제60호 2014년 7월 18일 개인정보보호 주간동향
Contents 국내 주요뉴스 탈북자 보이스피싱 조직 한 명은 월북 1 IT강국인데 '빅데이터'는 약소국 기업 82% "활용안해" 1 해외 주요뉴스 웨어러블 컴퓨팅 개인정보보호를 위한 도전과 기회 2 상업용 드론이 날아다닐 하늘을 열기 위해 움직이고 있는 미국 6 이슈 심층분석 주민번호 수집 법정주의, 달라지는 점은? 8
NIA 개인정보보호 주간동향 1 1 국내 주요뉴스 탈북자 보이스피싱 조직 한 명은 월북 (중앙일보) 2008년 탈북한 이모(27.구속)씨는 2012년 11월 조선족 천모(수배)씨에게 500만원을 주 고 개인정보 600만 건을 넘겨받음 이씨는 귀국해 알고 지내는 탈북자를 모아 사무실을 차리고 지난해 3월부터 지난 3월 까지 보이스피싱을 함 자녀가 다쳤는데 보호하고 있다 거나 자녀를 납치했다 고 하는 수법을 써서 38명에 게서 5억을 받아 냄 출처 http://joongang.joins.com/article/aid/2014/07/17/14859144.html?cloc=olink article default IT강국인데 '빅데이터'는 약소국 기업 82% "활용안해" (연합뉴스) IT(정보기술) 강국인 우리나라 기업들의 빅데이터 활용률이 현저히 떨어지는 것으로 나타났음 대한상공회의소는 최근 국내 기업 500개사를 대상으로 빅데이터 활용 현황을 조사한 결과, 응답 기업의 81.6%가 '활용하지 않고 있다'고 답했다고 14일 밝혔음 활용한다는 기업은 7.5%에 그쳤다. '향후 활용 계획이 있다'는 답도 10.9%에 불과 빅데이터 활용이 어려운 이유로는 '데이터 분석역량 및 경험부족'(19.6%)을 가장 많이 꼽았음 출처 http://news.naver.com/main/read.nhn?mode=lsd&mid=sec&sid1=101&oid=001&aid=0007011164
NIA 개인정보보호 주간동향 2 2 해외 주요뉴스 웨어러블 컴퓨팅 개인정보보호를 위한 도전과 기회 개요 l 캐나다 개인정보위원회(OPC)는 <웨어러블 컴퓨팅 - 개인정보보호를 위한 도 전과 기회> 제하의 보고서를 통해 웨어러블 컴퓨팅의 도래에 따른 현행 개인 정보보호 제도를 검토 주요내용 본 보고서는 웨어러블 컴퓨팅의 개념정의와, 프라이버시 보호 측면에서의 특성, 본 기술 의 상용화에 따른 현행 개인정보보호제도의 문제점, 웨어러블 디바이스 설계시 개인정보 보호를 위한 고려사항 등을 검토하고 있음 n 웨어러블 컴퓨팅과 개인정보보호 문제 2013년 시장조사에 따르면, 웨어러블 컴퓨팅의 개발 분야는 간략히 4가지로 요약되는데, - 피트니스, 건강 및 생활 관련 응용 프로그램으로, 스마트 의류, 스마트스포츠안경, 활동 모니터, 절전 센서 등 개인의 일상생활을 추적하는 용도의 디바이스 - 인포테인먼트 용도의 스마트시계, 증강현실 헤드셋, 스마트 안경 등 - 포도당 모니터링 장비, 웨어러블 바이오센서패치 등 건강 및 의료제품 - 증강현실헤드셋, 웨어러블 카메라 등 산업용 또는 치안용(경찰 및 군대) 제품 이러한 웨어러블 컴퓨팅은 이용자의 의류, 신체 또는 스마트폰과 연결하거나 통합할 수 있으며, 이용자의 요구에 맞는 맞춤형 피드백을 제공한다는 점. 