세스에서의핵심활동은 IT 리스크관리를위한책임추적성수립과유지, IT 리스크전략과비즈니스리스크전략의조화, IT 리스크관례를전사적리스크관례에적용, IT 리스크관례를위한충분한자원제공, IT 리스크관리에대한독립적인보증제공등이있다. 1.3 위험을인지한상태에서비즈니스의사결정수립리스크를인지한상태에서비즈니스의사결정을하는단계이다. 기업의의사결정이조직의목표달성을위해전체의기회와 IT 의존으로부터도출되는결과를고려하는것이다. 핵심활동으로는 IT 리스크에대한분석을위한자원에대한접근을위한경영자의승락, IT 리스크분석입증, IT 전략적비즈니스의사결정에 IT 리스크고려사항내포, IT 리스크수용, IT 리스크대응업무에대한우선순위화등이있다

211 2 위험평가리스크평가에서 Evaluation은평가를의미한다. 146) 평가는 사물의가치나수준따위를평하는것 이라는뜻이다. 식별된리스크가긍정혹은부정적인지, 발생할확률이높거나낮은지, 그에따른영향은어떻게되는지등을평가하게된다. 도메인에는아래세가지프로세스가포함되어있다. 2.1 데이터수집데이터를수집하는단계로 IT와관련된리스크의식별을하고, 분석및보고를효과적으로가능하게하는관련데이터를정의하는것이다. 핵심활동으로는자료수집을위한모델수립과유지, 운영환경상에서의자료수집, 리스크사건상에서의자료수집, 리스크요소식별등이있다. 2.2 위험분석위험분석단계에서는위험요소들이사업과어떠한관련이있는지를고려하여위험을결정하기위한것이다. 핵심활동으로는 IT 위험분석범위정의, IT 위험측정, 위험대응선택사항식별, IT 위험분석에대한피어리뷰수행등이있다. 2.3 위험프로파일유지위험프로파일을유지한다는것은기존의위험의특성에대한자료들이완전하며항상최신상태를유지하고, IT 자원, 기능의전체목록을확보하며비즈니스제품, 서비스및프로세스맥락의이해로서통제해야한다는의미이다. 예를들면예상되는빈도, 잠재적인영향, 성향과같은항목들에대하여주기적으로관리, 유지하는것이필요하다. 핵심활동으로는 IT 자원을비즈니스프로세스에매핑, IT 자원의비즈니스중요도결정, IT 역량이해, IT 위험시나리오요소업데이트, IT 위험레지스터와 IT 위험지도유지, IT 위험지표개발등이있다. 146) -

212 3 위험대응전단계에서확보한위험분석결과를이용하여불확실한위험에대한대응책을마련하고이행하는단계이다. IT와관련된위험이슈, 기회, 이벤트는비용효과적인방식과비즈니스우선순위에따라다루어지는것을보장한다. 147) 위험대응영역은아래세가지프로세스로구성되어있다. 3.1 위험계산위험구체화단계에서는 IT와관련된위험노출과기회들의실제상태에대한정보는시기적절한방식과적절한대응을위한인력을사용하도록보장한다. 핵심활동으로는 IT 위험분석결과전달, IT 위험관리업무와준수상태보고, 독립적인 IT 평가조사결과해석, IT와관련된기회식별등이있다. 3.2 위험관리위험관리단계에서는전략적기회획득과위험감소를위한조치들을하나의포트폴리오로써관리한다. 이는정보자산에대한적절한대응을목록화하고구현하는것으로계획과구현, 진행상황들을체계적으로관리하는것을의미한다. 핵심활동으로는통제목록화, 위험수용한계점에대한운영상의연계모니터링, 발견된위험노출과기회에대한대응, 통제수행, IT 위험대응계획진행상황보고등이있다. 3.3 사고대처이절차에서는 IT와관련된사건으로부터손실규모를제한하거나당면한기회를붙잡기위한조치를효과적이며시기적절한방식으로운영되기를보장한다. 즉시행되는대응, 대책들이적절하게유지되는지모니터링하고이에대한피드백을반영한다. 핵심활동으로는사고대처계획유지, IT 위험모니터링, 사고대응시작, 위험사고로부터얻은사항공유등이있다. (2) 위험분석프레임워크의적합성평가 147) -

213 이처럼 Risk IT는리스크관리, 리스크평가, 리스크대응 3가지도메인이상호작용을통해 IT 위험을관리하고조직의비즈니스목표를달성할수있도록방향을제시하는역할을제공한다. 조직이가지고있는위험중에서 IT 위험에한하여분석및평가하고대응하는프로세스를가지고있다. 위에서설명한 3가지도메인이유기적으로상호작용하는부분은도메인간의중복프로세스를방지하고각프로세스별로발생하는산출물이추후에활용된다는점에서가치가있다. 하지만초기개발목적은 COBIT과 Val IT를보완하여조직의 IT 위험관리체계를강화하는데있었다. 또한조직에특화된프레임워크의특성상궁극적으로지향하는바가비즈니스에집중되어있기때문에본보고서에서제시하고자하는프레임워크방향과는차이가있다. 프레임워크도입을고려할때개인정보를다루지않는다는부분도목적과부합하지않는다. 따라서이러한부분을보완할수있는새로운프레임워크가필요하다. 제 4 절제시된위험분석프레임워크 1. 기존위험분석프레임워크의종합적평가 앞의절에서는 NIST SP800-30, KS X ISO/IEC 27005, ISACA RISK IT 세가지위험분석기법에대하여살펴보았다. 이들프레임워크의특성은 IT 시스템의전사적보안을고려하고있다는점이다. 이는기업에서정보시스템의복잡도가증가하면서그에따른정보보안의중요성이커졌다는것에기인한다. 그러나위의프레임들은모두기업의위험측면만을고려하고있어사회전반에미치는영향을판단하기에는한계가있다. 현재의사물인터넷은시작단계이다. 따라서시작초기에어떠한측면에서개인정보가문제가되는지를분석하는것이필요하다. 이를위해서는기업단위외에, 개인과사회전체에미치는영향력을구체적으로분석할수있는

214 프레임워크가필요하다. [ 표 6-7] 은기존의기업단위의프레임워크가가지는한계를분석한결과이다. NIST SP 은공공기관의시스템에국한되어있다. KS X ISO/IEC 27005는조직의특성을위주로프레임워크가구성되어있다. 마지막으로 ISACA RISK IT는비즈니스환경만을고려하고있다. 따라서개인정보보호를위한위험분석프레임워크를제시하기위해서는기존의프레임워크가아닌새로운그리고보다확장된새로운프레임워크가필요하다. [ 표 6-7] 기존위험분석프레임워크의문제점 NIST SP KS X ISO/IEC ISACA RISK IT 국가보안시스템에적용 불가 조직의특성에따른 영향력에국한 비즈니스환경에서의 위험관리분석에국한 2. 새롭게제시된위험분석프레임워크 (1) 사물인터넷개인정보위험분석프레임워크 본보고서에서는사물인터넷환경에서기업의시스템또는비즈니스영역을포함한개인과사회를고려한위험분석프레임워크를제안하고자한다. 제안하는프레임워크는개인과기업모두에게미칠위험에대비한정책에활용을목적으로하는것이므로, 기존프레임워크가가지고있는위험측정방법에개인정보의특성과영향력을일부변형및보완하였다. 새로제안한위험분석프레임워크의변수는 [ 표 6-8] 와같다

215 [ 표 6-8] 새로제안한위험분석프레임워크 사물인터넷의개인정보보호위험 (IoT Risk) = P * 개인정보 + T * 위협 + I * 영향력 = P * (P1 * 개인정보종류 + P2 * 개인정보민감도 ) + T * (T1 * 디바이스위협 + T2 * 네트워크위협 + T3 * 서버위협 ) + I * (I1 * 이용자수 + I2 * 이용정도 + I3 * 시장규모 + I4 * 2차결합시장규모 ) 사물인터넷환경에서개인정보보호를위한위험분석프레임워크에는 개인정보와위험의특성, 위험발생으로인한영향이고려되어야한다. 따라서 사물인터넷환경에적합한위험분석프레임워크는위수식과같이크게 개인정보 (Personal information), 위협 (Threat), 영향도 (Impact) 세 변수의 조합으로정의하였다. 기존에일반적으로받아들여지고있는위험측정방식인 IT Risk = (Asset, Threat, Vulnerability) 에서자산 (Asset) 을개인정보 (Personal information) 로, 취약성 (Vulnerability) 을영향도 (Impact) 로대체하였다. 위험측정에있어개인정보를사물인터넷환경에서의자산이라고판단하여자산을개인정보로나타내었다. 그리고아직상용화단계에접어들지않은사물인터넷환경에서는서비스가가질수있는취약성분석이불가능하다는점을고려하여개인정보유출이미치는사회적영향력에초점을두어위험을측정하고자하였다. 앞의결과를종합하여최종적으로도출된위험분석프레임워크는 [ 표 6-9] 와같다

216 [ 표 6-9] 사물인터넷환경에서의위험분석프레임워크 사물인터넷을통해 생성및이용가능 개인정보 침해위협도 사회적영향도 생성및이용가능개인정보의종류 생성및이용가능개인정보의민감도 디바 이스 네트 워크 서버이용자수 이용 자빈 도 서비스시장규모 2차결합시장규모 Connected Car Smart H om e Appliances Smart H ealthcare Smart Building /City /Grid Smart Comm. (2) 변수정의 1 개인정보종류개인정보는위험의대상이되는개인정보를말하며, 이에대한데이터는사물인터넷을통해생성및수집가능한개인정보로서위의수식과같이개인정보종류와개인정보민감도의조합으로이루어져있다

217 1.1 개인정보종류개인정보종류는사물인터넷의서비스산업별로나눈분류에따라서각각의서비스를이용할때에수집되는정보들의형태를의미한다. 개인정보의종류변수는수집되는개인정보중개인식별가능성이높은정도에따라정도를측정했다. 주민등록번호와같이하나의정보만으로개인식별이가능한개인정보가포함된경우 H( 높음 ) 로, 2개이상결합된정보로개인식별이가능한개인정보가포함된경우에는 M( 중간 ) 으로, 결합된정보로도개인식별이어려운개인정보만으로이루어진경우 L( 낮음 ) 로구분한다. 각수준에대한점수로는 H : 3점, M : 2점, L : 1점을부여했다. 1.2 개인정보민감도개인정보민감도는개별정보가유출되었을때개인이가지게되는심리적, 사회적, 경제적으로영향의정도를의미한다. 개인정보의민감도측정에대해서는한국 CPO 포럼 (2009) 의기존연구를활용했다. 기존연구가 IT 환경을바탕으로개인정보에대한민감도를연구한것이기때문에본연구에서일부변형후사용하면될것으로보인다. 한국 CPO 포럼 (2009) 의연구에서는민감도에대한정보들의조합수준을 S(Service), G(General), P(Privacy)1 P3로구분하였다. Service는서비스관련정보로자산가치가높으며개인의신분및신상정보에대해알수있고, 악용할경우위험이매우큰정보를의미한다. 여기에는녹취정보, 위치정보, IP 정보등이포함된다. General은정보가치가낮은정보로개인정보영향도가가장낮은정보군이다. Privacy는 1부터 3단계로구분이되는데숫자가클수록가치가높은것을의미한다. P1의경우는개인을식별할수는없으나개인을식별할수있는정보와같이노출될위험이있는것을의미한다. 이는종교, 병역, 건강상태등신상정보와함께노출되었을때민감도가높은정보들이다. P2는개인을식별할수있으며, 악용할경우위험이낮은정보를의미하며이름, 주소, 전화번호등신분을추정할수있는정보를의미한다. P1과 P2를조합한수준에서는개인의신분및신상정보에대해알수있으며, 악용할경우

218 위험이높은정보를의미하며각그룹에있는정보들이조합되었을때이러한결과가나타난다. 마지막으로 P3는하나의정보만으로신상을파악할수있고악용의소지가높은것으로주민번호, 신용정보, 신용카드번호등개인을식별할수있는정보들이다. 이를정리한결과는 [ 표 6-10] 과같다. 본보고서에서의한국 CPO 포럼 (2009) 의연구결과를바탕으로개인정보의민감도를 H, M L로구분하였다. 이점수들은해당정보의민감정도에대한판단에따라부여하였다. 자산및의료내역과관련된개인정보가포함된경우 H( 높음 ) 로, 월간계획등개인에따라민감정보라고판단될수있는정보가포함된경우 M( 중간 ) 으로, 공개정보이거나민감정보로보기어려운정보만으로구성된경우 L( 낮음 ) 로나타냈다. 각수준에대한점수로는 H : 3점, M : 2점, L : 1점을부여한다

219 [ 표 6-10] 개인정보보호영향평가 조합수준 조합수준 조합설명 자산가치 개인정보영향도설명 P3 이상 개인을식별할수있으며, 악용할경우위험이높은정보 주민번호, 신용정보, 신용카드번호, 카드비밀번호, 계좌번호, ID/PW 등 5 개인의신분및신상정보에대해알수있으며, 악용할경우위험이매우큰정보 P2 + P 개인의신분및신상정보에대해알수있으며, 악용할경우위험이높은정보 P2 개인을식별할수있으며, 악용할경우위험이낮은정보 이름, 주소, 전화번호, 핸드폰번호, 이메일주소등 3 개인의신분과신상정보에대한추정이가능하며노출시금액의피해보상을요구받을수있는수준 P1 개인을식별할수없으나, 개인을식별할수있는정보와같이노출시위험이높은정보 인종, 종교, 병역, 사회단체활동, 보건등 2 개인의신분과신상정보를파악하기어려우나신상정보와같이노출시매우민감한정보 G 정보가치가낮은정보 - 1 아무런영향을미치지않는수준 S 서비스관련정보 상담내용, 녹취내용, 위치정보, IP 정보, CCTV 영상정보, 카페이용내역등 5 개인의신분및신상정보에대해알수있으며, 악용할경우위험이매우큰정보 영향도등급표에서 P 는 Privacy, G 는 General, S 는 Service 를의미하며이는일반적인권고기준으로기관및사업특성에따라다르게적용할수있음 2 위협위협은개인정보유출의원인이나유출행위를의미한다. 사물인터넷환경에서의정보생성위치를단 (Point) 으로나누어위협을측정하였다. 이는정보가생성되는지점에서개인정보유출로인한위험의정도가다를수있다는점을고려하여채택한방식이다. 한국인터넷진흥원의

220 국가정보보호백서 (2014) 에따르면사물인터넷의기술구성요소는디바이스 ( 단말 / 센서 ) 영역, 네트워크 ( 유선 / 무선 ) 영역, 서비스인터페이스 ( 플랫폼 / 애플리케이션 ) 영역으로구분하고있다. 디바이스 ( 단말 / 센서 ) 영역은특정사물로부터수집 / 추출한데이터를통신기능을이용하여다른사물로전송하는역할을한다. 센서, 배터리, 디스플레이, 스마트가전등이이에해당한다. 네트워크영역은데이터를전송하는통로역할을한다. Wi-Fi, 3G/LTE(Long Term Evolution), 블루투스, ZigBee, RFID 등이있다. 마지막으로서비스인터페이스 ( 플랫폼 / 애플리케이션 ) 영역은수집된데이터및정보를사람이인식 / 판단할수있도록가공 / 추출 / 처리하는영역으로다양한디바이스를제어 / 관리할수있도록하는역할을담당한다. 이렇듯사물인터넷의기술구성요소는디바이스, 네트워크, 서비스인터페이스로구분되지만, 새롭게제시하는프레임워크에서는정보가주체가되므로서비스인터페이스를서버라는용어로재정의하였다. 서버는정보가디바이스를통해생성, 수집되어네트워크를통해전송되고, 최종적으로저장되는역할을한다. 따라서위협은각구성요소에서발생할수있는침해위협으로분류되어산정된다. 침해위협변수는위협이발생하는각단 (Point) 에서의위협수준의조합으로정의하였다. 디바이스, 네트워크, 서버의각영역에서침해위협이측정되며, 수준은해당위협이얼마나치명적인가에따라 H( 높음 ), M( 중간 ), L( 낮음 ) 로분류하였다. 각수준에대한점수로는 H : 3점, M : 2점, L : 1점을부여한다. 3 영향력영향력은 개인정보 유출 사고 발생 시 미치는 사회적 충격의 정도를 의미한다. 영향력은이용자수 (Number of users), 이용빈도 (Frequency of users), 시장규모 (Market size), 2차결합시장규모 (Secondary Market size) 의 조합으로측정할수있다

221 3.1 이용자수이용자수는스마트커뮤니케이션디바이스, 커네넥티드카, 스마트홈가전, 스마트헬스케어, 스마트시티 / 빌딩 / 그리드단위의이용자수규모를기준으로했다. 따라서사용자수가많을수록, 빈도가높을수록피해에대한영향이커진다는결과를도출할수있다. 이용자수는숫자가아닌등급으로구분하여대략적인사용자수를살펴보았다. 사용자수가가장많을것으로예상되는스마트폰과스마트 TV의가입자수는 2013년기준으로각각 4000만명 148), 780만명 149) 으로나타났다. 이를바탕으로이용자수의등급을 500만명이상을 H( 높음 ) 로, 500만명에서 10만명사이를 M( 중간 ) 으로, 10만명미만을 L( 낮음 ) 로구분하였다. 각수준에대한점수로는 H : 3점, M : 2점, L : 1점을부여한다. 3.2 이용빈도이용빈도는스마트커뮤니케이션디바이스, 커네넥티드카, 스마트홈가전, 스마트헬스케어, 스마트시티 / 빌딩 / 그리드단위의이용자수규모를기준으로했다. 따라서사용자수가많을수록, 빈도가높을수록피해에대한영향이커진다는결과를도출할수있다. 이용빈도는디바이스당사용빈도로그수준을측정하고자하였다. 해당디바이스를매일사용하는경우와 3일정도에한번사용, 그이하로구분하였다. 그리하여월 30회이상사용을 H( 높음 ) 로, 월 30회사용에서 10회사용사이를 M( 중간 ) 으로, 월 10회사용미만을 L( 낮음 ) 으로정하였다. 각수준에대한점수로는 H : 3점, M : 2점, L : 1점을부여한다. 3.3 시장규모 서비스시장규모는스마트커뮤니케이션디바이스, 커넥티드카, 스마트홈 가전, 스마트헬스케어, 스마트시티 / 빌딩 / 그리드등의사물인터넷분야에서 148) 149)

222 제공하는서비스단위의산업규모를화폐단위로표시한것으로정의한다. 산업규모를화폐단위로측정한다는특성때문에서비스의활성화나향후정책및규제에의해서시장규모의측정값이변할수있다. 2014년기준국내전체스마트콘텐츠시장규모가 3조원인것을감안하여서비스시장규모변수의측정수준을구분하였다. 150) 시장규모 1000억원이상을 H( 높음 ) 로, 1000억원에서 100억원사이를 M( 중간 ) 으로, 100억원미만을 L( 낮음 ) 로구분하였다. 각수준에대한점수로는 H : 3점, M : 2점, L : 1점을부여한다 차결합시장규모영향력변수중마지막요소인 2차시장은스마트커뮤니케이션디바이스, 커넥티드카, 스마트홈가전, 스마트헬스케어, 스마트시티 / 빌딩 / 그리드분야에서개인정보사고가발생했을경우에 2차적으로영향을받는시장규모로정의된다. 이는피해가발생한서비스시장으로부터간접적으로영향을받는시장의규모를산출한것으로유출된정보가 2차피해를유발할수있는시장으로한정한다. 분류한산업의시장규모뿐만아니라관련산업까지영향력에포함시킨이유는사물인터넷의특성상다른산업군과연관된서비스가존재하기때문이다. 예를들어, Connected Car 산업에서활용하는이용자의정보는자동차보험산업에서도활용한다. 2차시장은산업의특성에따른연관성있는시장으로정의했다. 연관되는시장이하나이상일경우, 시장규모는연관되는시장에대한규모의총합으로계산된다. 피해가발생한서비스시장으로부터유출된정보가 2차피해를유발할수있는시장규모의크기에따라변수의수준을구분하였다. 수준의척도는현산업군별규모가약 100조원에서수천억원사이라는것을감안하여, 시장규모 100조원이상을 H( 높음 ) 로, 100조원에서 10조억원사이를 M( 중간 ) 으로, 10조원미만을 L( 낮음 ) 로구분하였다. 각수준에대한점수로는 H : 3점, M : 2점, L : 1점을부여한다. 150)

