이 시각 주요 뉴스

여백

개인정보보호, CCTV 영상정보 중심으로

박세환 한국과학기술정보연구원 ReSEAT 프로그램 전문연구위원 이광재 기자l승인2014.07.04 18:02:57l수정2014.07.04 18:02

크게

작게

메일

인쇄

신고

키워드 : 개인정보보호, CCTV 영상정보, CCTV 설치·제한, 사이버보안, 사생활 침해, CCTV 카메라 촬영각도, 영상보안 솔루션, IP기반 영상감시 시스템, 인터넷 피싱, 개인정보 유출방지, VM웨어, IP 기반 무선인터넷, CRM 2.0

 350만개에 달하는 모든 공공기관 및 사업자들을 규율 대상으로 확대해 개인정보보호 의무를 부여함으로써 법적 사각지대를 어느 정도 해소할 수 있을 것으로 보인다. 
▲ 350만개에 달하는 모든 공공기관 및 사업자들을 규율 대상으로 확대해 개인정보보호 의무를 부여함으로써 법적 사각지대를 어느 정도 해소할 수 있을 것으로 보인다.

서언
개인의 중요한 인적사항이나 특히 금융 관련 개인정보(Private information)의 해킹으로 인한 피해를 방지하고자 2011년 9원30일부터 개인정보보호법이 시행되고 있다.

이에 350만개에 달하는 모든 공공기관 및 사업자들을 규율 대상으로 확대해 개인정보보호 의무를 부여함으로써 법적 사각지대를 어느 정도 해소할 수 있을 것으로 보인다.

개인정보보호법은 개인정보의 수집 및 이용, 처리, 파기 등에 대해 단계별로 필요한 보호기준과 원칙을 수립한 것이다. 주요 내용을 간단히 요약하면 다음과 같다.

- 개인정보 열람·정정·삭제 및 처리 정지권을 보장하고 개인정보 유출시 통지·신고제도와 집단분쟁 조정제도, 권리침해 중지를 구하는 단체소송 등을 도입해 국민의 피해구제를 한층 강화한다.

- 각 공공기관은 개인정보 영향평가를 의무화하는 등 개인정보 침해사고 예방과 국가의 개인정보보호 수준을 획기적으로 강화한다. 특히 주민등록번호 등 고유 식별번호 처리를 엄격히 제한하며 영상정보처리기기(CCTV 등) 설치·제한에 대한 근거규정을 마련한다.

- 개인정보보호위원회를 설치해 주요 정책을 심의·의결하고 헌법기관, 중앙행정기관 및 지자체의 법규위반 사항 등에 대해 시정조치 권고권, 국회 연차보고서 제출권과 자료제출 요구권 등을 부여했다.

- 주민번호·여권번호·운전면허번호 등 주요 고유 식별정보는 반드시 암호화해 저장해야 한다. 아울러 비밀번호는 단방향 암호화를 적용해야 하며 바이오 정보는 양방향 암호화 적용이 의무화된다. 공공기관은 의무화되는 개인정보 영향평가 결과에 따라 내부망에 저장되는 개인정보 암호화 범위 등을 결정할 수 있도록 했다.

이처럼 개인정보보호법은 개인정보보호 수준을 획기적으로 강화할 목적으로 제정된 법이다. 2012년 12월1일 행정안전부(현 안전행정부)는 개인정보보호법 중에서도 영상정보처리기기(CCTV 등) 설치·제한에 대한 근거규정으로 민간분야 영상정보처리기기 설치·운영 가이드라인을 발표한 바 있다.

개인정보보호 정책 이슈
개인정보보호 강화를 위한 정책 수립은 2004년경부터 시작돼다. 그간 추진돼 왔던 주요 관련 정책사례를 연도별로 간단히 요약하면 다음과 같다.

- 2004년 : 개인정보보호법 논의 시작

- 2005년 정보통신부 : 아이핀(i-PIN) 개발·보급 개시(아이핀은 인터넷 상에서 주민등록번호를 대신해 개인을 식별할 수 있는 수단이다. 하지만 2009년 3월 현재 도입사이트가 230여개에 불과하고 발급건수 역시 77만3000여건에 머물러 있는 상황이다.)