그리고 가격이 저렴하고, 개인용 및 업무용 등 다목적으로 활용 가능하며, 설치가 간단하다는 점 때문에 향후 발 전 가능성이 높음 그러나 스마트폰과 구별되는 웨어러블 컴퓨팅의 특성으로 인해 모바일 환경에서 프라이 버시 위험을 증폭시킬 가능성이 있으며, 일반 국민들도 이 부분을 크게 우려하고 있음
NIA 개인정보보호 주간동향 3 - 스마트폰과 달리, 웨어러블 장비는 신체 외부에 착용하며, 24시간 운영이 가능하기 때 문에 은밀한 개인정보 수집이 가능 - 또한 이미지는 물론 오디오 및 비디오 형식의 데이터 수집도 가능 - 미국과 영국인을 대상으로 한 조사에서 51%의 응답자가 개인정보 보호 문제로 웨어러 블 컴퓨팅 도입에 대해 부정적으로 생각하고 있었음. 특히 구글글래스에 대해 62%의 응답자가 어떤 방식으로든 규제가 필요하다고 응답. 또한 20%는 이 장치 사용을 전면 금지해야 한다고 대답 n 캐나다의 개인정보보호법과 웨어러블 컴퓨팅 유비쿼터스 컴퓨팅 및 모바일 디바이스에서 개인의 동의없는 개인정보 수집금지 등 기 존의 개인정보보호 프레임은 무의미함 또한 업무 목적의 웨어러블 장비를 통해 수집된 직원의 건강정보가 보험회사나 고용주 에게 제공되거나, 누군가의 기분, 체력, 건강상태에 대한 실시간 정보가 다른 사람에게 전해질 가능성도 충분한 상황임 연방정부의 웨어러블 컴퓨팅 디바이스 이용문제 - 현행 개인정보보호 법률에 따르면, 연방정부 기관은 뚜렷한 목적이 있어야 개인정보를 수집할 수 있으며, 수집된 개인정보는 당초의 수집목적에 부합될 경우에만 사용 가능 - 일부 예외를 제외하고, 웨어러블 디바이스를 통해 수집된 정보를 다른 용도로 이용하기 위해서는 반드시 개인의 동의를 거쳐야 함 - 또한 연방정부가 웨어러블 컴퓨팅 디바이스를 통해 개인정보를 수집하는 경우에도 연 방정부는 이 과정에서도 개인정보보호 법률을 준수하고 있음을 입증해야 하며, - 개인정보영향평가(Privacy Impact Assessments, PIAs)를 실시하고, 재무위원회(Treasury Board)의 지침에 의거, 연구, 감사 및 평가를 위한 프라이버시 프로토콜을 만들어야 함 웨어러블 디바이스 이용자가 개인적 차원에서 제3자의 개인정보를 수집하는 문제 - 초소형 카메라가 장착된 웨어러블 디바이스는 PIPEDA(개인정보보호 및 전자문서법)의 프라이버시 프레임워크에 위배됨. 특히 웨어러블 디바이스로 다른 사람에 대한 정보가 수집되는 것이 핵심이슈임 - 일반 개인이 개인적 목적으로 개인정보를 수집, 이용, 게시한 개인정보는 PIPEDA의 적 용대상이 아님. 즉, 개인이 오디오와 비디오로 타인을 녹화해서 온라인에 게시하는 것 은 합법적인 것임.