223 위의변수들의층정방법은 [ 표 6-11] 에정리하였다. [ 표 6-11] 변수의측정방법예시 측정변수수준점수정의 개인정보의종류 H 3 M 2 L 1 하나의정보만으로개인식별이가능한개인정보가포함 2 개이상결합된정보로개인식별이가능한개인정보가포함 결합된정보로도개인식별이어려운정보들로만이루어진경우 H 3 자산및병과내역과관련된개인정보가포함 개인정보의민감도디바이스침해위협도네트워크침해위협도서버침해위협도 M 2 L 1 H 3 M 2 L 1 H 3 M 2 L 1 H 3 M 2 L 1 개인에따라민감정보라고판단될수있는정보가포함 공개정보이거나민감정보로보기어려운정보만으로구성된경우 디바이스단에서의침해위협의영향이치명적인경우 디바이스단에서의침해위협의영향이존재하나치명적이지는않은경우 디바이스단에서의침해위협의영향이거의없는경우 네트워크단에서의침해위협의영향이치명적인경우 네트워크단에서의침해위협의영향이존재하나치명적이지는않은경우 네트워크단에서의침해위협의영향이거의없는경우 서버단에서의침해위협의영향이치명적인경우 서버단에서의침해위협의영향이존재하나치명적이지는않은경우 서버단에서의침해위협의영향이거의없는경우 H 만명이상 이용자수 M 만명에서 10 만명사이 L 1 10 만명미만

224 H 3 월 30 회이상사용 이용자빈도 M 2 월 30 회사용에서 10 회사이사용 L 1 월 10 회미만사용 H 억원이상 서비스시장규모 M 억원에서 100 억원사이 L 억원미만 H 조원이상 2 차결합시장규모 M 조원에서 10 조원사이 L 1 10 조원미만

225 (3) 사물인터넷개인정보위험분석프레임워크의한계 본보고서에서제안하는위험분석프레임워크의목적은새로시장이형성되고있는사물인터넷시장에서어떠한영역이개인정보보호측면에서취약한가를과학적이고논리적으로파악하기위함이다. 이를통해향후개인정보보호위원회와같은정부기관들이위험이높은영역을판별하고, 조사하여개인정보위험과사고를사전에예방하고, 사후에피해를최소화하기위해서이다. 따라서개별기업의시스템또는서비스를대상으로하는 NIST SP800-30, KS X ISO/IEC 27005, ISACA RISK IT와같은위험분석기법과는접근방식과측정항목에서차이가발생할수밖에없다. 이는개별기업에서이프레임워크를사용하는데에는일정한한계가있음을의미한다. 본프레임워크의경우주요변수로개인정보, 위협, 영향력을도출했다. 본프레임워크의개인정보변수인개인정보의종류및개인정보민감도와위협은상대적으로객관적수치화가가능하다. 그러나개인정보침해사고로인한영향력을수치화하는것은간단하지않다. 최근개인정보보호위원회 (2013) 의개인정보침해에따른사회적비용분석보고서에서도영향력을측정했다. 그러나이보고서에서도침해사고에대한영향력을 1차파급효과만을고려하고 2차피해는고려하지않았다. 이는기업의이미지손실등은측정이어렵고명시적이지도않기때문이다. 따라서피해액산정이주요목적이아닌본연구의특성상영향력을심도있게논의하는것에는한계가있다. 또한사물인터넷은현재시장이형성되는단계에있으므로각각의개별서비스별로이용자수, 이용빈도, 시장규모, 2차시장규모를추정하는것에도한계가있다. 따라서스마트커뮤니케이션디바이스, 커네넥티드카, 스마트홈가전, 스마트헬스케어, 스마트시티 / 빌딩 / 그리드단위로분석후이를개별적인사건에대입하는방식을취했다. 본연구의목적이개별사고의피해액을산출하기위한것이아니라사물인터넷에서향후개인정보보호가필요한영역을도출하기위한것이므로각각의사고에해당분야의영향력을대입하고자한다

226 3. 사물인터넷환경에서의위험분석프레임워크분석결과 (1) 위험측정방식 사물인터넷환경에서의개인정보위험분석을위한대상은기존의사물인터넷관련개인정보사고사례를대상으로했다. 커넥티드카의경우그동안 5건의사례 (OnStar, Sync AppLink, MyFord Mobile, OpenXC) 가있는것으로파악됐다. 스마트홈어플라이언스도 5건의사례 (THINQ, Allshare, Allshare, Haier u-home) 가있는것으로파악됐다. 스마트헬스케어의경우는 6건의사례 (Fuelband Series, Micoach Smart run, Walkie+D, iriveron, Health-On-Shine, Jawbone up) 가있는것으로파악됐다. 스마트빌딩 / 시티 / 그리드의경우는사례를발견하지못하여 4개의시나리오를분석했다. 스마트커뮤니케이션디바이스의경우는 3개의사례 (Smart phone, Google Glass, Smart Watch) 를분석했다. 위에서언급한대상에대해서는해당서비스또는디바이스가보유하고있는개인정보종류, 개인정보민감도등을분석했다. 또한사건또는해킹시연시보고서또는보도자료등을분석하여문제가된디바이스, 네트워크, 서버에서의침해위협이어느정도인가를파악하였다. 개별사례를조사한후가장많은수치가나온점수를대표값으로선정하여해당분야의위험도로나타내었다. 마지막으로영향력은개별적인서비스또는디바이스단위의분석이불가능하므로서비스전체의영향력변수의값들을산정하였다. (2) 위험측정결과 위험분석결과커넥티드카의경우많은개인정보를수집하고있었으며, 생성및이용가능한개인정보의민감도는중간정도로나타났다. 또한침해위협의경우디바이스와네트워크에서만나타난것으로분석되었다. 디바이스의침해위협은중간정도로측정되었고, 네트워크의침해위협은암호화기술의부족등의이유로높음으로측정되었다. 사회적영향도의경우이용빈도와서비스시장규모는높은것으로나타났지만아직까지시장이활성화되거나

227 다른시장과의결합정도는낮은것으로나타났다. 스마트홈어플라이언스의경우디바이스가보유하고있는개인정보의종류는적은것으로나타났으며, 결재등을위한정보를가지고있어민감도는높은것으로나타났다. 침해위협의경우는아직까지는네트워크단에서만문제가있는것으로나타났으며, 그수준은중간정도의침해위협으로산정되었다. 사회적영향도의경우이용자수와이용빈도가높은것으로나타났다. 반면서비스시장규모와 2차결합시장의규모는중간정도인것으로나타났다. 스마트헬스케어의경우수집하는개인정보와개인정보의민감도는중간정도인것으로나타났다. 헬스케어는개인에관한정보를가지고있어민감도는높을수있으나, 금융또는개인정보는적게가지고있는것으로나타났다. 침해위협의경우디바이스에서만침해사례또는해킹시연이있었던것으로나타났으며침해위협은중간정도의수준으로산정되었다. 사회적영향도의경우이용자수와이용빈도는높은것으로나타났다. 반면서비스시장규모는아직까지작은것으로나타났다. 자세한분석결과는 [ 표 6-12 ] 에나타나있다. 위험정도산정의편의를위해모든계수를 1 로두고계산하였다

228 [ 표 6-12] 사물인터넷환경에서의위험분석프레임워크 사물인터넷을통해생성및이용가능개인정보 침해위협도 사회적영향도 생성및이용가능개인정보의종류 생성및이용가능개인정보의민감도 디바 이스 네트 워크 서버 이용 자 수 이용 자빈 도 서비스시장규모 2차결합시장규모 위험 정도 Connecte d Car Sm art H om e Appliance s Sm art H ealthcare Smart Building /City /Grid Smart Comm. H M M H - L H H L 18 L H - M - H H M M 16 M M M - - H H L M 15 L M - M - M H M H 15 H H L M - H H H H 21 분석결과를종합해보면, 스마트커뮤니케이션디바이스가총점 27점중에 21점으로사물인터넷환경에서개인정보사고발생시위험이가장높은것으로나타났다. 다음으로는커넥티드카 (18점), 스마트홈어플라이언스 (16점), 스마트헬스케어 (15점) 와스마트빌딩 / 시티 / 그리드 (15점) 순으로나타났다. 스마트커뮤니케이션디바이스는보유하고있는개인정보의수나민감도도높고, 현재가장활성화되어있어사고발생시가장커다란문제가있는

229 것으로나타난 것으로 보인다. 커넥티드 카의 경우 이용자 수는아직까지는 적으나자동차가 생활에 밀착되어 있고, 자동차 서비스시장이 커다란 것이 개인정보 사고 발생 시 위험도롤 높게 평가 받도록 만든 요인이다. 또한 디바이스가 더미 151) 가 아닌 프로세스와 메모리를 가지고 있는 소형 컴퓨터이므로자동차에서보유하고있는개인정보가많은것이원인이됐다. 스마트홈어플라이언스의경우스마트 TV의결재, 시청이력, 스마트청소기의 음성, 영상등민감정보가많은것과스마트 TV의이용자수와이용빈도가 높은것이사고발생시영향력을높인원인으로나타났다. 스마트헬스케어의 경우개인에관한정보를생성함에도불구하고다른분야에비해상대적으로 낮은점수가나왔다. 이는서비스시장규모가아직까지성숙하지않은것이 원인이다. 따라서스마트헬스케어시장이활성화되면개인정보사고발생시 지금보다는 커다란 문제가 발생할 것으로 보인다. 마지막으로 스마트 빌딩 / 시티 / 그리드의경우기존사례를발견하지못해시나리오기반으로평가를 했기때문에개인정보의종류측면에서낮은점수가나온것이위험평가가 낮게나온원인으로보인다. 사물인터넷환경에서의위험분석프레임워크를기존개인정보사건, 시연, 시나리오 등에 대입하여 적용해 본 결과 스마트 커뮤니케이션 디바이스와 커넥티드카가상대적으로높은점수를받았다. 따라서향후사물인터넷에서 개인정보사고가발생한다면위의두개의영역이특히문제가될수있을 것이다. 그러므로 향후 연구에서는 위의 두개의 영역을 우선적으로 고려할 필요가있다. 다만본 보고서에서 제안한 프레임워크는샘플의 문제가 있어서 대표성을 갖기에는한계가있다. 또한변수에대입한수치들중에는자의적으로판단하여 입력한 수치도 있으므로 결과의 객관성 측면에서도 문제가 있을 수 있다. 따라서 본 연구의 결과는 정책을 위한 참고 자료로 활용하는 것이 타당해 보인다. 151) 실제사람의구조와같이만들어외부구조뿐아니라내부구조도사람보다더비슷하게만들어진형체를실제사고와같은위험에빠뜨린뒤안정성을테스트하는데사용되는것으로자동차회사에서이러한더미를사용하여다양한충동시험을시행한다

230 사례 [OnStar] - 관제센터의취약점을통해인포테인먼트시스템해킹 - 차량에부착되어있는디바이스탈취 - 4G 기술에대한취약점 - 안드로이드취약점 IoT를통해생성및이용가능개인정보 침해위협 발생가능발생가능개인정보의디바이네트워개인정보의종류스크민감도 서버 시청이력 ( 라디오, 음악, 뉴스, 비디오 ), 이메일, SNS, 인터넷서비스관 M M H L 련검색기록, 앱스토어 구매내역 이용자규모 활용서비시장스규모시장규모 2차결합시장규모 [Sync AppLink] Connected Car - 블루투스취약점 - USB를통해스마트폰이나 MP3로연결하는시스템의악성코드감염 [MyFord Mobile] - 스마트폰탈취를통해자동차의성능및주변정보탐색에대한내역유출 음성통화내역, 음악서비스정보자동차의배터리수명, 주행거리측정, 운행시간, 주변지역탐색 M M H - L L - - L H 210억달러 H L [OpenXC] - Arudion 기반의센서모듈에서자동차 데이터를탈취 차량의고장여부또는 수리등에대한정보 L M - - [U-connect touch] - wi-fi, 핫스팟등의취약점 음성인식에대한정보 M - H

231 사례 IoT를통해생성및이용가능개인정보발생가능발생가능개인정보의개인정보의종류민감도 디바이 스 침해위협 네트워 크 서버 이용 자 규모 활용서비시장스규모시장규모 2차결합시장규모 [THINQ] - Wi-Fi 와 ZigBee 의취약성 - 냉장고나스마트디바이스탈취 음식및섭취정보 L L M - [Allshare] DLNA 기반의무선통신취약점사진, 동영상 H - M - Smart H Home Appliances [Allshare] 컴퓨터, 휴대폰, 캠코더, TV등의디바이스탈취 문자메세지, CCTV( 동영상 ), 구글트위터 AP뉴스등의검색기록내역 H L - - H 349 억 달러 M M 감시내역, 인터넷정보, 화상채팅내역, 인터넷 [Haier u-home] 중앙통신융합장치의취약점 교육내역, 원격서비스정보, 음악감상, 이미지, H - M - 동영상시청, 날씨정보, 슈퍼의재고상황 [Kenmore] wi-fi. 무선통신취약점 집수리내역에대한모니터링정보 L - M - 사례 IoT 를통해생성및이용가능침해위협활용

232 개인정보발생가능개인정보의종류칼로리, 걸음수, 거리, 발생가능개인정보의민감도 디바이스 네트워크 서버 이용자규모 시장규모 서비스시장규모 2차결합시장규모 운동량, 운동목표, 몸무 [Fuelband Series] - 나이키플러스어플유출 게신장등신체정보, 과거의운동히스토리, M M - - 다른사용자들의운동량 과비교공유 달린거리, 어떤길로달 [Micoach Smart run] - Wi-FI, 블루투스취약점 려왔는지, GPS, 가속도계, 사용자신체상황, 날씨 M - L - Smart Healthcare [Walkie+D] 변화및훈련데이터사용자의걸음수, 이동거리, 이동속도, 소모칼로리, M M - - H L 45억달러 L M 일상적인활동량분석 심방동수, 이동속도, 칼 [iriveron] 로리소모량, 스마트폰 L M - - 변화상태 [Health-On-Shine] - 자석클립디바이스탈취 하루운동량, 운동패턴, 칼로리, 소모량 L L - - [Jawbone up] 수면상태, 언제잠이들었는지 L L - - 사례 IoT 를통해생성및이용가능 개인정보 침해위협 활용

233 외부 IP 및이동전화망을통해모니터링정보 발생가능개인정보의종류 발생가능개인정보의민감도 디바이스 네트워크 서버 이용자규모 시장규모 서비스시장규모 2차결합시장규모 를제공하는경우, 홈게이트웨이암호 / 인증취 약성을이용한원격제어정보노출및위 / 변조가발생할수있음. 이를통해개인의전력사용정보에대한수집 개인전력사용량 M - M - 및기기제어가가능함 -> 홈게이트웨이암호 / 인증취약성소비자영역내기기간에교환되는전력사 용정보에대한위 / 변조가 PLC, ZigBee, Wi-Fi-, SUN 등다양한통신프로토콜에대한 스니핑, 중간자공격을통해발생할수있음. Smart Building/Ci ty/grid 이를통해개인의전력사용정보가노출되고과금정보를조작할수있음. 인증키에대한노출시스마트미터위장을통한개인정보노출, 서비스거부공격, 과금조작등 2차피해를유발할수있음 개인전력사용정보 M - M - M H 59억달러 M H -> 인증키를탈취를통한전력사용량강제수 정소비자영역내스마트미터및기기간에는 다양한정보가전달되고있어, 스마트그리드 특성과결합하여광범위한개인행태정보가노 출될수있음개인정보수집, 저장, 유통, 공유및다양한이해관계자, 통신망의취약점등을통해개인정보노출이가능함 기본적인인적사항, 과금및전력사용량 H - M - 개인의인적정보및전력사용패턴등이노출 되는경우심각한프라이버시침해및정신 적, 물질적피해발생

234 SCADA, DAS 등전력망주요시스템에대한침해공격으로대규모정전사태등이발생할수있음 SCADA, DAS 서버는보호된영역에존재하며신속한조치가가능하여대체로안전한것으로판단되고있으나, SCADA 시스템을대상으로하는다수의공격사례가존재함 -> SCADA 시설마비 발생하는개인정보없음 L - M

235 사례 IoT를통해생성및이용가능개인정보발생가능발생가능개인정보의개인정보의종류민감도 디바이 스 침해위협 네트워 크 서버 이용 자 규모 활용서비시장스규모시장규모 2차결합시장규모 [ 스마트폰 ] 사용자의디바이스도난및분실문자메세지및인터넷서비스를통한피싱및파밍 디바이스관련정보 사용자의금융정보 H L M L Smart Communic ation [ 구글글래스 ] 사용자의디바이스도난및분실서버의해킹을통하여개인정보노출이가능함 디바이스관련정보 영상및사진정보 위치정보, 음성정보 H L M - H H 2,82 8억달러 H H [ 스마트워치 ] 사용자의디바이스도난및분실 Wi-fi 및블루투스를이용한네트워크공격이가능함 사용자의건강정보 위치정보 M L M

236 제 5 절. 위험분석프레임워크분석에따른영역별대처방안 1. 개요 위험분석프레임워크분석에따르면개인정보유 노출사고발생시위험은스마트커뮤니케이션즈디바이스, 커넥티드카, 스마트홈어플라이언스순으로높은것으로나타났다. 그러나위험의정도는비즈니스영역별로다른것으로나타났다. 개인정보의종류는커넥티드카와스마트커뮤니케이션즈디바이스가많이생성하는것으로나타났지만, 개인정보의민감도는스마트홈어플라이언스와스마트홈커뮤니케이션즈디바이스가높은것으로나타났다. 또한침해위협도의경우디바이스는커넥티드카와스마트헬스케어가높은것으로나타났지만, 네트워크에대한위협도는커넥티드카가높은것으로나타났다. 따라서비즈니스유형별로대처방안을마련하는것이필요하다. 본절에서제시하고자하는대처방안은본프레임워크에서제시한사물인터넷을통해생성및이용가능한개인정보, 침해위협도, 사회적영향도에따른각각의대처방안을제시하고자한다. 또한대처방안의일관성을위해본보고서제7장의제도개선방안과제8장의안정성확보및보안대책의내용을주로활용하여대처방안을제시하고자한다. 그러나모든영역에대해대처방안을제시하는것은리소스의한계가있으므로, 본연구에서는개인정보유 노출사고발생시위험정도가가장높은스마트커뮤니케이션즈디바이스와커넥티드카에대해서만대처방안을제시하고자한다. 본보고서에서 5개의비즈니스영역중 2개의영역에대해서만대책을제시한다고하여나머지 3개의영역이개인정보유 / 노출사고발생시위험정도가낮은것은아니다. 향후서비스의발전방향과시장규모의변화, 해킹기술및서비스에서의개인정보활용방향의변화에따라본프레임에서제시한 5가지영역간위험의정도는언제나바뀔수있고위험정도도증가할수있다. 따라서본보고서에서다른 2개의영역외에다른영역들은향후추가적으로분석하는것이필요해보인다