- 2005년 정부혁신지방분권위원회 : 선진국의 대표적인 개인정보보호제도라고 할 수 있는 PIA(Privacy Impact Assessment : 프라이버시 영향평가) 방법에 대한 해외사례 등을 검토 분석해 국내 도입방안 검토 연구

- 2006년 4월 : 개인정보보호법 개정안에 대한 의견 수렴

- 2006년 6월 한국정보보호진흥원 : 사이버보안을 위한 국가 프레임워크 개발

- 2006년 11월 정보통신부 : 개인정보담당 대상 개정안의 부당성 지적

- 2006년 11월 : 정부법률 개정안 통합안 도출

- 2007년 11월 한국정보보호진흥원 : 전자서명 이용 활성화를 위한 대국민 인식제고 및 주요 성과 점검

- 2007년 12월 한국정보보호진흥원 : 인터넷 개인정보 노출방지 및 프라이버시 보호방안 연구

- 2009년 3월 방송통신통위원회 : 주민등록번호 대체수단인 아이핀 활성화 종합대책 수립 발표

- 2009년 3월 방송통신통위원회 : 2008년 국가정보보호지수 발표

- 2011년 9월 30일 : 개인정보보호법 전면 시행

CCTV 설치 및 제한 이슈
2012년 12월 행정안전부에서 제정한 영상정보처리기기(CCTV 등) 설치·제한에 대한 근거규정인 민간분야 영상정보처리기기 설치·운영 가이드라인(이 가이드라인은 2012년 3월5일 제정하고 일부 수정사항을 반영 개정해 2012년 12월1일부터 시행되고 있다.)의 기본원칙을 요약하면 다음과 같다.

- 영상정보처리기기 설치·운영 제한 및 필요 최소한 촬영

- 영상정보처리기기 임의조작·녹음 금지

- 안내판 설치를 통한 설치사실 공지

- 영상정보처리기 운영·관리 방침 수립·공개 및 책임자 지정

- 영상정보의 목적 외 이용·제공 제한 및 보관·파기 철저

- 영상정보처리기기의 설치·운영 위탁시 관리·감독 철저

- 정보주체의 자기영상정보 열람권 보장

- 개인영상정보의 안전성 확보 조치 및 자체 점검 실시

이러한 기본원칙을 각 항목별로 분류해 세부내용을 요약하면 다음과 같다.

- 공개된 장소에서의 영상정보처리기기 설치는 원칙적으로 금지되고 예외적으로 개인정보보호법 제25조에서 정하는 사유에 해당하는 경우에만 영상정보처리기기를 설치·운영할 수 있다.(CCTV 설치·운영이 허용되는 경우는 ▲법령에서 구체적으로 허용하고 있는 경우 ▲범죄의 예방 및 수사를 위해 필요한 경우 ▲시설안전 및 화재 예방을 위해 필요한 경우 ▲교통단속을 위해 필요한 경우 ▲교통정보의 수집·분석 및 제공을 위해 필요한 경우 등이다.)

- 개인의 신체를 노출시킬 우려가 있는 목욕실, 화장실, 발한실, 탈의실 및 기타 신체의 노출 외에도 개인의 사생활을 현저히 침해할 우려가 있는 장소에는 영상정보처리기기를 설치·운영할 수 없다.

- 영상정보처리기기에는 녹음 기능을 사용할 수 없고 설치 목적과 다른 목적으로 임의 조작할 수 없다.

실제로는 대중목욕탕의 탈의실과 같은 개인의 신체가 노출되는 곳에 버젓이 CCTV 카메라가 설치된 것을 흔히 볼 수 있다.

이를 두고 업주 측에서는 도난이나 분실을 예방하기 위한 것이라지만 이용자측에서는 노출된 신체를 누군가가 모니터링 하고 있거나 악의적으로 제3자가에게 배포할 수도 있다는 우려를 낳게 하고 있다.

또한 공공장소나 상점 등에서 민원인이나 고객의 안전에 대비한다는 목적으로 해당 장소 내에 CCTV 카메라가 설치돼 있거나 모든 상황이 녹음이 되는 경우를 흔히 볼 수 있다.

이 역시 도난이나 분실을 예방하기 위한 것이지만 이용자 측에서는 개인의 사소한 행동이나 대화내용이 아무런 목적 없이 녹음돼 사생활을 침해할 수 있다는 우려가 있다.

기타 은행의 현금인출기 부스에 설치된 CCTV 카메라의 경우 고객의 계좌번호나 비밀번호 등이 노출되지 않도록 촬영각도를 조절해야 하며 비밀번호 키 형태의 상가 등의 출입문을 비추는 경우에도 마찬가지다.

아울러 주차장 등에 설치된 CCTV 카메라의 경우 주차장 내 타인이 통행하는 길거리까지 비추고 있다면 타인의 사생활을 침해할 우려가 있어 이 역시 촬영각도를 조절해야 한다.