NIA 개인정보보호 주간동향 4 - 그러나 최근 정부는 친한 사람들끼리 만든 이미지도 당사자의 합의 없이 온라인에 게 시하는 문제를 해결하기 위한 조치를 강구중임 웨어러블 디바이스를 통해 수집된 개인정보가 상업적 목적으로 사용되거나 특정 기업으 로 전송되는 문제는 PIPEDA에 저촉되는 위법행위에 해당 - 이와 관련해 캐나다 OPC는 구글 측에 구글글래스의 개인정보 수집 및 공유 문제에 대 해 질의한 바 있음. 이에 구글은 사용자의 제어기능 반영, 얼글인식 어플리케이션 미사 용 등 제3자 개인정보보호를 위한 설계사항을 설명한 바 있음 - 연방 규제기관 역시 직원의 일상 업무를 위해 헤드마운드 된 웨어러블 디바이스를 사용 할 경우 역시 PIPEDA에 따라, 업무 목적 이외의 개인정보는 수집될 수 없음 - 그러나 이 경우, 직원이 적절한 지식이나 상대방의 동의없이 제3자의 개인정보를 광범 위하게 수집할 가능성이 있으며, Empatica 제품같이 직원의 스트레스 수준이나 감정을 모니터링 할 수 있는 기능이 있다면 직원감시에도 이용가능한 상황임 개인정보 보호를 위한 웨어러블 컴퓨팅 디바이스 설계 - 미국의 Privacy Rights Clearinghouse가 일반적으로 널리 쓰이는 43개의 건강 및 피트 니스 관련 모바일 앱을 조사한 결과, 72%의 앱은 프라이버시 측면에서 중간 또는 높은 수준의 위험을 내재한 것으로 나타남 - 프라이버시 침해수준이 낮은 앱은 유료앱이었음. 이 연구 결과는 모바일 앱 개발사가 광고로만 수익을 창출하는 것이 아니라는 점을 반증 - 때문에 모바일 개발자를 위한 OPC 가이던스, 게임 콘솔 관련 자료, 온라인 광고에 대한 OPC 가이드라인 등이 웨어러블 컴퓨팅 장비설계 과정에서도 적용되어야 함 시사점 2014년 2월 구글글래스를 착용한 여성이 폭행당한 사건은 웨어러블 디바이스에 대한 일반인의 개인정보 침해 우려를 보여주는 단적인 사례임 웨어러블 디바이스로 인한 프라이버시 침해 우려가 없는 안전한 이용환경을 조 성하는 것은 관련 산업발전을 위해서도 반드시 선결되어야 하는 과제임 그러나 현행 정보 주체의 동의에 기반에 개인정보보호 법률 프레임은 웨어러블 디바이스에는 적합하지 않은 이슈로서, 이의 보완이 필요하며,
NIA 개인정보보호 주간동향 5 이와 더불어 웨어러블 컴퓨팅 디바이스 설계 시 적용 가능한 프라이버시 가이드 라인을 개발하여 적용하는 등 보다 실질적인 조치가 병행되어야 할 것임 출처 http://www.priv.gc.ca/information/research-recherche/2014/wc_201401_e.asp ( Wearable Computing - Challenges and opportunities for privacy protection )
NIA 개인정보보호 주간동향 6 상업용 드론이 날아다닐 하늘을 열기 위해 움직이고 있는 미국 개요 미디어 기업, 에너지 기업, 영화사, 농장주 등 드론을 이용하려는 다양한 집단들 이 무인항공기(UAS: Unmanned Aerial Systems)라 알려진 드론의 비행 금지를 해 제해줄 것을 미국연방항공국(FAA: Federal Aviation Administration)에 요구하고 있음 FAA가 소형 드론의 상업적 이용을 허용하기 위해 규정의 드래프트 버전을 작성 하고 있지만, 국방부, 국토안보부 등 여러 기관들이 관련되어 있기 때문에 규정 을 최종 마무리하는데 수년이 걸릴 것으로 전망되고 있음 주요내용 드론을 이용하려는 수요가 커지고 있음 - 