237 2. 스마트커넥티드카 (1) 개요 커넥티드카가주는혜택은여러가지가있을수있으나크게다음의 3가지를들수가있으며구체적인내용은아래와같이정리될수있다. 첫째, 가장근본적인목적으로서는안전성확보이다. 차량의진단정보와위치정보가연결되어차량의사고발생등위급상황이나응급상황발생시대처할수있는방안을지원해주며, 차량의제조사나정비업자등에게차량의정보를전달하여자동차의실시간진단및성능개선을돕게된다. 둘째, 환경적인편익을들수있다. 차량의내외부의센서로부터운전자의운전습관과행동정보를모니터링하면서잘못된운전습관을실시간으로지적하게됨에따라연료효율을최소화하게된다. 가트너에따르면이를통해발생될수있는세계정유소비의약 4% 수준을절감할수있을것으로예측하였다. 또한교통신호정보와의통신을통해서최적화된교통흐름또한달성할수있게된다. 셋째, 편리성이다. 인터넷과연결된차량의각종기능은운전자에게재미와편리함을제공하게된다. 주차브레이크, 정유, 타이어정비, 오일교체등에대한각각의차량사안에대하여스마트폰을통해알수있으며, 원격시동및원격온도조절등도손쉽게작동될수있다. 이러한혜택에도불구하고, 한발앞으로다가온커넥티드카환경에서는개인정보나프라이버시문제에대해서는자유로울수없을것으로여겨지고있다. 뿐만아니라커넥티드카가수집하는정보는운전자의행태정보와건강정보등활용가치가높은동시에민감한정보가다량포함될수있기때문에운전자의프라이버시우려는더욱높아지게될것으로보인다. 본장에서는앞서위험분석프레임워크에서제시한커넥티드카의주요특성을다시한번짚어봄과동시에수집되는개인정보를정리하여개인정보보호이슈를해당특성에맞게도출하고, 이러한내용을토대로정책적인시사점을도출해보고자한다

238 (2) 문제점 사물인터넷환경에서의위험분석프레임워크 에따르면커넥티드카의 경우사물인터넷을통해생성및이용가능한개인정보의종류와네트워크에 대한침해위협도, 이용자빈도및서비스시장규모와같은사회적영향도 부분에서높은위험수준을나타내고있는것으로드러났다. 현재국내에서는상용화되지않았다는점등을고려할때이용자수는 아직까지는적으나자동차가생활에밀착되어있고, 자동차서비스시장규모가 매우커, 일정부분의인프라만갖추어진다면상용화되는데있어그시간적 소요가오래걸리지않을것이라는요소도작용된것으로보인다. 뿐만아니라 자동차의특성상개인정보사고발생시자칫운전자의생명과직결되는등 위험정도가클수있기때문인것으로풀이된다. 이러한측면을고려하여먼저블루링크의등앞서살펴본내용을토대로 생성및이용가능한개인정보의종류에대하여재정리를하고자한다. 첫째, 위치및지리정보가생성수집된다. 교통에기반한실시간네비게이션을 통해차량에서의위치기반서비스를이용하기위한더많은기회가제공될수 있다. 신호기반의기술, Wi-fi, GPS 기술과 Crowd-sourced positioning 152), onboard 센서 153) 와 GPS 의결합등의기술을통해자동차의상세위치를파악할수있게 된다. 둘째, 주변의다양한외부정보를수집하게된다. 자동차에탑재된 onboard 센서를통해주변환경, 장애물과차선표시들을감지하게되면서차량외부의 개인에대한영상정보를수집할수있다. 장애물을정교하게회피할수있도록 보다명확한외부정보를얻어야할필요성이발생됨에따라이러한개인 영상정보의개인식별성은관련기술의진보에따라더욱높아질것으로 기대된다. 셋째, 다양한생체정보가수집될수있다. 내부센서를통해운전자의식별및 접근통제를위하여얼굴인지, 생명신호, 목소리와같은생체및바이오 152) 해당단말기외, 주변의많은단말기에대한위치정보까지파악하고그차이를분석함으로써해당단말기에대한보다정확한위치를분석해내는기술 153) 자동차의주변환경, 장애물과차선표시들을감지에대한정보를수집하기위해사용되는센서

239 정보를수집하게된다. 또한운전자친화적인세팅 (driver-friendly configuration) 을위하여운전자의프로파일이나운전습관및스타일정보를수집함으로써이러한세팅을보다빠르게지원하게된다. 더욱이운전자의체온, 맥박등을수집하여운전자의현건강상태나스트레스수준등을파악함으로써보다안전한운전경로등을제공한다. 넷째, 운전자로부터여러행태정보가수집될수있다. 운전자의집중, 스피드, 브레이크습관등과같은정보를수집하며, 앞의주요정보들과결합하여안전에대한새로운자료나지식도생성하여서비스할수있다. 또한, 운전중졸음신호를감지하고다른관련정보와결합하여운전자에게필요로하는졸음제거소리를발생시킬수도있게된다. 154) 다섯째, 서비스가입및등록정보가필수로입력될것이다. 상기의새로운서비스에가입하기위하여운전자의이름, 주소, 차량번호, 계좌정보등이수집이될것이다. 특이할만한것은, 과거에는이러한개인정보가자동차판매자에의해수집되었으나, 커넥티드카환경에서는제조사로직접수집됨에따라데이터이용의가치사슬이변경될것으로여겨진다. 커넥티드카에서수집되는개인정보의종류를살펴보면, 그종류가개인의신상정보뿐만아니라, 위치정보와행태정보, 아울러생체정보등의민감정보까지질적양적으로매우다양함을알수있다. 아울러, 자동차제조자가마음만먹는다면운전자가그시점에서생각하고있는정보를제외하고는모든정보를수집가능한것으로보인다. 커넥티드카에서수집되는이러한개인정보가과연어떠한영향력을가지게되는지에대하여다음두가지측면에서살펴볼수있다. 첫째, 이용자의프라이버시민감도에대한사항이다. 차량내에서의공간은지금껏집안에서의그것보다더욱민감한프라이버시영역으로여겨져왔다. 집이라는장소는가족이라는공감대속에서일정부분개인의프라이버시를양보한부분이분명존재하지만, 차량의경우에는지극히개인의프라이버시가극단적으로존중되는장소로서, 차량소유주즉해당정보주체에게는나자신만의공간으로여겨지고있다. 만약이러한프라이버시공간이누군가에게감시가되거나, 공개가될수도있 154) 미국의연방정부는만취하였을때확실하게감지할수있는자동차시스템을연구하고있음

240 는장소로변경된다고할경우, 차량에대한프라이버시염려와우려정도는더욱높아질수밖에없을것이다. 다시말해서차량에서발생되는개인정보는개인의지극히존중되어야할프라이버시에대한정보로서, 다른어떤분야의개인정보에비해서그민감정도가상대적으로매우높을수밖에없으며, 그러한개인정보가유출되거나공유된다면치명적인프라이버시권침해를불러일으킬수있다. 둘째, 커넥티드카의보안사고에대한심각성이다. 커넥티드카가비록운전자에게여러가지혜택을주는것은앞서살펴본바와같이명확한것으로전망되고있다. 그럼에도불구하고자동차라는특성상안전사고의발생은운전자의생명을잃게할수있으며, 차량과차량간, 차량과도로망간의해킹등은대형사고또는심각한사회문제로도확대될수있다. 한편, 가트너에따르면, 5년뒤대부분의승용차와트럭이인터넷에연결될것으로예상하였으며, 2020년에는약 1억 5,000만대의자동차들이 Wi-Fi를통해인터넷에연결되며이들중 60~70% 는웹기반데이터를소비하고생성하며공유할것이라하였다. 즉, 대부분의자동차가네트워크로연결되어서로통신하며운전자의안전과편리를제공하게된다는것이다. 사실, 커넥티드카의실용화는현재국내에서보다는국외에서의상용화가이루어질가능성이크다. 글로벌차원에서상용화가이루어진다면, 국내에서사용되어지는커넥티드카의경우구글카나테슬라같은해외차량일가능성이높다. 특히, 한미 FTA나한-EU FTA 체결등으로인해이러한커넥티드카의국내진출은그렇게높은장벽이되지는않을것으로보인다. 개인정보보호측면에서국외커넥티드카의국내시장진출은다음의두가지문제를야기하게된다. 첫번째로해당차량을통해개인정보를수집하는자는분명해외의차량제조회사가될가능성이높다. 이들은국내법을통해규율받는다고는하나조사나집행에있어서어려움이있기때문에실질적인규율대상으로보기는어려울수있다. 따라서해당차량의제조사가우리법에서요구하는충분한보호조치를하지않는이상결국, 우리개인정보보호제도와상충될수밖에없는문제가발생된다. 둘째로해외의커넥티드카제조업자가국내정보주체의개인정보를직접수집하지않는다고할경우, 국내의마케팅업체,

241 혹은판매대행업체가이러한개인정보수집행위를대행할경우가발생할수있다. 이러한경우에는개인정보의국외이전이슈가발생할수있다. 국외이전의형태가제3자제공이냐위탁이냐는그사례에따라달라질수있겠지만, 이러한문제는차치하고서라도개인정보의국외이전에따른피해구제등의어려움, 재이전 (onward transfer) 의가능성등위협요소들이상존하게된다. 따라서, 상기의이러한문제점을토대로사물인터넷환경에서사용되는스마트폰에대한보호대책과더불어커넥티드카에대한정책적대안도시급히마련되어야할필요가있다. (3) 대처방안 사물인터넷환경에서의위험분석프레임워크는크게생성및이용가능한 개인정보의종류와관련한대책, 개인정보민감도에따른대책, 사회적영향력 관련대책으로나눌수있다. 따라서사물인터넷환경에서커넥티드카대한 대책은위의 3 가지를중심으로기술하고자한다. 1 생성및이용가능한개인정보관련대책 첫째, 수집최소화와정보주체로부터의충분한고지를통한동의가획득되어야한다. 커넥티드카로부터수집되는개인정보의경우차량제조회사가마음만먹는다면해당정보주체에대한모든정보를수집할수있다. 이를방지하기위해서는정보주체가원하는커넥티드카서비스에해당하는개인정보만을수집하도록약관에명시할필요가있다. 즉, 커넥티드카가제공해주는각서비스별로수집되는개인정보의내용과현황을상세히정리한후에그에대한위험성을별도로알려주도록함으로써해당정보주체가받게되는서비스별로개인정보의수집동의를취사선택할수있도록하는방안이필요하다. 둘째, 프라이버시바이디자인및디폴트를기반으로한제조공정이우선시되어야한다. 자동차산업의특성상그부품을생산및가공해주는여러업체가존재하게된다. 즉, 1대의자동차가완성되기위해서는여러부품제조기업들이

242 존재하게되는데, 만약차량의설계단계부터프라이버시를고려하지않을경우 해당차량의개인정보보호조치에대한변경은쉽지않을수있다. 2 개인정보민감도에따른대책 첫째, 제3자무단제공등목적외이용되지않도록규제를강화할필요가있다. 앞서설명한바와같이커넥티드카로부터수집되는정보는프라이버시민감도가매우높은특징을지니고있다. 뿐만아니라생명의안전과도연결됨으로써오남용될경우대형사고로이어질수있다. 이는다른사물인터넷서비스와다른커넥티드카만이가지는특성이라할수있는데이를규제하기위한특별법의제정도일부필요할것으로보인다. 특별법에서담겨져야할개인정보보호조항으로써는필요한최소한의정보가수집처리될수있도록하는등개인정보보호법에서의기본원칙을포함하는것은물론, 운전자행태정보의제3자제공대상의한정 ( 보험사또는차량정비업체등 ) 또는마케팅을위한제공금지등을규정할필요가있다. 둘째, 유출사고발생시즉각적인통지시스템체계를마련하고현장대응능력강화할필요가있다. 현재개인정보보호법에서는개인정보유출사고발생시 5일이내통지토록권고하고있다. 하지만커넥티드카의제조업자에서유출된개인정보의경우실시간으로통지할수있도록변경할필요가있으며, 이에대한 2차및 3차피해가없도록하기위하여해당차량에대한추가적인방화벽설치등을통해차량해킹시도에대비할수있는체계를구축해야한다. 셋째, 비식별화조치의무화및재식별위험방지를위한모니터링을강화할필요가있다. 차량내에서발생되는개인정보의민감도및유출에따른피해가매우클것으로판단되므로수집이후의단계에는가능한비식별화조치를취한후처리될수있도록보호수준을강화할필요가있다. 또한외부정보와의결합등을통해재식별되지않도록상시모니터링체계를구축하는것도필수적인사항이라사료된다

243 3 사회적영향력관련대책 사물인터넷환경에서의위험분석프레임워크 에따르면스마트폰은개인정보유 노출사고발생시사회적인영향력이매우큰영역으로평가되고있다. 이용자빈도, 서비스시장규모등과같은부분에서사회적영향도가모두큰것으로나타났다. 사회적영향력과관련한대책은다음네가지로아래와같이제시될수있다. 첫째, 개인정보보호를위한업계공동실천규약을제정하고이를주기적으로모니터링할수있는수단을강구할필요가있다. 커넥티드카제조사모두가공동으로실천할수있도록관련협회나단체등에서우선적으로자율규제형태의지침을제정하고, 이를수시로검사및모니터링할수있는방안이필요하다. 이를위해서는정부와관련협단체의협력이필요할것으로본다. 이경우, 해당자율규약에대한법적구속력을일부제공할필요가있는데, 이는현개인정보보호법의개정을통해관련협단체를자율기구단체로지정하는등의개선이필요한부분이다. 둘째, 차량제조자및관련이해관계자모두를대상으로개인정보보호에대한인식제고및홍보를강화할필요가있다. 커넥티드카제조사, 부품사, 해당서플라이체인에포함된모든이해관계자들이개인정보보호에대한인식을제고시킬수있도록지속적인교육을실시해야할것으로보인다. 셋째, 개인정보보호법의국외적용근거를마련할필요가있다. 현개인정보보호법에는본법의적용범위에대하여명확히규정하고있지않다. 물론본법제1조에서는개인정보의처리및보호에관한사항을정함으로써개인의자유와권리를보호하고, 나아가개인의존엄과가치를구현함을목적으로함을명시하고있으나, 여기에서지시하고있는개인이내국인만을의미하는것인지는알수없고, 특히본법의규율대상이되는개인정보처리자에대한사항도업무를목적으로개인정보파일을운용하기위하여스스로또는다른사람을통하여개인정보를처리하는공공기관, 법인, 단체및개인으로제시되어있을뿐국내외에대한범위규정이명확히되어있지않다. 외산커넥티드카의경우, 우리국민의개인정보가국외로직접수집되는

244 형태를취하게될것으로보이는데이를일정부분해결할수있는것이본법의국외적용에대한근거를우선적으로명확히해야할필요가있을것으로보인다. 예컨대, EU의경우일반정보보호규정안에서는본규정의역외적용사항을명확히규정함으로써해외에서직접수집되는 EU 시민의개인정보를보호하기위한법률적장치를마련토록하였다. 즉, 기업이 EU지역밖에서개인데이터를처리하는경우에도 EU규제가적용되며, EU에재화나용역을공급하거나유럽시민의행태를모니터링하는국외기업 (data controller) 에게도적용되도록하였다. 따라서본규정에의거하여 EU시민은기업이 EU밖에있더라도자국개인정보보호당국에법위반행위를신고할수있고자국법원에소를제기할수있는근거를마련하였다. 3. 스마트커뮤니케이션디바이스 (1) 개요 스마트커뮤니케이션디바이스로는스마트폰, 해드마운티드디스플레이 (HMD) 가장착된안경형구글글래스, 시계형태의스마트워치등이있다. 이러한스마트커뮤니케이션디바이스는커넥티드카, 스마트홈어플라이언스, 스마트헬스케어등에서사용할수있는범용스마트디바이스라할수있다. 구글글래스나스마트워치의경우아직까지는성능에한계가있지만, 스마트폰의경우커넥티드카, 스마트홈어플라이언즈, 스마트헬스케어는물론스마트빌딩 / 시티 / 그리드등에서모두컨트롤러또는리모컨으로사용할수있다. 스마트폰은또한자체적으로다양한기능을가지고있다. 카메라, GPS, 마이크, 스피커, 지자기센서등을탑재하고있으며, 정보처리를위한자체프로세서와메모리칩등을내장하고있다. 따라서스마트폰내에는많은정보들이생성되고, 수집되며, 외부의시스템또는서버등에전송이가능하다. 이러한스마트폰의특징으로인해개인정보가외부로유출또는노출되는경우다른서비스들에비해많은위험을초래할수밖에없다. 따라서이번순서에서는스마트커뮤니케이션디바이스중스마트폰에대한

245 보호대책을제시하고자한다. (2) 문제점 사물인터넷환경에서의위험분석프레임워크 에따르면스마트커뮤니케이션디바이스는사물인터넷을통해생성및이용가능한개인정보의종류와생성및이용가능한개인정보의민감도가높은것으로나타났다. 또한사회적영향력의경우도이용자수, 이용자빈도, 서비스시장규모, 2차결합시장규모등모든항목에서높은수치를보이는것으로나타났다. 스마트커뮤니케이션디바이스의이러한특성은사물인터넷환경에서스마트폰이개인정보유 노출시개인정보보호측면에서위험이가장높은서비스로만들었다. 스마트폰이포함된스마트커뮤니케이션디비이스는본보고서에서조사한 5개의영역중에서도개인정보유 노출시위험이압도적인 1위로나타났다. 총점 27점에 21점으로 2위커넥티드카 (18점) 보다 3점이높았으며, 3위스마트홈어플라이언스 (16점) 보다는무려 5점이나높았다. 스마트폰에서생성및이용가능한개인정보의종류로는사진, 동영상, 음성, 신용카드번호, 계좌번호, 일정정보, 전화번호, 시청정보, 검색기록, SNS 활동로그, 제조일자, 메모와 Wi-Fi, NFC, 블루투스등통신중에생성되는정보들이있다. 이와같은정보들중에는개인을식별할수있는정보들이있음은물론외부로유 노출시경제적으로피해를입힐수있는정보들도다수포함하고있다. 또한이용자수의경우국내의경우 4천만개이상의이용자 ( 스마트폰으로개통한번호기준 ) 155) 로가장보편적인사물인터넷또는스마트디바이스이며, 특성상하루에도수십에서수백번이상사용하는디바이스이다. 이에따라서비스시장규모또한수조원이상이며, 스마트폰과연관되어있는결합시장의규모또한사물인터넷서비스중압도적으로높다고할수있다. 따라서사물인터넷환경에서사용되는스마트폰에대한보호대책마련이가장선행될필요가있다. 155) 미래창조과학부, 무선통신가입자통계 ( 월말기준 ),