CCTV로 인한 사생활 침해 우려를 조금이나마 해소하기 위해 중요한 점은 CCTV 카메라 설치·운영시 정보주체가 쉽게 알아볼 수 있도록 안내판을 설치해야 한다.(CCTV 카메라 설치 안내판은 촬영범위 내에서 정보주체가 알아보기 쉬운 장소에 설치하며 안내판의 크기나 위치는 자율적으로 정하되 정보주체가 손쉽게 인식할 수 있어야 한다.)

안내판에 기재해야 할 사항은 설치 목적 및 장소, 촬영범위 및 시간, 관리책임자의 성명(직책) 및 연락처, 영상정보처리기기 설치·운영을 위탁한 경우 위탁받는 자의 명칭 및 연락처 등이 기재돼 있어야 한다.

개인정보보호 대응방안
CCTV 영상보안 대응방안 = 개정된 개인정보보호법은 영상정보에 대한 규제를 기존 공공기관에서 민간 운영 CCTV 시스템까지 범위를 넓힌 것이 특징이다.(2011년 8월 현재 민간에서 운영하고 있는 CCTV는 약 250만대로 파악되지 않은 것을 합하면 약 500만대 정도로 추산된다.)

즉 개인정보의 분실, 도난, 유출, 변조 및 훼손 등에 대한 책임을 영상정보처리기기 운영자에게 둔 것이다. 이에 따라 영상정보 보안 및 사후처리를 위한 솔루션 도입이 필요하다. 이와 관련된 대응기술 개발 추세를 [표 1]에 나타낸다.

하지만 최근 개발되고 있는 IP기반 영상감시 시스템(CCTV 및 DVR 등)들은 해킹에 대해 완벽한 대응이 다소 불안정한 것으로 평가받고 있다. 이는 수집한 영상의 전송 및 보관 과정에서 안전성에 대한 보장이 어려워 이에 대비한 핵심기술 개발이 절실한 상황이다.
 [표 1] 영상정보 보안 솔루션 개발 추세 
▲ [표 1] 영상정보 보안 솔루션 개발 추세

인터넷 피싱 대응방안 = 최근 들어 인터넷 피싱(Phishing) 사이트를 통해 개인정보를 해킹해 금융사기 등으로 연결되는 사례가 급증하고 있다. 아울러 수많은 고객정보를 보유한 국내 유수 업체가 해킹을 당해 개인정보 유출이 발생하면서 실로 엄청난 피해를 유발했다. 이에 다양한 예방방법들이 개발되고 있지만 아직 확고한 방법은 보급되지 못하고 있는 실정이다.

초기 피싱 메일은 사용자의 작은 주의만 기우려도 충분히 방어할 수 있는 수준이었으나 네트워크가 점차 다양화되고 고도화되면서 다양한 수법들이 등장하고 그 피해도 급속히 증가하고 있는 추세다. 피싱 메일은 다음과 같은 특징을 갖고 있다.

- 메일 수신자의 이름이나 회원번호를 명시하지 않는다.

- 본문의 인터넷주소로 접속해 개인정보를 입력하도록 요구한다.

- 메일 본문의 인터넷주소와 실제 접속되는 인터넷주소가 서로 다르다.

- 응모하지 않은 이벤트나 복권에 당첨됐다는 내용 등을 포함한다.

- 신용불량자도 대출가능하다거나 저렴한 대출 내용 등을 포함한다.

- 특정 인터넷 사이트에서 특정 파일을 다운로드 받아 설치하도록 요구한다.

이러한 피싱으로 인한 피해를 사전에 예방하기 위해서는 이용자 스스로가 사기성 이벤트 등에 현혹되어 개인정보를 제공하는 일이 없도록 각별한 주의가 필요하다. 아울러 피싱 경유지로 사용된 PC들은 윈도 취약점이 패치(fetch)돼 있지 않아 해킹을 당하거나 악성코드가 설치된 경우가 많기 때문에 주기적인 윈도 업데이트와 백신프로그램이 필수적이다.

개인정보 유출방지 방안 = 국내 유수 기업들이 대량으로 보유하고 있는 개인정보를 암호화해 보관하고 있는 기업은 4~5%에 불과한 실정이다. 개인정보 암호화 대신 외부 침입을 차단하는 출입통제시스템을 구축한 경우가 가장 큰 비중을 차지하고 있다.

하지만 개인정보 유출 주체의 대부분이 기업(기관) 내부의 전·현직 임직원(연구원/개발자/앤지니어/정보관리자 등) 또는 협력업체 직원들이라는 의외의 사실을 감안하면 내부 정보유출 방지 시스템만으로는 완전하지 못하다.