루퍼트 머독(Rupert Murdoch)의 21세기 폭스사(Twenty-First Century Fox Inc)가 투자 자로 참여하고 있는 Vice Media는 국제 뉴스를 커버하기 위한 목적으로 드론을 실험하 고 있음 - 5월 Vice News는 브라질 월드컵 스타디움 인근에 텐트를 치고 토지를 무단 점유하고 있는 데모대의 모습을 카메라가 장착된 무인 헬리콥터를 통해 생방송 중계하였는데 이 런 방식은 뉴스 매체 중 최초의 일이었음 - 이와 같이 미디어 기업들은 유인 항공기보다 드론이 비용도 적게 들뿐만 아니라 보다 생 생하고 광범위한 장면을 제공하기 때문에 드론의 상업적 이용을 간절하게 원하고 있음 - 농작물 작황 상태 측정, 석유 굴착장치 감시, 교통 상황 파악, 택배 배달, 영화 촬영 등 과 같이 다양한 목적으로 드론을 이용하고자 하는 수요가 증가하고 있음 드론의 비행 금지를 해제해 달라고 요구하는 목소리가 거세지고 있음 - 영화 장면을 촬영하기 위해 드론을 이용하기를 원하는 8개 영화사들을 포함한 12개 회 사가 FAA에 드론의 상업적 이용 금지를 해제해 줄 것을 청원하였음 - 드론 제조업체인 Trimble Navigation사는 측량사 또는 농장주들이 현장을 찍을 수 있 도록 5-1/2 파운드의 UX5 비행기에 대한 비행 금지를 해제해 줄 것을 원하고 있으며
NIA 개인정보보호 주간동향 7 Yamaha Motor사는 농작물에 살충제를 뿌리기 위해 141 파운드의 RMAX 헬리콥터에 대한 비행 허용을 원하고 있음 - 뉴욕타임스, Gannett Co사, McClatchy사 등 16개 미디어 기업 및 뉴스 기관들은 뉴스 를 수집하는 것은 비즈니스 목적이 아니므로 드론 비행 금지가 해제되어야 한다고 주 장하면서 미국 국가운수안전위원회(National Transportation Safety Board)에 소송사건 적요를 제출하였음 FAA는 소형 드론의 상업적 이용을 허용하기 위한 규정을 마련하고 있음 - FAA는 소형 드론의 상업적 이용을 허용하기 위한 규정의 드래프트 버전을 작성 중이며 올해 말에 각계의 의견을 듣기 위해 규정의 드래프트 버전을 내놓을 것이라고 로이터 통신이 전함 - 하지만 FAA의 전 수석 자문위원인 테드 엘렛(Ted Ellett)은 FAA 산하의 관련 조직들, 국방부, 국토안보부(Department of Homeland Security) 등 여러 기관들이 관여되기 때 문에 규정을 최종적으로 마무리 하는데 수년이 걸릴 수 있다고 말함 시사점 미국에서 드론의 상업적 이용에 대한 요구가 커지면서 안전과 프라이버시에 대 한 우려도 함께 제기되고 있는데 이러한 문제는 미국뿐만 아니라 곧 국내에서도 현실화될 가능성이 큰 것으로 보임 따라서 모든 이해관계자들이 참여하여 드론의 상업적 이용으로 인한 혜택과 함 께 안전, 프라이버시 문제에 대한 심도 있는 논의를 통해 드론이 경제 활성화에 기여하면서 부작용은 최소화할 수 있도록 미리 대비를 할 필요가 있음 출처 http://www.huffingtonpost.com/2014/07/07/commercial-drones_n_5562993.html ( U.S. Moves Toward Opening Skies For Commercial Drones )