246 (3) 대처방안 사물인터넷환경에서의위험분석프레임워크는크게생성및이용가능한개인정보의종류와관련한대책, 개인정보민감도에따른대책, 디바이스와네트워크부분에서의대책, 사회적영향력관련대책으로나눌수있다. 따라서사물인터넷환경에서스마트폰보호대책은위의 4가지를중심으로기술하고자한다. 1 생성및이용가능한개인정보관련대책스마트폰은다양한개인정보를수집하고있다. 스마트폰에서사진이나영상을녹화하는경우국내폰의경우한국정보통신기술협회표준에따라피쳐폰은물론스마트폰의경우도촬영음을내도록하고있다. 피처폰의경우 2004년제정한표준에따라 60~68DBA의소리를내도록하고있으며, 스마트폰의경우는 2013년개정표준 156) 에따라 미리보기동작시 는물론 이미지나동영상의파일저장시 에도촬영음을내도록하고있다. 그러나촬영의경우화면에만촬영임이표시되고, 외부에는촬영임을확인할수있는표시등이설치되어있지않다. 이는물론스마트폰의센서등이부착되는경우외부에서이를확인할수있는방법도없다. 따라서카메라, 마이크로폰, 모션센서등의경우개인정보를수집하고있는경우이를이용자에게주기적으로알려주기위해외부에램프로표시할필요가있다. 이를위해스마트폰하드웨어개선은물론스마트폰내부의프로그램에촬영시외부램프에불이들어올수있도록카메라응용프로그램을설계할필요가있다. 스마트폰디바이스에는다양한개인정보가저장되어있다. 스마트폰에저장된개인정보는이용자가스스로저장한것도있지만, 커뮤니케이션과정에서저장되는경우도있다. 이용자가스스로저장하는개인정보에는사진, 전화번호, 신용카드번호, 계좌번호, 일정정보등이있다. 커뮤니케이션과정에서저장되는개인정보는통화내역, 문자내역, 검색기록, 시청정보, SNS 활동로그, 앱사용내역등이있다. 이러한정보들은외부에유 노출되는경우 156) 한국정보통신기술협회, 휴대폰카메라촬영음표준 (TTAK.KO /R1),

247 개인에게심각한물적, 정신적피해를입힐수있는민감정보인경우가많이있다. 따라서사물인터넷환경에서사용되는스마트폰의개인정보보호를위한다양한대책이필요하다. 제시가능한개인정보보호대책으로는첫째, 스마트폰개발단계부터프라이버시를고려하는개념 (Privacy by Design) 및디폴트 (Default) 개념을적용하여스마트폰을출시하는것이있다. Privacy by Design의 7대원칙중에특히첫번째원칙인 사후대응이아니라사전대비, 문제점을고치는것이아니라사전예방할것, 두번째원칙인 프라이버시보호를시스템의기본값으로설정할것 (privacy by default), 다섯번째원칙인 개인정보의생명주기전체에대하여보안을고려할것, 일곱번째원칙인 사용자중심의설계와운영으로개인의프라이버시가존중되도록할것 에중점을두어개인정보보호대책을마련해야한다. 둘째, 스마트폰에는다양한개인정보가저장되어있으므로필요없는개인정보는주기적으로삭제 ( 파기 ) 해야한다. 스마트폰의저장용량은 삼성겔럭시 S5 의경우 32GB를저장할수있고, 외장메모리의경우최대 128GB까지저장할수있다. 향후스마트폰의저장용량은기술의발전에따라계속증가할것이고, 스마트폰교체주기가 2~3년인점을고려했을때거의무한대로문자및통화이력, 카카오톡과같은메신저내용등을저장할수있다. 스마트폰에저장된개인정보들은시간이지남에따라이용자에게필요한경우는점차줄어들게되지만외부에유 노출되는경우개인을식별할수있는가능성은증가하게된다. 따라서위에서언급한 Default 개념을도입하여, 예를들면 3개월또는 6개월마다필요없는문자및통화이력, 메신저내용등은삭제하도록이용자에게주기적으로고지할필요가있다. 이러한기능의사용은스마트폰설계단계부터고려되어야한다. 마지막으로스마트폰에저장되어있는정보의삭제를넘어스마트폰을중고시장에판매하거나스마트폰을사용하지않게되는경우반드시스마트폰의정보를삭제또는파기해야한다. 최근스마트폰가격이증가함에따라중고로스마트폰을이용하는경우가증가하고있다. 반면스마트폰에저장되어있는정보를삭제하지않아서개인정보가외부에유출되어피해를보는경우가점차증가하고있다. 따라서

248 스마트폰이용자에대한교육및홍보강화와함께, 스마트폰대리점및유통점등이중고스마트폰을판매하는경우시스템을초기화한후판매하도록제도화할필요가있다. 셋째, 외부 3자가스마트폰의개인정보를열람할수없도록안전성확보조치를취해야한다. 안전성확보조치로는스마트폰을외부의제3자가볼수없도록비밀번호, 패턴인식등을이용한접근통제, 비밀번호의작성규칙의복잡도증가, 스마트폰내의개인정보암호화, 보안프로그램의설치등이있다. 2 개인정보민감도에따른대책스마트폰에는사진, 동영상, 음성, 신용카드번호, 계좌번호, 일정정보, 전화번호와같은개인을식별할수있는정보가있다. 스마트폰에저장된정보들중사진, 동영상, 음성, 신용카드번호, 계좌번호등은개인을식별할수있으면서민감한정보이다. 이외에도개인을식별할수는없지만민감한정보로는시청정보, 검색기록, SNS 활동로그, 앱사용내역등이있다. 이러한정보들은스마트폰에있는개인식별정보또는플랫폼이나서비스에있는정보들과결합하면개인을식별할수있으면서민감한정보가될수있다. 사물인터넷환경에서의스마트폰과관련한개인정보민감도에따른대책으로는앞의 생성및이용가능한개인정보관련대책 에서언급한내용들을같이고려할필요가있다. 이중에서도개인을식별할수는없지만민감한정보들인시청정보, 검색기록, SNS 활동로그, 앱사용내역등과관련해서는서비스에지장을초래하지않는범위내에서해당정보들을즉시삭제할필요가있다. 개인이계정을등록해서사용하는 Naver와 Daum같은국내포털과 Google과같은외국포털의경우이용자의편의를위해검색이력을저장하고있으며, 안드로이드버전의경우인터넷을사용할경우인터넷접속기록들을자동으로보관하고있다. 이러한정보들은외부의제3자에게스마트폰의사용권한이넘어갈경우손쉽게확인이가능하므로검색이력등의저장주기를최소화하는것이요구된다. 이를위해서는자동삭제기능을설정해놓거나특정한기간이지난이력의경우확인을위해서는비밀번호를입력하는등프라이버시를고려한설계가적용되어야한다

249 또한정책적으로는비식별화조치를취할수있는방안을강구해야한다. 스마트폰의정보는자체적인정보만으로는개인을식별할수없다고하더라도플랫폼이나서비스의정보와결합하면개인을식별할수있기때문이다. 특히사물인터넷환경에서는플랫폼이나서비스에서수집하는정보가방대하며이를통해스마트폰의정보와결합하면식별의가능성이높아지게된다. 비식별화를위한대책으로는정부차원에서개인식별에대한모니터링을주기적으로실시하고관련대응매뉴얼을개발해야한다. 또한플랫폼또는서비스사업자가공동으로사용할수있는개인정보의비식별화조치에대한적정성평가도구를개발할필요가있다. 이를활용해플랫폼또는서비스사업자가개인정보의비식별화조치에대한적정성평가를받도록제도적인조치를마련할필요가있다. 또한사업자측면에서는식별위험을기술적으로줄여줄수있는솔루션을도입하거나, 데이터제공, 위탁, 공개시비식별조치조항을명문화하도록제도를정비할필요가있다. 3 디바이스와네트워크위협대책스마트폰의경우네트워크의침해위협은중간정도이며, 디바이스낮은것으로나타났다. 그러나스마트폰의경우디바이스와네트워크가스마트폰에모두탑재되어있고정보의수집과전송이연동되어있어연동구간에서취약점이발생할수있다. 따라서디바이스와네트워크침해위협을같이고려해야한다 국가정보보호백서 에따르면사물인터넷에서의보안위협으로는센서와단말을포함한디바이스영역에서는분실 / 도난, 물리적파괴, 웜 바이러스감염, 비인가접근, 정보유출, 데이터위 뱐조, 무선신호교란이있고, 네트워크영역에서는도청, 정보유출, 데이터위 변조, 서비스거부공격이있다고한다. 이에대한대책으로는디바이스영역에서는물리적접근통제강화를위한별도의시건장치마련, 접근하기어려운위치에디바이스설치, 디바이스식별및인증을위해센서에할당된자원을활용한자체인증수행, 암호프로토콜사용, 별도의 USIM 등의이용이있다. 네트워크영역에서는사물인터넷환경에적합한이종네트워크환경에맞는보안기술의적용이필요하다고밝히고

250 있다 국가정보보호백서 는보안대책만을다루고있다. 그러나사물인터넷환경에서개인정보를보호하기위해서는디바이스또는네트워크에대한보안이외에개인정보를보호하는기술이적용될필요가있다. 이러한기술들을통칭하여개인정보보호강화기술 (Privacy Enhancing Technology, PET) 이라고한다. 개인정보보호강화기술로는익명화 (Anonymization) 기술이가장잘알려져있다. 이외에난독화 (Obfuscation) 기술과개인위치정보보호를위한위치변환 (Space transformation) 및공간은폐 (spatial cloaking) 등의기술이있다. 사물인터넷환경에서의개인정보를보호하기위해서는위의보안기술과함께향후개인정보보호강화기술이함께고려되어져야한다. 4 사회적영향력관련대책 사물인터넷환경에서의위험분석프레임워크 에따르면스마트폰은개인정보유 노출사고발생시사회적인영향력이가장커다란영역으로평가되고있다. 이용자수, 이용자빈도, 서비스시장규모, 2차결합시장규모모두사회적영향도가모두큰것으로나타났다. 스마트폰의사회적영향력관련한대책으로는주요개인정보처리자별개인정보수칙및가이드라인을개발, 이용자의자기정보통제권강화방안마련, 사물인터넷위험에대한이용자교육강화방안마련이있을수있다. 첫째, 주요개인정보처리자별개인정보수칙및가이드라인의개발이필요하다. 사물인터넷환경에서는기기제조자, 소셜플랫폼서비스제공자, 소프웨어개발자, 다른제3의참여자, 사물인터넷데이터플랫폼과같은개인정보처리자가존재한다. 이들은보유또는처리하는개인정보파일은물론처리및운영하는방식또한다를것이다. 따라서개인정보처리자별로업무특성에맞는개인정보호보수칙이나가이드라인의개발및보급이필요하다. 많은기업들은기기제조자, 소셜플랫폼서비스제공자, 소프트웨어개발자로서의독립된역할을하고있다. 그러나최근들어애플과같은글로벌 ICT 기업의경우여러가지역할을동시에수행하는경우가있다. 애플은 iphone을생산하는기기제조자, ios를개발한소프트웨어개발자, 앱스토어를운영하는데이터플랫폼의

251 역할을하고있다. 구글도애플과비슷한사업플랫폼을구성하고있다. 따라서 개발하는개인정보호수칙및가이드라인은사업자별이아닌업무별로구분하여 제시할필요가있다. 둘째, 이용자의 자기정보통제권 강화 방안을 마련해야 한다. 사물인터넷 환경에서는정보의편재성등으로인해정보주체의자기통제권이약화될수밖에 없다. 이에따라이용자와스마트폰제조사, 통신사등과의신속한민원처리 채널의 구축, 이용자의 개인정보 수집, 이용, 제공, 파기 전 단계에 대한 개인정보처리방침에대한고지및동의강화, 필요이상으로수집처리되지 않는 내용을 담은 자율규약 (Code of Practice) 제정 및 운용, 자신의 개인정보통제권 행사 방법에 대한 통지를 보장하는 메커니즘의 마련 등이 포함되어야한다. 셋째, 사물인터넷 위험에 대한 이용자 교육을 강화해야 한다. 사물인터넷 환경은 개인정보를 수집하는 디바이스의 산재성으로 인해 개인정보 보호측면에서기존의 PC-서버환경과많은차이가있다. 따라서이용자에게 사물인터넷 환경에서 개인정보가 어떻게 수집될 수 있으며, 이러한 개인정보들이빅데이터등과결합하여얼마나쉽게개인을식별할수있는지를 교육할 필요가 있다. 또한 사물인터넷 환경에서 개인이 스스로 자신의 개인정보를보호하기위해서는스마트폰을어떻게설정하고관리해야하는지에 대한교육이필요하다. 마지막으로사물인터넷환경에서스마트폰을이용중 개인정보관련한사고또는문제가발생할경우어떠한기관의도움을받을수 있는지에대한내용도교육에서같이다루어져야한다

252 제 7 장사물인터넷환경의개인정보관련제도개선방안 제 1 절. 사물인터넷환경과프라이버시위협 사물인터넷 (IoT) 의개념은네트워크의가용성을활용하면서다른디바이스나시스템과교환하여고유식별자와관련성을가짐에따라, 일상적으로활용되는기기 소위일컫는 사물, 즉다른사물이나개인에연결된것들에내장된수십억개의센서가데이터를기록, 처리, 저장, 이전토록의도된인프라로일컬어진다. 드러나지않는모습으로상호통신하고끊임없이데이터를교환하게되는센서를통해이러한 IoT가데이터확장처리원칙에의존하게되기때문에편재형컴퓨팅 (pervasive computing) 또는유비쿼터스컴퓨팅 (Ubiquitous Computing) 의개념과매우밀접한개념으로사용되어지고있다. 이러한개념의사물인터넷 (IoT) 환경에서앞장에서논의한보안 (Security) 및개인정보위협은기존전통적인환경과차이점을가지게되는데이러한주요차이점을개인정보라이프사이클에맞추어정리해보면다음과같다. 먼저, 개인정보의수집, 저장및관리측면에서볼때, 기술적으로진보되고, 자동화된디바이스및센서의사물식별능력및센서를통한데이터, 접속능력에기반한정보의수집능력은개인의습관, 흥미등민감정보를포함한다양한종류의개인정보를수집 이용하고, 비합법적인데이터처리, 프로파일링, 추적성들을확보할수있게되어개인의프라이버시에큰위험으로존재하게되었고, 사물자체의자율적인정보수집, 처리및데이터공유가이루어질수있기때문에다양한정보원천 ( 서비스, 디바이스등 ) 으로부터의데이터를결합하여데이터마이닝을수행할경우개인정보를새로이창출하여기존부터존재하고있는개인정보보호문제가훨씬더중요하게다루어질수밖에없게되었다. 아울러, 개인정보의이용및제공측면에서도데이터주체의권리는기존에비하여위협요소가많아지게있는데, IoT환경에서개인들은개인데이터의원하지않는데이터프로세싱이어떻게일어나지않을지를확신하기힘들고또한사업자에입장에서도만약처리를할경우개인에게이를알리기도쉽지않을것

253 이다. 이와함께데이터보호를위한원칙준수가필요한데, 자율적인사물시스템에서데이터최소화수집및목적외이용금지들이어떻게확신될수있을지도위협의한요소가될것이다. 이러한사물인터넷환경의변화가개인정보보호에미치는영향으로인하여과거전통적인영역에서의보호체계를통해극복하기어려워질수있겠다. [ 표 7-1] 전통적인환경과사물인터넷환경에서의개인정보보호주요이슈사항 ( 개인정보 라이프사이클을중심으로 ) 비교 구분기존의 IT 환경사물인터넷환경 수집 - 사전동의 (Opt-in) - 디바이스의자율적수집으로정보주 체사전수집동의받는데제한 저장 / 관리이용 / 제공 - 주로사업자내부망에있는서버에의해개인정보저장 / 관리 - 주로국내에서이용 제공 - 개인정보의목적외이용금지 - 센서등디바이스에서개인정보저장 / 관리포인트증가 - 저장 / 관리되는개인정보양증가 - 개인정보유출사고위협증가 - 개인정보해외이전빈번 - 빅데이터기반으로개인정보목적외이용가능성 - 비식별정보의식별화가능성증가 파기 공통 - 개인정보처리자에의한파기 - 서비스별협업증가로개인정보공유가빈번하고개인정보파기주체모호 / 파기소홀 - 개인정보처리자정의비교적명확 - 개인정보처리자유형및책임다양화 - 서비스별개인정보처리자구분필요 IoT의이해관계자들은, 이용자의환경에특화된 데이터만 을측정하기위한것이든, 아니면이용자의습관을관측하고분석하기위한것이든, 개인과관련된이러한데이터의수집및심층조합을통해새로운어플리케이션및서비스를제공하는것을목적으로한다. 다른말로하자면, 통상적으로 IoT는식별된또는식별가능한자연인과관련된데이터처리를함축한다. 이에따라 IoT 에서의이러한데이터는 EU 데이터보호지침제2조에나타난개인데이터로정의될수있다

254 이러한맥락속에서이들데이터의처리는수많은중대한이해관계자의조합 된개입에의존하고있다. ( 예컨대, 기기제조자 때때로데이터플랫폼역할을 수행함, 데이터취합자나데이터브로커, 소프트웨어개발자, 소셜플랫폼, 기기 대여자또는렌탈자등 ) 이러한이해관계자들의주요역할에대하여다음절에 서심층적으로다루어질것이다. 기술적및프라이버시세팅관리를허용하는 추가적인기능이나사용하기쉬운접근인터페이스를주로제공하기위하여서 로다른이해관계자들이다양한이유로연관되어져있을수있다. 이는통상적 으로이용자는특징있는웹인터페이스를통해수집된데이터에접근할것이기 때문이다. 157) 이러한경우, 심층적인데이터의전송은대부분의기기에대한기 능을유지시킨채, 심층적인데이터의전송이이루어지기때문에그수집여부에 대한사용자의인식없이진행되며이를피할수없게되는경우가허다하다. 이러한연결망의결과로써, IoT 는기기제조자나이들의상업적파트너들로하 여금매우자세한이용자프로파일을만들거나접속할수있도록해줄수있 다. 상기의견지에서볼때, IoT 의발전은개인데이터보호및프라이버시에대하 여새롭고중대한도전을제기한다 158). 사실, 통제되어지지않을경우, 일부 IoT 개발자들은 EU 법하에불법이라간주될수있는개인에대한감시형태를서 비스하게될수도있다. 또한보안유출은이러한맥락속에서처리되는개인에 대한중대한프라이버시위협을일으킬수있기때문에 IoT 는중대한보안우려 를일으킬수있다. 개인정보보호제도는개인정보보호와관계되는법령을근간으로형성되어졌 다. 앞서분석된것처럼사물인터넷환경에서개인정보보호제도의전체사항을 살펴보기위해서는개인정보보호법령뿐만아니라정보통신사업자의개인정보보 호의무사항을규율하는정보통신망법령과금융기관의개인정보보호의무사항을 규율하는신용정보법령등을검토하여야하나, 개인정보보호법이일반법으로서 그규율사항에대한포괄성이있고, 사물인터넷환경속에서개인정보의흐름이 다양하여영역간교차가능성이다분하므로본장에서는개인정보보호법령을중 157) 참고 158) 본의견서는 2014 년 WP29 에의해채택된이전의견서, 즉필요성과비율성의개념적용및법집행과감독에관한데이터보호의견서와연관되어검토되어져야한다

255 심으로살펴보고자한다. 먼저, 사물인터넷상에서의문제점을면밀하게살펴보기위하여사물인터넷상에서의생태계를이해해야하며, 따라서주요개인정보처리자의유형을구분할필요가있다. 구분된유형분석을통해주요쟁점사항을개인정보처리자측면과개인정보보호측면에대하여살펴보았으며, 이에따른제도적개선방안을도출하였다. 제 2 절. 사물인터넷환경에서개인정보처리자유형구분 우리개인정보보호법은개인정보처리자와정보주체의관계를설정하고정보주체의권리를보장하기위하여개인정보처리자를규율코자하는법이다. 따라서사물인터넷환경에서개인정보보호에대한제도적측면을살펴보기위해서는사물인터넷에참여하는개인정보처리자에대한특징을살펴볼필요가있다. 사물인터넷상에서개인정보의수집으로부터시작하여이용, 제공및처리와분석등일련의과정을겪으면서정보주체나이용자에게서비스되기까지수많은유형의참여자들이존재하게된다. 이는과거전통적인 IT 서비스와비교하여볼때, 사물인터넷만이가지고있는대표적인특징이라할수있다. 따라서사물인터넷환경에서의개인정보처리자에대한특성을살펴보기위하여먼저이러한사물인터넷가치사슬에참여하는주요개인정보처리자유형을알아보고자한다. 지난 2014년 9월, EU의제29조데이터보호작업그룹에서발표한사물인터넷발전에따른의견서에따르면사물인터넷에참여하는개인정보처리자를다음과같이분류하고있다. 1. 기기제조자 사물인터넷상에서의기기제조자들은서비스를이용하는고객혹은정보주 체에게물리적기기또는다른기관에게관련기기나제품을직접판매하거나