현재 국내 개인정보보호 기술 수준은 정보유출 방지에 대한 기본적인 보안기능은 상당히 구축되어 있는 편이다. 하지만 정보유출 방지 솔루션 도입시 중요한 요건인 구축 용이성·유출경로 통제·추적 용이성·사용 편의성·관리 편의성·기존 업무환경과의 호환성 및 연계 측면에서 한계와 단점을 갖고 있어 이에 대한 개선방안이 필요하다.

이에 최근 서버 구축 분야에서도 이용이 크게 확산되고 있는 가상화 기술을 기반으로 한 정보유출방지(DLP : Data Loss Prevention) 시스템 구축 방안이 필요하다. 이를 효과적으로 정착시키기 위해서는 DLP시스템 개발 기획 및 연구동향 분석, 프로토타입 DLP시스템 시뮬레이션 기술 개발 및 데이터 분석, 국내 인터넷 환경 적용가능성 검토 및 테스트베드 구축을 통한 결과 검증과 같은 기반기술 개발이 선행돼야 한다. 서버 가상화 기술을 이용해 정보유출방지 시스템 구축을 위한 VM웨(가상OS)의 설계 개념도를 [그림 1]에 나타낸다.
 그림 1. VM웨어의 설계 개념도 
▲ 그림 1. VM웨어의 설계 개념도

결언
개인정보보호 침해 등으로 인한 민원건수 증가추이를 보면 2008년 3만9811건에서 2009년에는 3만5167건으로 다소 줄어드는 듯 했으나 2010년 5만4832건으로 전년 대비 약 64%의 높은 증가추세를 기록했다. 이는 2009년경부터 3G 광대역 모바일 서비스, 와이파이 및 와이맥스 등 IP 기반 무선인터넷 서비스의 확산으로 인해 개인정보 해킹도 증가하고 있는 것으로 판단된다.

개인정보의 흐름은 경로가 매우 복잡해 지속적인 모니터링이 사실상 불가능하기 때문에 모든 단계를 체계적으로 관리할 수 있는 통합 솔루션이 필요하다. 개인정보보호 정책의 변화로 인해 기업들은 다양한 개인정보 수집 경로와 취급방법 등을 일원화해 탄력적으로 정책적 대응을 할 필요가 있다.

아울러 개인정보를 활용하는 과정에서 발생할 수 있는 부작용을 최소화해 마케팅 위험을 줄여야 할 것이다. 특히 콜서비스 등 위탁 비중이 높은 사업자는 변화하는 정책변화를 적극적으로 수행해 손실을 최소화 하는 방안을 모색해야 할 것이다.

참고문헌
디지털데일리, ‘개인정보 암호화·시스템 접근통제 등 보호조치 의무화’, 2011.9.7.

류석상 외, ‘개인정보보호제도 시행을 위한 사례연구’, 정부혁신지방분권위원회 최종보고서, 한국전산원 2005.12.

정태명 외, ‘인터넷 개인정보 노출방지 및 프라이버시 보호방안 연구’, 한국정보보호진흥원 최종연구보고서, 2007.12.

방송통신위원회, ‘방통위_아이핀2.0 구축, 2015년 주민번호 완전대체’, 2009.3.

병일 외, ‘대국민 전자서명 이용실태 조사’, 한국정보보호진흥원 최종연구보고서, 2007.11.

‘민간분야 영상정보처리기기 설치·운영 가이드라인’, 행정안전부, 2012.12.1.

전자신문, ‘9월 개인정보보호법 시행 앞두고 영상보안 솔루션 업계 활기’, 2011.8.4.

‘가상화 기술을 기반으로 한 효율적인 정보유출방지 방안’, 소프트캠프, 2012.5.


이광재 기자  voxpop@techworld.co.kr
<저작권자 © CCTV뉴스, 무단 전재 및 재배포 금지>

이광재 기자의 다른기사 보기
여백
여백
여백
여백
매체소개공지사항보안자료실기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부    [기사ㆍ기고 문의 : desk@cctvnews.co.kr]
(주)테크월드 08507 서울특별시 금천구 가산디지털1로 168, 1012-1호 (가산동, 우림라이온스밸리 C동)  |  제호: 씨씨티브이뉴스  |  발행일: 2009년 2월 19일
대표전화 : 02)2026-5700  |  팩스 : 02)2026-5701  |  이메일 : webmaster@techworld.co.kr  |  청소년보호책임자 : 박지성
통신판매업신고번호 : 제 2008-서울금천-0415 호  |  발행·편집인 : 박한식  |  인터넷신문등록번호 : 서울, 아 00607  |  등록일 : 2008.06.27
Copyright © 2019 CCTV뉴스. All rights reserved .