NIA 개인정보보호 주간동향 8 3 이슈 심층분석 주민번호 수집 법정주의, 달라지는 점은? 디지털타임스 강은성 기자 오는 8월 7일부터 주민등록번호(이하 주민번호)를 유출한 기업에게는 최대 5억원의 과징금이 부 과된다. 또 모든 공공기관 및 민간사업자의 법적 근거 없는 주민번호 수집 행위가 원칙적으로 금지 된다. 수집 금지조치를 위반하면 최대 3000만원의 과태료가 부과되기도 한다. 이는 개정된 개인정 보보호법에 따라 시행되는 주민번호 법정주의 에 따른 것이다. 주민번호는 생년월일과 출생지 등 다양한 인적정보가 담겨 있는 데다 `평생' 변하지 않는 고유식 별번호다. 이같은 특성 때문에 한번 유출되면 피해 역시 `평생' 지속될 수 있다. 한 보안 전문가는 "개인정보 유출 사고가 발생할 경우 그 피해는 단기간에 끝나는 것이 아니다. 정보유출 사고로 인한 2차 피해는 없다고 해당 기업이나 정부가 입을 모으지만 시중에 흘러나간 개인정보로 인한 실제 금융사기, 명의도용 등의 각종 2차 피해는 몇년이 지나도 지속적으로 발생 한다"고 지적한다. 무엇보다 주민번호는 사방으로 흘러나간 각종 인적정보와 결합할 경우 특정인의 모든 것을 파악 할 수 있는 `열쇠' 역할을 해 어떤 개인정보보다 유출시 피해가 크다고 전문가들은 강조한다. 김민호 성균관대학교 법학전문대학원 교수는 "주민번호가 공공과 민간에서 본인확인 및 신원증 명 수단으로 매우 광범위하게 사용되고 있는데, 주민번호에는 과다한 개인정보가 연계돼 수집된다 는 점이 상당히 위험하다"면서 "산재해 있는 개인정보들이 주민번호를 매개로 축적ㆍ수집ㆍ관리되 고 있기 때문에 주민번호가 하나의 열쇠가 돼 흩어져 있는 정보들을 하나하나 꿰어 나가는 역할을 하고 있다"고 경고했다. 시민단체인 진보네트워크의 장여경 정책국장도 "주민번호는 본래 공공번호이지만, 현재 법률 77 개, 시행령 404개, 시행규칙 385개로 총 800개 이상의 법령들이 주민번호의 사용을 허가하고 있다" 면서 "공공번호인 주민번호가 이처럼 다목적 식별번호로 뒤바뀌면서 대기업은 물론 동네 피자집부 터 비디오대여점까지 주민번호를 안 쓰는 곳이 없다보니 쓸모가 커지고, 주민번호를 탐내고 불법 으로 훔쳐내는 범죄자 또한 많아진 것"이라고 지적했다. 이에 정부는 주민번호 보호조치를 강화하는데 주력하기로 했다. 그동안 계도, 안내 혹은 경고에
NIA 개인정보보호 주간동향 9 그쳤던 부분의 처벌을 강화해 법적 근거 없이 주민번호를 수집하거나 이를 유출한 기업에 대해 과 태료 및 과징금 등의 법적 처벌을 강화하는 것이 대표적인 사례다. 정부기관이나 기업이 주민번호를 적법하게 수집했다 하더라도 오는 2016년 1월 1일부터는 반드 시 암호화를 하도록 의무도 강화했다. 지난 2월 28일에 모든 공공기관 및 민간사업자에게 주민번호 암호화를 의무화하는 내용의 `개인정보보호법 개정법률안'이 국회 본회의를 통과한데 따른 조치다. 이에 따라 공공기관이나 민간 사업자의 대처도 중요해지고 있다. 먼저 공공기관 및 민간사업자 는 개정 개인정보보호법이 시행 전까지 소관업무 수행과 관련한 주민번호 수집 및 이용 실태를 스 스로 점검해 불필요한 경우에는 주민번호를 수집하지 않도록 하거나 생년월일, 아이핀, 휴대폰번 호, 회원번호 등으로 대체해야 한다. 기존에 수집해 보관 중인 주민번호는 8월 7일 이전까지 모두 파기해야 한다. 이 조항의 경우 사업자의 충격을 방지하기 위해 정부는 2년의 유예기간을 뒀다. 따 라서 반드시 주민번호를 파기해야 하는 최종 시점은 2016년 8월 7일이다. 물론 주민번호를 무조건 수집하지 못하는 것은 아니다. 기업이 인사관리, 급여 지급 등을 위해 소 속직원(정규직, 계약직, 임시직 등)들의 주민번호를 수집해 보관하는 것은 허용이 된다. 