256 그제품의라이센스를판매하는것이상의역할을할수있다. 기기제조자들은단순한제품의제조를넘어센싱을할수있는 사물 의운영체계를개발또는수정할수있으며, 해당제품내에서개인정보가센싱되어수집되는빈번함 (frequency) 과더불어, 이러한개인정보가언제, 어떤목적으로, 누구에게전송될지에관한전반적인기능을결정하는소프트웨어를탑재할수도있다. 일례로, u-health 센서가부착된건강팔찌를판매하는기업은이용자의신체에부착된추적장치에의해기록된데이터를기반으로이용자대상으로보험에대한가격의기준을측정할수있으며, 이경우해당보험사에게이용자의신체나건강과관련된민감정보를제공하게될수도있다. 2. 소셜플랫폼서비스제공자 정보주체는개인데이터를공개하거나다른이용자와공유할수있을경우사물인터넷서비스를더욱활발히이용하게된다. 이를통해사물인터넷서비스이용자는자신들이속해있는그룹이나커뮤니티에서일종의긍정적인경쟁우위를표하고자소셜네트워크상에서다른사람과자신의개인정보를공유하게된다. 따라서 IoT 환경에서이용자가이러한의식을가지고스마트폰등을통해소셜플랫폼기능이탑재된어플리케이션을작동하게되며해당커뮤니티내에서관련되는개인정보가자동적으로공유되어질수있다. 물론이경우, 해당개인정보의공유가능성은일반적으로기기제조자가제공하는어플리케이션속에서정해진표준세팅을따르게되나, 대부분사물인터넷이용자들은커뮤니티내에서자신의건강수준이나상태의우위를점검하거나경쟁하기위하여소셜플랫폼서비스를활용할것이며, 이를제공하는서비스사업자는방대한개인정보를수집처리하게될수있다. 앞서제시된일례를적용하게된다면, u-health 센서가부착된건강팔찌를이용하는이용자는페이스북이나카카오스토리, 혹은디바이스제조사가별도로제공하는소셜플랫폼등을통해친구나친지등커뮤니티내특정인물들

257 과관심의표명, 경쟁등을목적으로자신의건강정보에대한상세한상황을 공유하게된다. 3. 소프트웨어개발자 기기제조자가제공한제품을이용자가사용하기위하여서이용자, 즉정보주체는그기기에탑재된소프트웨어나앱등을설치해야한다. 앱개발자가이러한앱을운영하면서사물인터넷기기의센서로부터수집되는개인정보를수집할수있게된다. 더불어, 이러한앱과같은소프트웨어는전통적으로정보주체의사전동의를받는형태인옵트인기반으로인스톨되는경향이많지만, 현재이러한매커니즘이정보주체로부터충분한고지를기반으로인지해줄수있는것인지에대하여는논란이많다. 4. 다른제 3 의참여자 기기제조자나소프트웨어개발자뿐만아니라이와다른성격의제3의참여자가개인정보를수집및처리하게될수도있다. 예컨대, 건강보험업자들은경보기를고객들에게나눠줌으로써고객들이얼마나자주운동을하는지모니터링하여이에따른개인별보험관련프리미엄을어떻게산정할지결정할수있는근거자료를확보할수있다. 여타다른기기제조자들과는달리, 이러한제3의참여자들은사물에의해수집된개인정보를통제할권한은없으나, 서비스를결정할수있는특정목적에따라사물인터넷기기에의해생성된개인정보를수집및저장하는수준만큼처리를할수있다. 5. 사물인터넷데이터플랫폼 사물인터넷의참여자들이다양하므로, 데이터운영에대한표준화와상호운

258 용성이저하되는것은당연한일이다. 이러한이유로현재의사물인터넷은흔히모든참여자가자신의인터페이스와형태에대한세팅을정의해버리게됨으로인해소위, 사물인트라넷 으로불려지고있다. 즉, 데이터는같은환경속에서전송되며이는결국기기와기가간의데이터연결이나조합을방해하는원인이된다. 현재까지, 사물인터넷기기에부착된센서를통해수집된데이터를인터넷으로연결해주는자연스러운게이트웨이역할을하는것은스마트폰이나태블릿 PC이라할수있다. 그러나관리의집중화와단순화를위하여기기제조자등은서로다른기기를통해수집되는데이터를호스팅할수있는플랫폼개발자로서의역할을하는새로운유형의플랫폼이될수있다. 이들은다양한센싱기기로부터수집되는원천데이터형태의개인정보를수집및보유하고있기때문에사물인터넷환경에서개인정보를가장많이보유하고있는개인정보처리자라할수있다. 예컨대, u-health 센서가부착된건강팔찌를통해수집된데이터는이를관리해주는앱이설치된스마트폰을통해제조사나서비스제공회사의서버와연결됨으로써이용자의자가관리가가능해지는데, 이경우스마트폰은건강팔찌를통해수집된정보주체의모든데이터에대한게이트웨이역할을하게된다. 이상으로 EU에서제시한사물인터넷환경에서의개인정보처리자유형을살펴보았다. 이러한유형의분류가전체사물인터넷서비스를모두포괄할수는없을것이다. 예컨대, 커넥티드카나 M2M 기반의서비스는현재시점에서실제구현되고있는경우가많지않으며, 특히있다고하더라도그발전가능성이매우높아해당가치사슬내의참여자들을유형화하기가쉽지않은특징이있다. 그럼에도불구하고이러한유형의분류는실제서비스되고있는 IoT 서비스, 즉 u-health 서비스라든지, 구글글라스와같은착용형디바이스라든지, 국내주요전자업체들이최근들어집중투자하고있는가정용홈오토메이션서비스등을중심으로개인정보처리자의특징을살펴보는데그의의가있을것이다

259 제 3 절. 주요쟁점사항 1. 개인정보처리자에관한고려사항 개인정보보호법제2조에따르면 " 개인정보처리자 " 란업무를목적으로개인정보파일을운용하기위하여스스로또는다른사람을통하여개인정보를처리하는공공기관, 법인, 단체및개인등을말한다 라고정의되어있다. 상기제시된, 5개의참여자유형은모두자신의업무를목적으로사물인터넷기기에부착된센서로부터수집, 처리되는개인정보와이의집합인개인정보파일을운용하는자로서개인정보보호법에서의개인정보처리자라볼수있다. 그럼에도불구하고, 이들은전통적인개념에서의법적의무와책임에대하여개인정보처리자로서규율하기어려운상태에높일수있다. 개인정보보호법제 3조에명시된개인정보보호원칙으로써, 개인정보처리자는열람청구권등정보주체의권리를보장해야함을명시하고있다. 동일서비스상에서여러개인정보처리자들이동일한개인정보를처리하고있을경우, 정보주체의권리를실질적으로보장해야하는주체는어느개인정보처리자가담당해야하는지결정하기가어려울수있다. 예컨대, 개인정보보호법제34조에는개인정보유출사고시통지에대한의무와고지방법에대하여규율하고있으며, 유출사고발생시지체없이해당정보주체에게유출된개인정보의항목, 유출된시점과그경위, 유출로인하여발생할수있는피해를최소화하기위하여정보주체가할수있는방법등에관한정보, 대응조치및피해구제절차등을알려야한다. 여러기기를통해수집된개인정보를다수의개인정보처리자가공유할경우, 유출사고통지주체는누구이며, 법에서기재된통지내역을명확하게인지하여전달하기가어려울수있게된다. 둘째로, 사물인터넷서비스의확대로인해새로운유형의유사개인정보처리자로서역할을하는자들도생겨나게될수있다. 사물인터넷상에서의개인정보의처리가서비스가입자도사물인터넷의실질적인이용자도아닌전혀다른

260 개인에게영향을미칠수있다. 예컨대, 구글글래스와같은스마트안경과같은영상정보형착용형기기는해당기기이용자의행태정보나위치정보를수집하기도하지만, 이용자주변에있는다른정보주체에관한개인정보를수집하는경향이있다. 개인정보보호법에정보주체에대한정의가 처리되는정보에의하여알아볼수있는사람으로서그정보의주체가되는사람 으로정의하고있으므로이경우정보주체는이용자가아닌이용자가착용한기기로부터수집되는주변의사람이될수있다. 그렇다면이러한기기의이용자를개인정보처리자라고명명할수있을지에대한검토가필요하다. 개인정보처리자는반드시업무를목적으로개인정보파일을운용해야하나, 이러한기기이용자는업무를목적으로주변사람의개인정보를수집하는것은아니다. 비단, 구글글래스같은착용형기기가아니더라도카메라에잡힌타인의얼굴등이온라인으로공개될경우카메라이용자를개인정보보호법에서의개인정보처리자라명명하지않는다. 그러나, 한가지고민해야할것은구글글래스가스마트폰처럼대중화되고실시간으로생성 공유되는가운데유출사고가발생하였을경우, 유출당사자인정보주체의피해구제는어떤개인정보처리자가해야하는지에대한의문이남을수밖에없다. 2. 개인정보에대한고려사항 (1) 정보의유비쿼터성으로인한정보주체의자기통제권상실가능성확대 사물인터넷의생태계관점에서살펴볼때, 주요특징중의하나가바로편재성 (ubiquity) 이라할수있다. 편재성이란장소에구애받지않고모든곳에존재하는소위옴니프레즌스 (omnipresence) 의의미를내보하고있다. 사물인터넷상에서는드러나지않는방법으로편재된서비스를제공하게됨으로써정보주체는실제자신도모르는사이에실제서비스를제공하는개인정보처리자의모니터링하에있게된다. 이로인해데이터의수집및처리가투명한방법으로이루어질수있을지모르지만, 정보주체가자신의개인정보의확산에대한모든통제권을상실하게될가능성이높아지게된다

261 보다일반적으로말하자면, 사물과사물간, 사물과사람이소유한기기간, 사람과다른사물간, 사물과백엔드시스템 159) 간의상호작용의결과로인해과거의전통적인도구를통해서는더이상정보주체의권리를적절한수준으로보장하기가어렵게될수있다. 예컨대, 사물인터넷기술기반하에제공되는푸쉬방식 160) 의데이터는배포전단계에서정보주체로부터의적절한검토가어려우며, 이러한결과로사물인터넷서비스이용자의통제권부재와과도한자기노출을촉발하는원인이될수있다. 또한사물간통신은개인으로부터의인식이나인지없이자동화되어이루어질수있다. 사물과사물이어떻게상호작용하는지에대한효과적인통제의어려움을비롯하여, 특정사물에대한활성또는비활성여부를확인하기도어려울뿐만아니라, 이러한기반에서비롯되는가상공간과현실공간, 가상공간과또다른가상공간간경계를구분하는것이어렵게되면서서로얽혀있는관계속에서개인정보처리자간의유통환경으로인해정보주체가자기통제권을실현할수있는수준은더욱낮아질수있다. (2) 목적외이용에대한개연성과 사전동의 의품질문제 데이터분석과공유를위한최신의기술들로인해사물인터넷의센서기기로부터수집된수많은개인정보는최초정해진수집목적과다른방향으로활용될가능성이크다. 이는사물인터넷상의어떠한개인정보처리자의의도의유무와관계없이이차적으로사용될개연성이커지게된다. 기기 ( 스마트폰의가속기나자이로스코프등 ) 를통해최초수집된중요하지않은데이터들은개인의운전습관등완전히다른의미를추론하는데사용될수있다. 이러한원천정보로부터추론을이끌어낼수있는가능성으로인해전혀새로운위험을야기할수있다. 예컨대, 자가측정기기는정보주체로부터얻은단순한데이터만으로고차원적분석을수행함으로써수많은정보를추론할수있다. 이러한기기는흔히정보주체의움직임등원천데이터를수집하 159) 웹을이용한비즈니스가전사적관점에서보다효과적으로움직일수있도록웹사이트의이면에서동작하는각종데이터베이스, 업무처리시스템, 웹사이트관리시스템등을의미 160) 서버가능동저적인주체가되어데이터를수집및처리하는방식. 이와는반대로풀링방식은클라이언트가주체가되어동작하는개념이다

262 는초보적인센서를사용하나, 의미있는정보를추출하기위한수준높은알고리즘을통해정보주체의신체에필수요건을알려주는등민감정보로서잠재성이다분한개인정보를추론하게된다. 161) 사실, 기기의이용자가최초서비스이용시수반되었던특정목적에대하여이용허락을하였다하더라도, 완전히다르게이용되는목적에대하여사용되는이차적개인정보의처리를원하지않을수있다. 따라서, 현재개인정보보호법을개정하지않는범위내에서, 원천데이터든그원천데이터를추출또는전시하여총계화된 (agrregated) 데이터든어떠한수준에서든지사물인터넷상에서의어떠한개인정보처리자도이용자에게고지되는최초의처리목적내에서만해당개인정보를이용하도록제한할필요가있다. 한편, 대부분의경우, 이용자는특정사물에의해수행되는데이터처리를인식하기어려울수있다. 이러한인식의부재로인해개인정보보호법에서규정하고있는유효한동의를입증하는데어려움이발생될수있다. 개인정보보호법제15조 2항에따르면개인정보처리자는정보주체로부터해당개인정보를수집할경우, 수집이용목적, 수집항목, 보유및이용기간, 수집거부시불이익내용등을알려야하며, 이중어느하나의사항이변경되는경우에도이를알리고동의를받아야함을명시하고있다. 또한개인정보보호법제22조에따르면개인정보처리자는정보주체의동의를받을때에는각각의동의사항을구분하여정보주체가이를명확하게인지할수있도록알리고각각동의를받아야함을명시하고있으며, 동법시행령제17조에따르면개인정보처리자는동의의결과로정보주체의동의표시가서면화되어야함을확인할수있다. 사물인터넷환경에서는수집이용목적이나수집항목, 보유및이용기간등을명확하게제시할수없게되며, 설령그렇게되었다하더라도수집된개인정보를통해새로운서비스를구현할가능성이높다하더라도별도의동의를구해야한다. 개인정보처리자가해당정보주체로부터개인정보를최초수집할경우정보주체에게명확하게인지하기어려운것은물론이에대하여변경시에도새로운동의를구하기는사실상불가능할수도있다. 161) 센서혼합은센서의작동이고립되어있을경우실제보다높은품질이나명확성을확보하기위하여센서데이터나다른자원으로부터발생된데이터와조합하여구성되어진다

263 예컨대, 스마트시계등과같은착용형기기는외형상스마트기능이없는기기와쉽게구별되지않는특성이있다. 162) 정보주체의인지없이특히그러한처리에동의를받지않은채로데이터를기록및이전할수있는카메라, 마이크로폰, 모션센서등이내장되었을경우대부분연결된기기와일반기기를구별하기어렵다. 이는착용형컴퓨팅의데이터처리에대한개인식별여부에대한의문을제기하게되는데, 이는실제정보주체에게보여줄수있도록하는적절한표식을함으로써문제를해결할수도있다. 따라서, 개인의동의획득에사용되었던전통적인메커니즘은사물인터넷환경에서적용이어려울수있으며, 결과적으로정보의부족즉, 개인에의해표현된선호에맞추어조정된동의를제공하는것에대하여사실적으로불가능한 저품질동의 를발생시키게된다. 오늘날, 실제로센서기기들은통상적으로스스로정보를제공하지도않으며개인의동의획득을위한유효한메커니즘도제공하지않는다. 그럼에도불구하고기기자체를통한동의메커니즘을수행하는등이용자로부터유효한동의획득을위한새로운방법이사물인터넷상에서참여하는개인정보처리자에의해고려되어야한다. (3) 정보의공유확대로인한재식별의우려증대 사물인터넷과관련된기술의진보로인해이용자는익명화된상태로서비스이용이어려워질수있으며따라서정보주체가식별되지않은상태로남겨질가능성은낮아진다. 사물인터넷을통해수집된여러유형의정보는서비스제공단계까지다양한참여자들을통해공유 활용된다. 수집된하나의개인정보가설령개인을식별할수없도록데이터마스킹, 총계처리등비식별과정을거쳤다고하더라도다른정보와결합하여재식별될수있는우려가높아지게된다. 예컨대, 정보주체와물리적밀착도가높은착용형기기의경우, 정보주체의위치추적을허용하게됨으로써행태정보가결합된정보를생성하게되는데이러한위치정보는다른식별자와결합가능성을더욱높일수있다. 162) EU 의스마트기기의앱에관한의견서 (Opinion 02/2013) 에따르면, 착용형컴퓨팅은확장된일정시간동안정보주체와밀착도를높여지속적으로데이터를수집하게되는데이러한측면에서의문제가강조되고있다

264 [ 표 7-2] 개인식별요소제거기법에대한재식별위험도 구분종류특징재식별위험도 데이터마스킹 (Data Masking) 부분정보삭제 (Partial data removal) 자료격리 (Data quarantining) ㅇ이름, 주소등의일부개인정보가삭제되나, 생년월일등의개인정보는포함ㅇ재식별을용이하게할수있는데이터에접근할능력이없거나, 접근할것같지않은자에게만정보를제공ㅇ특정인과연계할수있는 키 값이아닌레퍼런스번호를제공 ㅇ이기술은비식별화된정보가개인단위형태로존재하기때문에비교적재식별의위험이큰기술임ㅇ선거인명부 (Electoral roll data) 등을이용하여제거된이름등은쉽게보완될수있음 참조 (reference) 또는가명 (Pseudonym) ㅇ개인을식별할수없으면서, 특정개인과연결된코드화된참조또는가명 가명처리 (Pseudony misation) 결정자수정 (Deterministic modification) ㅇ동일한초기값 (original value) 이동일한수정값 (modified value) 으로대체되는것ㅇ같은데이터 ( 이름, 주소, 전화번호등 ) 가다수의정보기록에연계되어있는경우, 어느한곳의데이터가수정되더라도, 타정보기록의데이터도같은형태로수정되는것을의미 ㅇ이기술은비식별화된정보가개인단위형태로존재하기때문에비교적재식별의위험이큰기술임 ㅇ샘플조사에서정보가추출된 총계처리 (Aggre gation) 셀축약 (Cell suppression) 추론관리 (Inference Control) 경우, 소수 (30인이하 ) 의사람이포함된셀로구성된표값을공개하는것은바람직하지않을수있음ㅇ통계정보의셀값이작은 (1~5) 경우에는재식별위험큼ㅇ상황에따라작은숫자는감추거나, 가공될필요있음ㅇ많은셀이요구되는경우셀내의총계값산출수준을조정할 ㅇ총계처리된데이터는집계된정보를통해특정개인에관한사항을찾아내기가어렵기때문에비교적재식별위험이낮은기술임

265 구분종류특징재식별위험도 필요있음 - 작은셀값이지역또는연령대와관계있다면그범위를더욱넓힐필요있음 교란 (Perturbation) ㅇ표의일정한셀에서무작위로 1 을더하거나빼는방법으로공개데이터를교란하는방법 올림, 내림 (Rounding) ㅇ정확한통계를숨기기위하여수치를반올림하거나반내림하는방법 샘플링 (Sampling) ㅇ상당수의데이터를이용할수있는경우, 무작위로추출된통계기록을공개하는방법 ㅇ데이터항목들의값을혼합하 거나원데이터에기반하여새 합성자료 (Synthetic data) 로운값을생성하여, 데이터의가치는유지하면서도, 개인을식별할수있는정보는최소로노출되도록하는방법 표보고서 (Tabular reporting) ㅇ개인이재식별되지않도록총계처리된데이터를표형식으로만드는방법 파생데이터항목및분류 (D e riv e d d a ta ite m s a n d b a n d in g ) 파생데이터 (D e riv e d d a ta ) ㅇ원데이터의값을숨기면서원데이터의특성을유지하면서원데이터의값을숨기는방법 - 생년월일 -> 나이, 생년 - 주소 -> 지역명 - 우편번호의일부만사용 - 정규화 (n o rm a lise ) 값으로변형후공개 ㅇ이기술은분류기법에의해데이터비교가어렵거나불가능하도록하기때문에비교적재식별의위험이작은기술임 출처 : Anonymisation : managing data protection risk code of practice (ICO, 영국, 12.11)

비식별화된데이터의재식별가능성과그위험에대비한식별요소제거기술등에대한논의가빅데이터분석기술의고도화로인해지속적으로이루어지고있으나, 그럼에도불구하고재식별의위험을완전히제거하는것은현재의쏟아져나오는데이터의양과데이터분석기술의발전속도를살펴볼때사실상불가능하다.

266 비식별화된데이터의재식별가능성과그위험에대비한식별요소제거기술등에대한논의가빅데이터분석기술의고도화로인해지속적으로이루어지고있으나, 그럼에도불구하고재식별의위험을완전히제거하는것은현재의쏟아져나오는데이터의양과데이터분석기술의발전속도를살펴볼때사실상불가능하다. 사물인터넷이가지는중요한특징, 즉 센싱의일상화 로인해, 상당량의개인의특징을전체, 혹은부분적으로규명해줄수있는정보의공유량은증가할것이며이에따라개인을식별해낼가능성은증가된다. 이러한현상은 u-health나웹서비스등과같이특정분야에서만존재하는것이아니라서로전혀다른분야에서공개된데이터간에도발생할수있다 ( 이재근, 2014) ( 그림 7-1) 개인정보비식별및재식별개념 출처 : 한국정보화진흥원 (2014) 뿐만아니라, 최근몇년간급속히발전한모바일환경에서의위치정보기술은개인에관한새로운형태의데이터를생성하고있다. 성명, 주소, 휴대전화번호와같은전통적인개인식별정보이외에도센서, IP주소, 기기의고유번호등수집가능한광범위한데이터가개인을식별할수있을것으로예상된다. 따라서사물인터넷환경속에서공개되는데이터의증가는그목적이순수하든악의적이든재식별의가능성을높일수있다. 사물인터넷과결부된정보와위치정보등은개인의행동양식과생활패턴을알려주는민감한비식별정보로간주할수있으며, 기존의식별정보이상으로개인을재식별할수있을것으로

267 예상된다. 이렇게재식별된데이터는개인에대한심각한프라이버시침해로 이어질수있다. (4) 국경간개인정보공유의확대에따른국외이전이슈부각 지금우리의일상은거의모든영역에서세계화가진행되고있다. 이러한세계화는 IT 기술의발달과함께온라인화가지속됨에따라더욱심화될수밖에없게되었다. IT 기술의발달로인한이점을최대화하기위해각국의기업들은국가적, 지역적제약을벗어나세계어디서든가장효율적으로인적, 물적시설을배치하고자하게되었고, 그과정에개인정보를포함한각종정보가국경의제한없이자유롭게이동해야할필요성이급격히증대되었다. 그러나, 국가기밀이나산업기밀등일부의정보를제외하고는별다른제약없이자유로이국경을드나들수있는정보에개인정보가포함되면서, 정보의흐름에는예상치못한장벽이발생되었다. 바로각국가별로상이한개인정보보호수준에따른차이로발생되는국외이전이슈이다. ( 박광배 / 김현진, 2014) 앞서살펴본사물인터넷환경에서의주요역할자들이국내에만존재하여동일한개인정보보호제도하에서개인정보가유통된다면이러한개인정보국외이전이슈가문제되지않을것이다. 그러나, 사물인터넷은빅데이터분석기술과더불어수집된개인정보가대부분클라우드에저장 활용되고있고, 더욱이기기제조자와는다른국적의소프트웨어개발자가혼합되어단위서비스를제공하고있는경우가허다하므로사물인터넷환경에서국외이전에대한문제는더욱확대될수밖에없다. 기기제조자, 소프트웨어개발자, 플랫폼제공자등사물인터넷을구성하는이해관계자간의안전하고유기적인정보공유를통해서비스를구현해나가야함에도불구하고기업의입장에서볼때, 개인정보국외이전의이슈는이러한연계네트워크의원활함에대하여일종의장벽이될수밖에없다. 또한개인정보국외이전이슈는개인정보관련유출이나정보주체권리침해등의사고가국경간발생할경우, 정보주체의피해구제, 이에따른분쟁조정

268 등이어려우며일부의경우외교적분쟁으로도확대될수있다. 서로다른보호수준속에서는정보주체의권리를일관성있게보장해주기가어려우며, 특히사고시감독기구나책임있는정부의조사나대응에있어협력이어렵기때문에 2차피해로직결될수있다. 제 4 절. 제도개선방안 1. 주요개인정보처리자유형별개인정보보호수칙및가이드라인개발 앞서살펴본바와같이, 사물인터넷에는참여하고있는여러유형의개인정보처리자가존재하게된다. 각각의기능과역할이다르며이에따라동일한개인정보파일이라하더라도처리 운용하는방법은다를수있을것이다. 즉, 개인정보보호법제3조에서정의되고있는개인정보처리자로서그 업무 와개인정보파일의 운용 방법이상이하므로이에맞춘개인정보보호수칙이나가이드라인을개발 보급해줄필요가있다. 예컨대, 기기제조자의개인정보보호수칙으로서정보주체의동의철회나개인정보처리에대한철회요청시관계되는다른이해관계자 ( 개인정보처리자또는수탁자등 ) 에게공지할수있는채널을상시확보해야할필요가있다. 이를위해서는다른이해관계자즉개인정보를제공또는위탁받는자의개인정보취급자또는개인정보보호책임자가모두포함된비상연락망을공유하는등상시채널을확보할수있도록기기제조자의개인정보책임자의무사항을추가하는것도방법일수있다. 또한설계단계에서보안조치절차를수행하고이용자친화적인프라이버시보호인터페이스를제공하는등의의무사항이포함될수있다. 또한사물인터넷기기에의해제공되는소셜플랫폼상의개인정보를디폴트로설정할경우검색엔진을통해공개또는색인화되지않도록해야하며, 센서가개인정보를수집하고있음을이용자에게주기적으로알려주기위하여소프트웨어개발자는고지나경고가포함되도록설계하는것이필요하다.

269 지난 2014년 9월, EU의제29조데이터보호작업그룹에서발표한사물인터넷발전에따른의견서에서는사물인터넷에참여하는개인정보처리자의유형별로개인정보보호를위한권고사항을제시하고있는데, 그중의일부를우리개인정보보호제도에맞추어아래와같이재구성하였다. [ 표 7-3] 개인정보처리자유형별개인정보보호수칙권고안 유형 개인정보보호수칙권고사항 공통사항 - 개인정보영향평가 (Privacy Impact Assessment) 수행할것 - 총계데이터획득후수집된원천데이터는반드시삭제할것 - Privacy by Design 및 Privacy by Default 원칙을적용할것 - 고지나동의획득등에필요한절차나방법은최대한사용자친화적으로구현할것 기기제조자 - 직접적으로수집및처리되는개인정보뿐만아니라, 다른정보와결합되어처리되는정보까지개인정보처리방침에포함할것 - 센서기기등에작동될수있는 데이터수집방지 또는 위치추적방지 옵션을부여할것 - 기기자체에서보안에대한취약성이발견되었을경우즉각적인고지및업데이트도구를제공할것 소프트웨어 개발자 - 센서가개인정보를수집하고있음을정보주체에게수시로고지또는경고할수있도록설계할것 - 정보주체의접근, 수정, 삭제권을보장할수있도록소프트웨어를설계, 구동하도록할것 - 최소수집원칙에입각하여당초수집목적이달성된원천데이터에대하여다른개발자등제3자로부터의접근을금지토록할것 소셜플랫폼 - 소셜플랫폼제공전단계에서수집된데이터의검토, 편집, 결정여부를이용자에요청할수있는기능을부여할것 - 사물인터넷기기에의해제공되는소셜플랫폼상의개인정보가검색엔진을통해검색되지않도록할것 기기소유자 - 기기사용자는해당기기의표시를통해비사용정보주체 (non-user data subjects) 가자신의정보가수집되고있음을알리도록할것

270 2. 정보주체의자기통제권강화방안마련 앞서살펴본바와같이사물인터넷환경에서는정보의편재성등으로인해정보주체의자기통제권이약화되어개인정보의오남용에대한우려가높게나타날수있다. 이에따라개인정보의수집단계에서부터이를고려할필요가있는데크게다음의 4가지에대한방안을제시하고자한다. 첫째, 동의나처리의중단이나철회요청등정보주체로부터민원신청접수, 유출사고시통지등을이행하기위한채널을구축하고, 신속한대응을위하여서비스에참여하고있는개인정보처리자및각종이해관계자간의효과적인전달체계를확보할필요가있다. 효과적인전달체계를이행하기위한방법으로는앞서설명한관련 CPO 및개인정보취급자간비상연락망을공유하여비상시에즉각적으로대응할수있는체계를갖추어나가는것도좋은방법일것으로판단된다. 사물인터넷에서는다수의이해관계자가참여하고있으므로, 동의나처리의중단요청에대한수단은단순 용이해야하며, 이와더불어이용자와의밀착도가가장높은기기에서센싱여부및센싱된개인정보의공개여부를설정할수있는기능이설계단계에서부여되어야한다. 둘째, 고지를하는방법, 즉거절에관한권리를제공하거나동의를요청하는경우가능한이용자에게친화적인방법을활용해야한다. 특히, 현재깨알같은텍스트기반글씨에도불구하고수많은법률용어로공지되고있는개인정보처리방침을사용자친화적인수단으로변화해야할필요성이있다. 누구나알아들을수있는쉬운말로보다짧은개인정보처리방침을문서로작성해야하여, 중요한내용은굵기도조절하는등정보주체의인지도를높일필요가있다. 단순히개별적으로한정되어수행하는내용으로고지또는동의를요청하거나개인정보처리방침에만의존해서는정보주체가사물인터넷을통해발생되는위험성을알수없으므로정보주체가충분히이해될수있는정보나수단을강구해야한다. 예컨대, 최근들어연구되고있는인터엑티브형고지수단시각화기법 163) 등과같은사용자친화적인방법을활용할수도있을것이다

271 예컨대, 현재네이버에서는개인정보취급방침을일반안내버전, 이지버전, 인포그래픽버전의 3가지버전으로구현하고있는데, 이를통해정보주체가더욱손쉽게안내받을수있도록하고있다. 164) 셋째, 개인정보가목적에비하여필요이상으로수집 처리되지않을것을내용으로하는자율규약 (Code of Practice) 을제정하고운용할필요가있다. 사물인터넷환경에서는수집되는개인정보가많으면많을수록개인의프로파일링을통해고품질의밀착형서비스가가능하므로기업들은더많은, 더욱민감도높은개인정보를수집하기를원할것이다. 개인정보보호법에서는최소수집의원칙을천명하고있으나, 그합리적인기준점을명시하기가어려움이있으므로자율규제에기반한자율규약제도를도입하는것이바람직할것이라판단된다. 예컨대, 해당산업을대표하는주요협회등에서관련산업분야에서필요로하는개인정보의수집범위를지정하고이를이행할수있도록하되, 기업의비즈니스자율성을보장해주기위하여주요협회에게사후모니터링할수있는권한을부여하는방법도고려해볼만하다. 기존의자율규약의예시로는허위, 과장광고를방지하고소비자를보호하는것을목표로하는유기농화장품자율규약이있는데, 화장품협회에서특정위험성을방지하기위해화장품용기에주의사항을표기하도록하는내용의규율을정하여기업들이자율적으로규제에순응할수있도록통제하는방안을마련하였다. 이와같이국내한국사물인터넷협회차원에서개인정보취급방침에대한합리적인기준점을자율규약으로제정하여이를기업들이준수할수있는제도적장치를마련할수있다. < 기존자율규약의예시 > 스크럽화장품안전사용에관한자율규약 대한화장품협회 2014 년 9 월 1 일까지스크럽화장품에대한다음과같은경고문구 / 도안표시를 완료한다. 163) 개인정보처리방침등을정보주체에게고지시, 텍스트기반의나열식으로제시하지아니하고정보주체가보다더잘인지할수있도록멀티미디어나다른시각적기법을활용하여제공하는방법 164)

272 1 소비자가제품구입또는사용시더욱쉽게인지할수있도록경고문구 눈에들어가지않게할것 을용기나외부포장의다른글씨보다크고굻게표시한다. 2 포장단위가 30g을초과하는제품에는소비자가쉽게인식할수있도록첨부한도안도함께표시한다. < 본연구에서제안하는자율규약의예시 > 사물인터넷기기사용시개인정보취급방침에관한자율규약한국사물인터넷협회 2015년 12월까지스마트폰에대하여다음과같은경고문구를표시하여야한다. 1 소비자가수집되는개인정보에대하여쉽게인지할수있도록관련앱을설치하도록한다. 2 개인정보수집이다수의이해관계자에의해행해질경우이를소비자가쉽게인식할수있도록센서기능을부여한다. 넷째, 본인이원치않을경우 165) 어떤개인정보도임의로처리되지않게보장하고, 개인이정보처리사항과그목적, 정보처리자의신원, 그리고자신의권리를행사하는방법에대해통지받을수있게보장하는메커니즘을마련해야한다. 이러한메커니즘은현재사물인터넷의게이트웨이역할을하고있는스마트폰을통해서구현가능할수있을것이라판단된다. 즉, 서비스와사용자의접점으로서그리고사용자의개인정보를총괄수집하는스마트폰이해당서비스를정보주체가가장잘인지할수있는수단임을감안하여해당서비스의앱을통해이를전체통지할수있는기능을담은페이지를별도로마련하는것도방법일수있다. 물론구체적인구현방법에대해서는스마트폰에서의기술적구현방법과개별사물인터넷서비스에따라달라질수있을것이며이는추가적인연구를통해서살펴볼수있을것이다. 한편, 개인정보보호법제35조 ( 개 165) 한계비용제로사회 : 사물인터넷과공유경제의부상 ( 제레미리프킨, 2014)

273 인정보의열람 ) 에서정보주체는개인정보의열람권을가지고있지만, 처리방법에있어사물인터넷서비스환경의특수성이반영되지못한면이있다는판단하에때로는실시간으로보다편리하게본인정보이용및제공현황을조회해야할경우가많아질것으로사료된다. 여기서의본인정보이용 / 제공시스템은사물인터넷서비스제공자가고객동의를받고개인정보를이용하거나제3자에제공중인현황을조회할수있는시스템으로각사홈페이지 ( 모바일포함 ) 에구축하는방안을모색할필요가있다. 금융회사의경우지난 2014년 3월 ' 개인정보유출재발방지종합대책 ' 에해당시스템구축내용이포함되어 2014년 9 월부터금융회사별홈페이지를통해순차적으로오픈해연말까지는모든금융회사들이동서비스를제공할계획으로있다. 따라서사물인터넷서비스를활용하는사용자측에서실시간으로서비스를조회할수있기위해민간차원에서는이러한서비스를실시간으로제공할수있는조회시스템을구축하고, 정부차원에서는이러한시스템구축을의무화할수있는법률적지원을장기적으로계획할필요가있다. 3. 사전동의만능주의에따른역기능해소를위해탄력적인동의제도도입검토 앞서살펴본바와같이, 국내의개인정보보호법상동의제도는각각의예외규정을제외하고, 수집또는제3자제공되는모든개인정보에대하여고지에기반하여야하며 (informed), 동의확인에대한서면화 (explicit) 를전제하고있다. 동의제도만큼은세계어느국가에비해가장강력한수준이라할수있다. 그러나동의라는것은개인정보자기결정권을이행하는수단으로서그의미가있다. 즉, 동의제도가아무리강력하다하더라도고지방법이적절하지않거나정보주체가충분히인식하지못한상태에서이행된다고한다면자기결정권을이행하는충분한수단이라할수없다. 개인정보보호수준이높은 EU에서조차도민감정보에대해서만고지기반의서면화 (informed explicit) 동의제도를운용하고있으며, 필요에따라사후동의 (granular consent) 도일부분인정하고있다. 이러한측면에서볼때, 사물인터넷과개인정보보호자기결정권이공존하기

274 위해서는탄력성있는제도를운용하여동의만능주의로발생되는병폐를완화 할 필요가있다. 즉, 수집, 처리를통해개인에게차별요소를줄수있는민 감정보와식별성이상대적으로높은고유식별정보등은사전동의를통해수집하되, 식별성이상대적으로낮은준식별자등은옵트아웃제도로운용함으로써사물인터넷이이용자에게주는편익을극대화하는동시에중요개인정보도보호할수있도록제도를개선하기위한검토가필요하다. 4. 개인정보의재식별위험모니터링체계마련 비식별화조치를취하여당시에개인을식별할수없다고하더라도다른외부정보와의결합을통해개인이식별될수있는위험은항상존재한다. 특히사물인터넷환경에서는수집되는데이터가방대하며외부정보와의결합가능성도높을수밖에없으므로재식별의위험은더욱커지게된다. 따라서사물인터넷상에서개인이재식별되는위험성을최소화하기위한기술적 / 관리적수단을강구해야할필요가있다. 이를위하여개인정보의비식별화조치에대한적정성평가체계를마련함으로써사물인터넷환경에참여한개인정보처리자가수집한개인정보를비식별화조치하여제공또는공개하였다하더라도재식별될수있는위험성을최대한배재토록하고, 개인을절대식별할수없는상태인익명화된개인정보로보전될수있도록지원할필요가있다. 앞서제시된사물인터넷의 6가지서비스영역에대한논의는물론이고그산업영역에따라비식별화조치의적정성에대한평가방법은매우상이할수있으므로본연구에서평가에대한세부적인방법을논하기에는한계가있으므로이는별도의연구를통해서관련기준과운영방안에대하여마련해야할것으로판단된다. 다만, 재식별의위험성을판단할시지나친익명화조치로인해개인정보의유용성마저쇠퇴할수있으므로익명화조치수준과개인정보의유용성을고려하여평가하는방법이필요할것으로사료된다

( 그림 7-2) 개인정보의비식별화적정성평가체계구성도 출처 : 한국정보화진흥원, 2014 또한, 재식별위험을기술적으로줄여줄수있는솔루션을도입하거나, 데이터제공, 위탁, 공개시재식별금지조항을명문화할필요도있다. 이러한법률조항은일본의 개인정보보호에관한법률 에서도잘나타나있다.