개정 개인정보보호법 제24조의2 제1항 제1호는 개인정보처리자는 법령에서 구체적으로 주민번 호의 처리를 요구 허용하는 경우에는 주민번호를 수집, 이용할 수 있다 고 명시하고 있다. 사업주는 소속 근로자의 국민연금, 고용보험, 건강보험, 산재보험 등 4대 보험 가입과 세금 원천징수 등을 위 해 관련 법령에서 정하는 바에 따라 해당 근로자의 주민번호를 수집할 수 있다. 따라서 사업주는 개정 개인정보보호법이 시행된 이후에도 자신의 비용으로 임금을 지급하고 있는 소속 직원의 주민 번호를 수집하여 인사관리나 급여 지급 등의 목적으로 이용할 수 있는 것이다. 다만 직원 채용 등을 목적으로 주민번호를 수집하는 것은 허용되지 않는다. 입사지원 서류 제출 이나 채용시험 응시 등 입사지원 단계에 있는 구직자의 경우에는 아직 근로계약 체결 여부가 확정 되지 않은 상태다. 이 경우 사용자가 구직자의 주민번호를 반드시 수집해야 하는 필요성이나 법적 근거가 있다고 보기 어렵다. 따라서 주민번호 유출이나 오남용 피해 우려 등을 고려할 때 아직 입 사지원 단계에 있는 구직자의 경우에는 주민번호 대신 생년월일이나 휴대폰 번호 등을 수집하는 것으로 대체해야 한다. 민간회사 건물에서 외부 방문자의 주민번호까지 기재하도록 하는 것도 불법이 된다. 해당 건물 또는 사무실의 보안 유지나 시설물 보호 등을 성명이나 연락처 등을 수집하는 것은 일정부분 필요
NIA 개인정보보호 주간동향 10 하다고 볼 수 있다. 하지만 주민번호와 같은 중요한 정보까지 수집해야 할 피치 못할 이유가 있다 고 보기는 어렵다는 것이 개정법의 취지다. 이런 경우에는 해당 건물에 출입하는 외부 방문자의 출입 목적과 필요시 연락을 취할 수 있는 전화번호 등 필요 최소한의 개인정보에 한해 수집하도록 하고, 주민번호는 수집하지 않도록 해야 한다. 일반 시민이 흔히 이용하고 가입하는 대형마트, 백화점 등의 멤버십 서비스 역시 주민번호를 수 집 금지 대상이다. 주민번호 수집 목적의 적합성이나 대체수단 적용 가능성 등을 고려할 때 대체 가능성이 충분하기 때문이다. 법령에서 구체적으로 주민번호 수집을 허용하는 경우는 급박한 생명ㆍ신체ㆍ재산상 이익을 위 해 필요한 경우 등에 한정한다. 즉 마트나 백화점에서 고객의 생명이나 재산 보호에 직접적으로 관 여하고 있다고 보기는 어렵기 때문에 주민번호를 수집하면 안된다. 이런 경우에는 주민번호를 휴 대폰번호, 회원번호, 아이핀, 생년월일 등으로 대체해야 한다. 인터넷쇼핑몰이나 기업의 서비스를 받기 위해 고객콜센터를 자주 이용하는데, 이때 본인확인을 위해 불러주던 주민번호도 더 이상 불러주면 안된다. 일반적으로 콜센터 상담을 할 때는 통화 상대방이 고객 본인인지 여부를 확인하기 위해 고객과 의 거래 과정에서 수집한 각종 개인정보를 물어볼 수 있다. 그러나 이는 생년월일, 휴대폰 번호 등 의 다양한 항목을 이용해 본인 여부를 충분히 확인할 수 있으므로 주민번호를 요구해야 할 필요가 없다. 법적 근거 또한 없다. 따라서 콜센터가 고객 본인 확인을 위해 필요한 경우에는 생년월일, 휴대폰 번호, 기타 거래내역 등의 정보를 이용해야 하며 주민번호와 같은 중요한 정보를 요구해서는 안된다. 이용자도 스스로 자신의 주민번호를 불러주지 않을 권리가 있다. 다만 `금융실명 거래 및 비밀보장에 관한 법률' 등에 따라 은행 등 금융회사는 거래자의 실제 명 의로 금융거래를 해야 할 법적 의무를 가지므로, 금융회사 콜센터가 금융거래를 위한 경우에는 해 당 고객의 본인 확인을 위해 주민번호를 요구할 수 있다.