275 ( 그림 7-2) 개인정보의비식별화적정성평가체계구성도 출처 : 한국정보화진흥원, 2014 또한, 재식별위험을기술적으로줄여줄수있는솔루션을도입하거나, 데이터제공, 위탁, 공개시재식별금지조항을명문화할필요도있다. 이러한법률조항은일본의 개인정보보호에관한법률 에서도잘나타나있다. 본법의제23조 1항에서는개인정보취급사업자 ( 개인정보처리자 ) 는미리정보주체의동의를얻지아니하고는개인데이터를제3자에게제공할수없도록규정하고있으나, 이에대한예외사항중의하나로본법동조제2항에서는개인정보에대한비식별화조치등을통해특정성을낮춘개인정보의경우 ( 재 ) 식별금지, 정보주체에게이용목적등을고지한것을전제로제3자에게제공하는것을허가하고있다. 166) 166) 일본의개인정보보호에관한법률제 23 조 2 항에는아래와같이식별금지에대한사항을규정하고있다. : With respect to personal data intended to be provided to a third party, where a business operator handling personal information agrees to discontinue, at the request of a person, the provision of such personal data as will lead to the identification of the person, and where the business operator, in advance, notifies the person of the matters listed in the following items or put those matters in a readily accessible condition for the person, the business operator may, notwithstanding the provision of the preceding paragraph, provide such personal data to a third party: (i) The fact that the provision to a third party is the Purpose of Utilization (ii) The items of the personal data to be provided to a third party (iii) The means or method of provision to a third party (iv) The fact that the provision of such personal data as will lead to the identification of the

276 또한, 재식별에대한모니터링을주기적으로실시하고관련대응매뉴얼을개발하는것도재식별위험을줄이기위하여개인정보처리자가취할수있는고려사항이라볼수있다. 최근재식별수준을최소화할수있는다양한기술 167) 들이개발되고있으나현장에서이러한기술을이해하고적용할수있는전문인력이부족한상태이므로관련전문인력을조속히육성하는것도이에대한선결과제라할수있다. 이는해당정보가개인을식별할수있는지에대한선제적판단을통해업무에활용되도록하는일련의사전조치가필요하기때문이다. 또한, 이러한기술이현장에서검증및활용될수있도록정부가추진하는사물인터넷실증단지조성사업 168) 등과연계하여테스트베드를구축함으로써재식별가능성을점검하여위험을완화할수있는방안을모색하는노력도고려해볼만하다. 5. 국외로유통되는개인정보의안전한활용수단강구 국경없는네트워크의활용으로인해사물인터넷이주는편익은더욱확대될것으로여겨지고있다. 그럼에도불구하고국가간, 대륙간서로다른보호수준과집행방식의차이로인해정보주체의권리를보호하기가쉽지않다. 이러한개인정보국외이전문제를일정부분해소하기위해취할수있는방법이바로책임성에기반한접근법이라할수있다. OECD의프라이버시개정가이드라인 ( ) 에따르면, 책임성에대하여개인정보처리자가데이터의위치에대한고려없이그들의관리하에있는모든개인정보에책임성을갖는다는것을전제하고있다. 즉, 책임성기본원칙 (basic principle of accountability) 을국경간개인정보유통의맥락에서고려하면서, 개인정보의국외이전은위험을야기하고있으며이위험에대한책임은정보관리자가감수하여처리해야함을강조하고있다. person to a third party will be discontinued at the request of the person 167) k-anonymity, differntial privacy 등이있음 168) 미래창조과학부는사물인터넷기본계획 ( ) 에서규제프리존 (Regulation Free Zone) 으로서의사물인터넷 실증단지 조성추진

277 사물인터넷환경에서이러한국경간이전에대한책임성을이행하기위하여구체적으로살펴볼수있는것이국외이전에대한표준계약제도의도입이다. 표준계약제도란개인정보수출자와개인정보수입자간의의무사항을사적자치의원칙인계약을통해상호이행을약속하도록만드는제도인데, 정보주체가속해있는개인정보수출자의감독기구나책임있는정부가그의무사항을자국법에맞추어규정하고이를개인정보수입자가계약을통해이행할수있도록해주는제도이다. EU의경우국외이전에대한표준계약조항 (Standard Contractual Clauses) 을제도화하고있으며, 이제도는실제 EU 시민의개인정보가역외로이전되는경우 EU법하에서정보주체의권리보장을위해가장보편적으로활용되고있다. 이는개인정보가포함된역외기업간계약체결시계약자-피계약자간준수해야할개인정보보호표준조항으로서정보주체의권리보장에관한사항, 계약이행전상대기업대상사전실사의무부여, 유출사고등에따른피해구제창구지정, 개인정보수입자대상자료제출의무부여등을계약서의의무조항으로포함되도록규정하고있다. 표준계약제도는당사자간계약제도임에도불구하고감독기구의행정적개입이가능하도록하여개인정보가국외로제공되었다고하더라도계약의조항에의거하여감독기구가직 간접적사후조치를취할수있도록함으로써정보주체의권리를적절히보장할수있는주요한수단으로인식되고있다. 이는 EU 의표준계약제도의메커니즘에서매우잘구현되고있는데그구체적인내용은아래와같다. [ 표 7-4] EU 의개인정보국외이전에서의표준계약제도의특징 o EU회원국감독기구의권한 : EU의정보보호지침 (Diriective 95/46 EC) 에의거, 조사권, 정보수집권, 개인정보처리사전간섭권및관련된의견공표권, 개인정보의처리및유통금지, 삭제또는폐기명령권및관련된의견공표권, 법적절차집행개시권및사법기관대상소추권등을보유 * 본권한은각회원국의영토내에서만행사가능 o 표준계약이당사자간계약제도임에도불구하고 EU 의감독기구가위와같은행정적 권한을행사할수있는이유

278 - 계약의형태를취했음에도불구하고계약조항에정보주체의제3자수혜권 (Third Party Beneficiary Right) 원칙을적용함으로써법률에준하는효과를가져옴 - 즉, 정보주체는제3국의정보수입자에게자국의정보수출자를대상으로상기권리행사가능하며, 이때감독기구는계약조항에의거정보수입자를대상으로감사및조사가능하며, 아울러정보수출자에게도개인정보이전금지명령가능 o 계약조항에위배되는행위가발생되어배상또는보상판결에대한집행시 - 정보수출자가계약을위반한경우, 자국법의근거로행정적 사법적집행 - 제3국의정보수입자가계약을위반하고정보주체권리침해가발생하였을경우에는감독기구는정보수출자대상으로실사등을거쳐계약해지명령및 ( 손해배상 ) 책임부담 이와같이, 국외이전에서표준계약제도를이행하게되면국가간충돌되는개 인정보보호수준을상호계약을통해완화할수있으며, 정보주체의권리도더 불어보장될수있으므로글로벌형사물인터넷환경에서는매우적합한제도라 할수있을것이다. 다음예시로추가한표준계약내용 ( 예시 ) 의경우현재국내 금융회사가정보처리를해외로위탁할경우해외수탁회사와반드시체결해야 하는표준계약내용을참고로이를수정한것으로향후표준계약을제도화할 경우참조할수있다. EU 정보보호지침제 26 조 (2) 항의적용상적절한수준의보호를제공하지않는제 3 국에설립된처리수행자로의개인정보이전을위한 표준계약조항 정보수출기관의이름 :... 주소 :... 전화번호 :... 팩스 : [ 표 7-5] EU 의표준계약조항 ( 예시 ) 기타기관을식별하는데필요한정보 :... ( 정보수출자 ) 정보수입기관의이름 :... 및

279 주소 :... 전화번호 :... 팩스 : 기타기관을식별하는데필요한정보 :... ( 정보수입자 ) 각 당사자 ; 합쳐서 당사자들 는별첨 (Appendix) 1에명시된개인정보를정보수출자가정보수입자에게이전하기위하여개인의사생활및기본권과자유를보호하기위한적절한안전장치를인정하기위한아래계약조항들 ( 본조항들 ) 에합의하였다. 제 1 조정의 (Definitions) ' 본계약조항에서, (a) ' 개인정보 (personal data)', ' 특수한유형의정보 (special categories of data)', ' 처리 (process/processing)', ' 정보관리자 (controller)'', ' 처리수행자 (processor)', ' 정보주체 (data subject)', 그리고 ' 감독당국 (supervisory authority)' 은 1995년 10월 24일자개인정보의처리및그정보의자유로운이동에관한유럽의회및이사회의지침 95/26/EC (Directive 95/26/EC of the European Parlianment and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, 유럽지침 ) 에서사용되는의미와동일하다. (b) ' 정보수출자 (data exporter)' 는개인정보를이전하는처리자를의미한다. (c) ' 정보수입자 (data importer)' 는정보수출자로부터개인정보를수령할것에동의하고이전후정보수출자의지시및본조항들의조건에따라정보수출자를대신하여개인정보를처리하기로한자로서, 유럽지침제25조 (1) 항의의미에서적절한보호를보장하는제3국의시스템의적용을받지는않는처리수행자를의미한다. (d) 하위처리수행자 ('the subprocessor') 는정보수입자또는정보수입자의다른하위처리수행자에의해고용된 (engaged) 처리수행자로서, 정보수입자또는정보수입자의다른하위처리수행자로부터개인정보를수령할것에동의하고이전후정보수출자의지시및본조항들의조건및서면하청계약서 (subcontract) 의조건에따라전적으로정보수출자를대신하여개인정보를처리하기로한자를의미한다. (e) 관련개인정보법규 ('the applicable data protection law') 는개인의기본권및자유, 특히개인정보처리와관련하여사생활에대한권리를보장하는법으로서정보수출자의설립지회원국의정보관리자에게적용되는법을의미한다. (f) 기술적조직적보호조치 (technical and organisational security measures' ) 란사고로

280 인한또는불법적인 (accidental or unlawful) 파괴, 사고로인한분실, 변경, 권한없는자 에게로의공개또는접근으로부터 ( 특히처리가네트워크상의정보전송에관련된경우 ), 그리고처리의다른모든불법적인형태로부터개인정보를보호하기위한조치를의미한다. 제 2 조이전의세부사항 (Details of the transfer) 이전의세부사항, 그리고특히특수한유형의정보와이전목적은별첨 1 에기술되어 있고본조항들과일체를이룬다. 제 3 조제 3 자수혜조항 (Third-party beneficiary clause) 1. 정보주체는정보수출자에대하여이조항과, 제 4 조 (b) 항내지 (i) 항, 제 5 조 (a) 항내지 (e) 항및 (g) 항내지 (j) 항, 제 6 조 (1) 항과 (2) 항, 제 7 조, 제 8 조 (2) 항, 그리고제 9 조내지제 12 조를제 3 자수익자로서집행할수있다. 2. 정보주체는정보수입자에대하여이조항과, 제5조 (a) 항내지 (e) 항및 (g) 항, 제6조, 제7조, 제8조 (2) 항, 그리고제9조내지제12조를집행할수있는데, 정보수출자가사실상사라졌거나법적으로존재하지않게되는경우 ( 단, 승계인이정보수출자의법적의무전체를계약이나법률의규정에의해인수하여정보수출자의권리의무를가지게되는경우로서정보주체가그당사자에대해집행할수있는경우는제외됨 ). 3. 정보주체는하위처리수행자에대하여이조항과, 제5조 (a) 항내지 (e) 항및 (g) 항, 제6 조, 제7조, 제8조 (2) 항, 그리고제9조내지제12조를집행할수있는데, 정보수출자와정보수입자모두사실상사라졌거나법적으로존재하지않게되거나도산하는경우 ( 단, 승계인이정보수출자의법적의무전체를계약이나법률의규정에의해인수하여정보수출자의권리의무를가지게되는경우로서정보주체가그당사자에대해집행할수있는경우는제외됨 ). 그러한처리하위수행자의제3자책임은본조항들하에그자신의처리과정에한정된다. 4. 당사자들은정보주체가명시적으로원하고해당국가의법이허용하는한어느단체 나조직에의해대리되는것을반대하지않는다. 제 4 조정보수출자의의무 (Obligations of the data exporter) 정보수출자는다음사항을동의하고보장한다 : (a) 정보수출자의개인정보의처리 ( 이전행위자체를포함 ) 가자신이소속된 ( 경우에따라서는정보수출국의설립지의회원국의관련당국에통지된 ) 회원국의관련법규를준수하여처리되어왔고이전이이루어지는시점까지도그렇게처리할것이며그회원국의관련규정을위반하지않는다

281 (b) 정보수출자를대신해서만그리고관련개인정보법규와본조항들에따라서정보수입 자에게이전된개언정보를처리하라고지시하였고개인정보처리서비스기간동안그렇게 지시할것이다. (c) 정보수입자는본계약별첨 2 에명시된기술적 관리적보호조치에대한충분한보증 을제공할것이다. (d) 관련개인정보보호법규의요구사항에대한평가 (assessment) 후보호조치가사고로인한또는불법적인 (accidental or unlawful) 파괴, 사고로인한분실, 변경, 권한없는자에게로의공개또는접근으로부터 ( 특히처리가네트워크상의정보전송에관련된경우 ), 그리고처리의다른모든불법적인형태로부터개인정보를보호하기에적절하고, 이러한조치들이처리에의해야기되는위험과기술수준및그실비를고려할때보호될정보의성질에적합한보호수준임을보장한다. (e) 보호조치를준수할것을보장한다. (f) 이전대상에특수한유형의정보가포함된경우, 유럽지침의의미상적절한보호를 제공하지않는국가로이전될수있다는점이정보주체에게통지되었거나이전이전에 또는이전이후가능한한빠른시간내에통지될것이다. (g) 만일정보수출자가계속적으로이전하기로또는중단을그만둘것을결정한경우, 제 5 조 (b) 항및제 8 조 (3) 항에따라정보수입자는하위처리수행자로부터받은통지를개인 정보보호감독당국에전달할것이다. (h) 정보주체가본계약조항의사본을요청할경우별첨 2의경우를예외로본조항들의사본을제공하고, 보호조치의요약내역및본조항들에따라이루어졌어야할하위처리수행서비스계약서사본을제공할것이다. 다만, 본조항들이나계약서에상업적정보가포함되어있는경우, 그러한상업적정보를제거할수있다. (i) 하위처리수행의경우처리행위가제 11 조에따라본조항들상의정보수입자가정보주 체의개인정보및권리를보호하는것고최소한동일한수준으로수행된다. (j) 제 4 조 (a) 내지 (i) 을준수하여야한다. 제 5 조정보수입자의의무 (Obligations of the data importer) 정보수입자는다음사항을동의하고보장한다 : (a) 정보수출자를대신하여서만그리고그지시와본조항들에따라서만개인정보를처

282 리하고, 만일어떤이유로든이를준수할없을경우, 즉시정보수출자에게그러한준수 불능사실을통보하고, 그경우정보수출자는정보의이전을중단하거나계약을해지할 권한을가진다. (b) 자신이아는한자신에게적용되는법이정보수출자로부터받은지시와계약상자신의의무이행을금지하지않고, 본계약조항에서제공된보증사항에중대한부정적영향을미칠수있는법령의변경이있을경우, 이를알게된후빠른시간내에정보수출자에게그러한변화를통지하고, 그경우정보수출자는정보의이전을중지하거나계약을해지할수있는권한을가진다 ; (c) 이전된개인정보를처리하기에앞서별첨 2 에명시된기술적조직적보호조치를실 현한다. (d) 정보수출자에게아래사항을즉시통보한다 : (i) 법집행기관에의한법적구속력있는개인정보공개요청 ( 단달리금지되지않는한이를테면형사법상법집행조사의비밀을보존하기위하여요구되는경우를제외한다 ). (ii) 사고적인또는권한없는접근, 그리고 and (iii) 정보주체로부터직접받은요청에응답하지않은경우, 단, 달리그렇게응답할권한이없는경우는제외 (e) 정보수출자로부터이전대상인개인정보처리와관련한질의에대해신속하고적절하 게대응해야하고감독당국의이전된개인정보의처리와관련된권고를준수해야한다. (f) 정보수출자의요청이있을시, 정보수출자또는독립된구성원으로구성되고전문적인검사자격요건을갖추었으며비밀유지의무의적용을받는, 정보수출자에의해지명된, 적용가능한경우감독당국과의합의하에임명된검사기관이행하는 ( 본조항이적용되는 ) 정보처리시설에대한감사 (audit) 에협조한다. (g) 정보주체의요청이있을시, 본계약조항또는하위처리를위한기존계약의사본을제공할수있어야한다. 단, 본조항또는계약이상업적정보를포함한경우, 상업적정보를제거할수있고, 별첨 2의예외로서정보주체가정보수출자로부터사본을얻을수없는경우보호조치의요약명세로데채될수있다. (h) 하위처리의경우, 사전에정보수출자에게통지하고그사전서면동의를얻었다. (i) 본조항제 11 조에따라하위처리수행자의처리서비스가수행될것이다. (j) 본조항에따라체결된하위처리수행자계약서의사본을정보수출자에게즉시발송할 것이다

283 제 6 조책임 (Liability) 1. 어느당사자또는하위처리수행자에의한본계약조항제 3 조또는제 11 조의위반으로 발생하는손해에대하여정보주체는정보수출자로부터손해배상을받을수있다. 2. 정보수입자또는그하위처리수행자가제3조또는제11조에언급된의무를위반함과관련하여정보주체가제1항에따라정보수출자에게보상을청구하는클레임을제기할수없는경우 ( 정보수출자가사실상사라졌거나법상존재하지않게되거나도산한이유로인한경우를말한다 ), 정보주체는마치정보수출자에게하는것처럼정보수입자에게클레임을제기할수있다. 단, 승계인이정보수출자의법적의무전체를계약이나법률의규정에의해인수하는경우정보주체는그승계인에대해그권리를집행할수있다. 정보수입자는자신의책임을피하기위하여하위처리수행자의의무위반을주장할수없다. 3. 하위처리수행자가제3조또는제11조에언급된의무를위반함과관련하여정보주체가제1항과제2항에언급된정보수출자또는정보수입자에대한클레임을제기할수없는경우 ( 정보수출자및정보수입자모두사실상사라졌거나법상존재하지않게되거나도산한이유로인한경우를말한다 ), 정보주체는마치정보수출자나정보수입자에게하는것처럼하위처리수행자에게그자신의처리과정과관련하여클레임을제기할수있다. 단, 승계인이정보수출자또는정보수입자의법적의무전체를계약이나법률의규정에의해인수하는경우정보주체는그승계인에대해그권리를집행할수있다. 하위처리수행자의책임은본조항하에서의자신의처리과정에한정된다. 제 7 조조정및관할 (Mediation and jurisdiction) 1. 계약당사자는정보주체가본조항들상의제 3 자수익자권리및 / 또는손해배상클레임을제기하는경우, 정보수입자는정보주체의다음에대한결정을수용한다 : (a) 분쟁을독립된제 3 자나 ( 가능한경우 ) 감독당국에의한조정절차로회부 하는결정 (b) 분쟁을정보수출자설립지회원입국의법원으로회부하는결정 2. 정보주체의선택이개별국가의법령이나국제법에따른구제조치를구할정보주체의실체적, 절차적권리를제한하지않는다는점에계약당사자는동의한다. 제 8 조감독당국에의협조 (Cooperation with supervisory authorities) 1. 정보수출자는감독당국이요청하거나관련개인정보법규에서요구되는경우, 감독당국 에계약서의사본을보관시키는것에동의한다. 2. 당사자들은관련개인정보법규상정보수출자와동일한범위에서동일한조건으로감독

284 당국이정보수입자및그하위처리수행자를감사할권리가있음을동의한다. 3. 정보수입자는제 2 항에따라정보수입자또는하위처리수행자의감사를저지하는정보 수입자또는하위처리수행자에게적용되는법령의존재를정보수출자에게즉시통지하 여야한다. 그경우정보수출자는제 5 조 (b) 항에서예상된조치를취할권한이있다. 제 9 조준거법 (Governing Law) 본계약조항은정보수출자가설립되어있는회원국인... 의법률에의하여규율된다. 제 10 조계약의변경 (Variation of the contract) 당사자들은본계약조항들을변경하지않기로한다. 하지만, 본조항들에충돌되지않는 한필요한비즈니스관련사항을추가하는것을금지하지는않는다. 제 11 조하위처리 (Subprocessing) 1. 정보수입자는정보수출자의사전서면동의없이는본조항에따라정보수출자를대신하여수행되는처리과정중일부라도하청줄수없다. 정보수입자가정보수출자의동의하에본조항상의의무를하청줄경우, 본조항상의정보수입자에게부과되는의무와동일한의무를부과하는서면계약서를하위처리수행자와체결하여야한다. 하위처리수행자가서면계약상정보보호의무를불이행하는경우, 정보수입자는정보수출자에게그계약상하위처리수행자의의무이행에대한책임을부담한다. 2. 정보수입자와하위처리수행자간의사전서면계약에는제3조에명시된제3자수혜조항을포함하여야한다. 이는정보수출자및정보수입자모두사실상사라졌거나법상존재하지않게되거나도산하고정보수출자또는정보수입자의법적의무전체를계약이나법률의규정에의해인수하는승계인이없어서, 정보주체가제6조첫번째문단에언급된보상클레임을정보수출자또는정보수입자에대한클레임을제기할수없는경우를대비하기위함이다. 그러한하위처리수행자의책임은본조항하에서의자신의처리과정에한정된다. 3. 제 1 항에서언급된계약에서정보보호측면에서의하위처리관련규정은정보수출자의설 립지회원국의법률인... 에의해규율된다. 4. 정보수출자는본조항들하에서체결되고제 5 조 (j) 항에따라정보수입자에게통지된 하위처리계약서리스트를유지하고최소 1 년에한번은 update 하여야한다. 그리스트는 정보수출자의정보보호감독당국에게제공가능하여야한다

285 제 12 조개인정보처리서비스종료후의무 (Obligation after the termination of personal data processing services) 1. 개인정보처리서비스의종료시정보수입자및하위처리수행자는정보수출자의선택에따라이전된모든개인정보및그사본을정보수출자에게반환하거나모든개인정보를파쇄하고그사실을정보수출자에게인증하여야한다. 단, 정보수입자가이전된정보를전부또는일부반환하거나파쇄하는것이법상금지된경우는예외로한다. 그경우정보수입자는이전된개인정보의비밀유지를보증하고더이상이전된개인정보를적극적으로처리 (actively process) 하지않는다. 2. 정보수입자와그하위처리수행자는정보수출자및 / 또는감독당국의요청이있을경우 제 1 항에언급된조치의감사를위해자신의정보처리시설을제공하는것을보증한다. 정보수출자이름 : 직위 : 주소구속력을가지기위해필요한기타정보 ( 있는경우 ) : 서명. 정보수입자 ( 조직의직인 ) 이름 : 직위 : 주소구속력을가지기위해필요한기타정보 ( 있는경우 ) : 서명. ( 조직의직인 ) 둘째, 이와더불어국가간집행및협력활동도강화될필요가있다. 사물인터넷환경이고도화, 일상화되면국경간유통되는개인정보의양도기하급수적으로확대될것이며이로인한국가간분쟁또한확대될것으로예상된다. 따라서, 유출사고등이발생하였을경우국가간조사등공조협력을위한

286 다자간 양자간협력을확대해나갈필요가있다. 6. 사물인터넷서비스제공자에대한사전규제강화 (1) 설계단계부터프라이버시를고려 (Privacy by design) 개념을적용 사물인터넷환경에서개인정보및프라이버시를보호하기위해서는관련프라이버시침해이전에해당서비스의위험을점검하여이를미리예방할수있는장치를마련하는것이중요하다. 즉, 개인정보침해위험이높은서비스일수록사업을계획하는단계에서부터개인정보와프라이버시에미치는영향등을충분히평가하고검토하여그에따른대책을세움으로써개인정보및프라이버시침해가능성을초기단계에서부터최소화하는것이다. 앞서기술한바와같이사물인터넷서비스는개인정보보호법제33조제8 항 169) 에따라개인정보침해가우려되는경우로상정하여초기설계단계부터프라이버시를고려하는개념 (Privacy by Design) 및디폴트 (Default) 개념적용을적극도입할필요가있다. 이러한설계단계부터프라이버시를고려한다는철학은이제더이상새롭게부상하는개념이아니며사물인터넷서비스참여자의지속가능성을위한핵심역량이라고할수있다. 또한, 사용자중심적인 Privacy by Design을위해서는무엇보다개인정보처리자에의한프라이버시보호기본설정, 적절한알림, 사용자가편의를고려한선택사항의권한등을마련될필요가있을것이다. 최근독일리히텐슈타인지방자치단체는설계단계부터프라이버시를고려하는개념 (Privacy by Design) 을적용하는빅데이터가이드라인을제정하여빅데이터설계초기부터중요단계마다프라이버시침해가없는지영향평가를통해위험성을제거하는방침을적용하였다. 170) 국내에서는이러한설계단계부터프라이버시를고려하는개념을도입하자는목소리가빅데이터가중요해지던 2012년부터개인정보보호관련논의로제기되었다. 최 169) 공공기관외의개인정보처리자는개인정보파일운용으로인하여정보주체의개인정보침해가우려되는경우에는영향평가를하기위하여적극노력하여야한다. 170) -

287 근에는사물인터넷이강조되면서정보보호를위한방안으로 Privacy by Design 을정책적으로도입해야한다는목소리가재차강조되고있는추세이다. 설계단계부터프라이버시를고려하는개념을법률적으로적용하는방안은국외법률제정현황을종합적으로검토하고이를국내실정을반영하여도입하는것이필요하다. [Privacy by Design의 7대원칙 ] ICT의지속적인성장과그에따른프라이버시에미치는영향을체계적으로설명하기위하여 1990년대앤카부키안박사 ( 캐나다온타리오주개인정보보호위원회 ) 가고안 개인의사생활보호와개인정보의통제권확보, 지속가능한기업및기관의경쟁력확보를위한 Privacy by Design 7대원칙제시 1 사후대응이아니라사전대비, 문제점을고치는것이아니라사전예방할것 2 프라이버시보호를시스템의기본값으로설정할것 (privacy by default) 3 개인정보처리자의모든활동계획에프라이버시를포함할것 4 포괄적기능성을보장할것, 즉상호대체 (Zero-Sum) 가아닌상호보완 (Positive-Sum) 으로전환 5 개인정보의생명주기전체에대하여보안을고려할것 6 개인정보보호정책과절차는투명성을유지해야하며, 정보주체등이해관계자에게항상공개되도록할것 7 사용자중심의설계와운영으로개인의프라이버시가존중되도록할것 (2) 개인정보처리자별프라이버시영향평가 (Privacy Impact Assessment, PIA) 기준마련 프라이버시영향평가는법제도의프라이버시프레임워크를따르는것만으로는다양한환경에서의프라이버시보호를제대로할수없다는염려에서시작하기때문에, 이용자에게프라이버시보호에대한확신을줄수있도록객관적인프라이버시영향평가기준을마련할필요가있다. 특히, 앞서설명한바와

288 같이사물인터넷에서는여러유형의개인정보처리자가존재하고각각의기능과역할이다르므로해당환경에적합한프라이버시영향평가기준을마련할필요가있다. 이는다양한프라이버시보호를위한가이드라인마련과한궤를함께할수있을것이다. (3) 사물인터넷서비스개시전사고대응방안마련 사물인터넷서비스의경우프라이버시와관련된사고발생개연성이높을뿐만아니라사업에참여하는이해관계자가많기때문에사고발생가정하에실효성높은사고대응방안이추진되는데어려움이있을수있다. 이에따라서비스를총괄하는사업자에게일정정도의사고대응관련의무를부여할필요가있으며, 이러한방안의일환으로해당사업자에게는사전에종합적인사고대응방안을마련토록의무화할필요가있다. 특히, 사물인터넷환경의기기에서발생하는보안사고에대해서이해관계자들간에일부책임이명확하지않은경우가있어사물인터넷서비스개시이전부터다양한이해관계자간책임소재를분명히하여사고피해자에대한배상책임이명확히이루어질수있도록계약을체결해야하고, 아울러사고발생이후사고피해를최소화할수있도록이해관계자들간의협력방안도고려해야할것이다. (4) 표준화된프라이버시개선 (Privacy Enhancing) 기술적용 사물인터넷환경에서센싱능력을지닌디바이스가증가함에따라센싱과정에서프라이버시이슈가다양하게도출될수있다. 예를들어구글글래스를끼고걸어가는사람이사진이나동영상촬영시, 주변사람들이이를인지할수있는장치가없다면프라이버시침해및개인정보유출에위협을줄수있다. 특히, 기존스마트기기의개인정보이슈에웨어러블기기의가장큰특징인제품의소형화, 경량화에따라타인들이이를인지하기어려워질수도있다. 미국의저명한언어학자인 MIT의노암촘스키교수는구글글래스에대하여강도높은비판을했는데, 구글글래스를통한사생활침해로인해인간의삶

289 이파괴되고, 주변에서일어나는모든일들이무분별하게인터넷에전송됨으로인해피해가심각할것이라고강조한바있다 171). 이러한프라이버시문제최소화를위해서는센싱기능을가진디바이스제작에앞서설명한프라이버시평가를통하여이러한문제가생길수있는요소를충분히고려하여이를해결할수있는기술요소를추가하고산업별로개인정보개선 (Enhancing) 표준화를진행하는것이좋을것이다. 즉, 개인들은본인의사전동의없이구글글라스에무차별적으로찍힐경우심한불쾌감을느낄수있기때문에, 누군가가구글글래스로촬영할때알림음을울린뒤촬영기능을활성화시키고, 촬영중임을나타내는표식을전면에표시하는등영상정보처리기기를통한정보수집과정에서프라이버시보호를강화하는기술적조치를산업별로표준화하는것이좋을것이다. 172) 아울러, 표준화를준수하는기업에게는다양한인센티브를제공할수있어야하고적어도필수적인표준화적용부분에있어서는디바이스제조업자간의협약을통하여반드시준수한채디바이스가시중에보급될수있도록해야할것이다. 7. 개인정보파기제도강화 (1) 개인정보를수집하는디바이스통제강화 사물인터넷환경에서수집 / 이용되는개인정보양이많아지면많아질수록개인정보유출위험은점차커지게된다. 해당위험은외부의해킹뿐만아니라내부인력을통하여, 또한그외다양한위협을통해의도적이든의도적이지않던굴러가는눈덩이처럼커질수있을것으로보인다. 특히사물인터넷의센서및허브역할을맡는다양한스마트기기들이홍수처럼쏟아져나옴에따라사 171) 노암촘스키교수는미국의온라인뉴스프로그램 로라플랜더스쇼 ( ) 에출연하여구글글라스에대한자신의견해를밝힌바있다. 172) TTA 가 2004 년제정한현재표준은휴대전화가 ' 무음모드 ' 상태여도카메라촬영시에는 60 68dBA 의소리를내도록권고하고있으며, 업체들은자발적으로이를적용해오고있다.(" 무음카메라앱으로 ' 몰래촬영 ' 못한다 ", , 연합뉴스 )

290 용중이거나사용이후중고거래시장을통해내부에저장된개인정보가유출되는개연성은점차커지고있다. 이중에서최근온 / 오프라인중고시장거래를통해스마트폰, 스마트미터, 스마트어플라이언스등각종디바이스가거래되고있는데, 이를통해디바이스에저장된개인정보가무수히유출될우려가있으며, 아무리개인이나관련사업자가포맷처리를하였다하더라도용해나디가우징등강력한파기방법을사용하지않는한복구가가능하여개인정보유출위협은늘도사리고있는것이다. 다만, 잇따른정보유출사고로개인정보보호인식이높아지는상황에서도아직개인정보파기의중요성에대한지금까지의관행이나불명확한기준등에따라, 관련업계및국민들의인식은아직일부미흡한것으로보인다. 현재개인정보보호법에서는개인정보가들어있는디스크나전자문서파기시개인정보가복구되거나재생되지않도록해야한다고명시하고있고국가정보원가이드라인에서나오는정보파기방법 173) 들을사용하고있으나, 사물인터넷환경에서는도난, 분실등자산관리의부실에따라실제파기까지이르지못하는개연성이증가하고, 수많은디바이스내개인정보를파기하는데큰비용 시간이발생하여실행까지가기어려울수있다. 이에따라, 사물인터넷사업자입장에서개인정보가수집 / 저장되는디바이스에대한통합적인관리가가능토록식별번호기반의통합디바이스자산관리및디바이스관제를의무화하거나개인정보영향평가의중요한평가항목으로선정할필요가있다. 이러한자산관리및관제가도입될경우만약개인정보가저장된디바이스가도난당했다하더라도식별번호기반으로이를즉각적으로추적할수있도록방안이마련가능할것이고, 아울러, 기존디바이스를교체할경우에도기존디바이스내개인정보파기없이는중고시장등을통한재활용이불가능하도록관리할수있을것으로기대한다. (2) 제 3 자에게제공된정보파기를위한계약체결 173) 하드디스크파기방법의예로는 1 용해방법 : 처리업체를통해용광로에소각 ( 용해 ) 하는방법, 2 디가우저이용 : 강한자기장을통과시켜정보를날리는방법, 3 펀칭기법 : 다시재사용되지못하도록물리적으로구멍을뚫어폐기하는방법, 4 하드디스크파쇄기이용 : 강력한파쇄기를통해하드디스크자체를완전히부숴서파쇄하는방법등이있다

291 앞서살펴보았듯이사물인터넷서비스에서는고객의다양한요구를만족시키기위하여제3자와의협업이크게증가하고정보의공유가유래없이커질개연성이있다고할수있다. 이러한정보공유및정보의외부확산은애초개인정보수집시설정했던개인정보의보유기간을넘어서서활용될수있기때문에이에대한수집자의역할및책임을높일필요가있다. 이를위하여주요사물인터넷사업자에게는현재금융권에서시행되고있는제3자에게제공된정보파기및확인의무화도입 174) 을고려할수있겠다. 먼저, 제3자가사물인터넷사업자로부터제공받은개인정보를이용하는 필요최소한 기간을설정하고, 기간도과시제3자가직접파기를해야하는의무를제공하는것이다. 이를위해사업자는제3자와개인정보를제공하는계약체결시에는구체적보유기간과파기계획을명시하고, 파기불이행시페널티 ( 손해배상등 ) 를마련할필요가있으며, 아울러, 제3자에게제공된정보가이용기간도과시파기하도록별도공문으로요청하여파기확인서를징구하고, 마지막으로제3자제공정보의파기여부확인등관리실태를점검하여 CEO( 또는 CPO) 등에주기적으로보고하여철저히관리될수있도록하여야한다. 8. 사물인터넷위험에대한이용자교육강화 사물인터넷환경에서개인정보유출에대한위험이증가됨에따라개인정보보호교육을이용자의보안인식증가가사고예방에있어가장중요한요소중하나로나타날수있다. 다만, 사물인터넷서비스는경우에따라이용자의간섭없이도자동적으로이루어지는경우도많고, 기술적복잡함, 개인정보공유범위도크기때문에무엇보다알기쉬운방식으로이용자교육이강화될필요가있다. 이를위하여정부와사업자주관교육이아래와같이중복적으로이루어질필요가있다. 먼저, 정부는사물인터넷서비스종합포탈 (Portal) 을만들어온국민이 사물 인터넷주요서비스별특징, 개인정보수집정보및경로등을알수있도록소 비자교육을실시할필요가있다. 기존 에사물인터넷을위한 174) 금융위원회 / 금융감독원등관계부처, 금융분야개인정보유출재발방지종합대책 ( )

292 별도공간을만들어서비스별예상가능수집정보 ( 식별, 비식별정보 ) 및개인이할수있는위험감소방안등에대한교육을실시할필요가있다. 둘째, 서비스제공자도자사의주요서비스별개인정보수집및이동경로를고객이알수있도록하고서비스별위험도를인식시킬수있도록자체고객교육서비스제공 ( 온, 오프라인 ) 을상시적으로제공할필요가있다. 9. 사물인터넷서비스이용자를위한서비스투명성확대 사물인터넷환경에서는서비스를제공하기위하여이용되는개인정보의종류및양이크게확대될수있어이용자스스로도어떤정보가얼마만큼이용되는지확신하기어려운상황이많이발생할개연성이크다. 이러한환경에서서비스별이용되는정보에대한자기결정권강화를위해사업자가얼마나개인의정보를처리하는지, 관련법령에맞추어적법하게처리하는지이용자가알수있게함으로써개인과사업자간의관련정보비대칭성을해결하고투명성을확보할수있는대책을마련할필요가있다. 첫째, 투명성확대를위하여일정규모이상의개인정보를수집또는처리하는사업자의경우개인정보영향평가를의무화하는방안을고려할필요가있다. 뿐만아니라개인정보처리자의투명성확보를사전에마련하고정보주체로하여금그위험성을충분히판단할수있도록영향평가의결과를홈페이지등을통해공개하는것도좋은방법이라판단된다. 둘째, 사물인터넷서비스는사업마다다양한법률적이슈사항이도출될수있기때문에일정규모이상의사물인터넷사업자들을대상으로개인정보관련법률의준수여부점검결과보고서등을홈페이지에게시하고자율규제기관에제공 (CEO, CPO 책임 ) 하는방안을검토할필요가있다. 사물인터넷사업의정착을위해서는유사한사업자끼리관련법준수에따른위험사항을공유하여해결방안을마련하는것이중요하므로자율규제기관이이러한중재역할을할수있을것으로보인다. 일정규모이상의사업자에대한기준은최근 2012년전자금융거래법개정에따라 총자산 2조원이상이면서종업원수가 300명이상인금융회사는정보보고최고책임자 (CISO) 를임원으로임명해야한다. 라

는법률규정상기준을따르는것이타당할것으로사료된다. 셋째, 사물인터넷을통하여다양한개인정보의수집및결합이이루어짐에따라, 개별사업자에대한다양한목적의정부의정보제공요구가더욱많아질것으로보이므로, 이용자의정보권리향상을위하여일정규모이상의사물인터넷사업자에게는투명성보고서공개를권장하는방안을모색할필요가있다.

293 는법률규정상기준을따르는것이타당할것으로사료된다. 셋째, 사물인터넷을통하여다양한개인정보의수집및결합이이루어짐에따라, 개별사업자에대한다양한목적의정부의정보제공요구가더욱많아질것으로보이므로, 이용자의정보권리향상을위하여일정규모이상의사물인터넷사업자에게는투명성보고서공개를권장하는방안을모색할필요가있다. 예컨대구글은 2011년부터전세계정부의데이터검열요청을조명한다는취지로투명성보고서를발표하기시작하여정부의컨텐츠삭제요청건수는물론구글사용자에대한정보요청, 저작권자의검색삭제요청건수에대한정보를제공하여구글사용자에대한구글의투명성을제고하는노력을기울였다. 175) 물론투명성보고서의게시는기본적으로회사의자율적인판단에의거하지만, 전반적인사물인터넷환경의자기정보결정권확보라는측면에서긍정적인효과가기대되며사물인터넷의신뢰확산에도도움이될것으로보인다. ( 그림 7-3) 구글투명성보고서예시 출처 : 175)

모두 보기

1 - 서울특별시강서구누리소통망서비스 (SNS) 관리및 운영에관한조례제정안 검토보고서 1. 회부경위 가. 의안번호 : 나. 제출자 : 서울특별시강서구청장다. 제출일 : 2017 년 5월 2일라. 회부일자 : 2017 년 5월 8일 2. 제안이유 인터넷,

제 248 회서울특별시강서구의회임시회행정재무위원회제 1 차회의 서울특별시강서구누리소통망서비스 (SNS) 관리및 운영에관한조례제정안 검토보고서 2017. 05. 서울특별시강서구의회행정재무위원회 1 - 서울특별시강서구누리소통망서비스 (SNS) 관리및 운영에관한조례제정안 검토보고서 1. 회부경위 가. 의안번호 : 2017-15 나. 제출자 : 서울특별시강서구청장다.