개인정보보호 규제 가이드라인과 아동의 개인정보보호 이슈
상태바
개인정보보호 규제 가이드라인과 아동의 개인정보보호 이슈
  • 김혜진 기자
  • 승인 2016.01.26 09:56
  • 댓글 0
이 기사를 공유합니다

박세환(Ph.D.) 한국과학기술정보연구원 ReSEAT프로그램 전문연구위원

서언

개인정보 유출 등으로 인한 피해사례가 빈번하게 발생하면서 정보보호, 장비보안(PC 및 서버 등), DB보안, 네트워크 보호, 산업보안 등을 포함한 전 기술 분야의 보안이 한층 강화되고 있다.

이를 위해 네트워크 내부정보유출방지(Data Loss Prevention, DLP: 정보유출은 외부 해커보다는 내부자의 실수 혹은 고의로 더 많이 발생하고 있다. DLP는 내부자에 의한 정보유출 사고를 막는 솔루션이다. 데이터 중심의 고객 개인정보 보호조치라고 할 수 있다), 문서 및 출력물 보안, 저장매체 및 스마트폰 보안, PC 및 웹 서버 개인정보보호, 파일·DB의 암호화 및 접근제어, 위탁제공 관리, 전자결재 관리 등 [그림1]과 같이 다양한 보안솔루션들이 개발되고 있다.

이러한 보안솔루션을 이용해 <표1>과 같이 DB 암호화·접근제어, PC 개인정보보호, 네트워크 및 웹 보안, 제공위탁 관리 등에 대한 자가진단을 통해 보안성을 진단할 수 있다.

▲ [그림1] 보안솔루션의 구성<자료: 컴트루테크놀로지(2014.4.16)>

고도 정보화 사회에서 정보(information)는 곧 재산이며 자본주의 사회의 권리이기도 하다. 개인정보가 보호받지 못한다면 정보화 사회도 자본주의 사회도 무너지고 말 것이다.

이 연구에서는 주민번호 수집을 금지하고 유출시 과징금을 부과하는 등의 주민번호 정책 개정과 아이핀(i-PIN) 제도 활성화 등 개인정보보호 이슈, PCI·HIPPA·바젤Ⅱ·CJIS 등 글로벌 개인정보보호 규제 가이드라인의 핵심 원칙과 아동의 온라인 활동 대중화에 따른 아동의 개인정보보호 이슈에 대해 설명한다.

▲ [표1] 보안솔루션을 이용한 자가진단 방법<자료: 컴트루테크놀로지(2014,4,16)>

개인정보보호 이슈

주민번호 정책 개정 : 주민번호 수집금지 판단기준 고시

= 주민번호 수집을 원칙적으로 금지하고 유출시 과징금을 부과하는 등을 주요 내용으로 하는 개인정보보호법이 2014년 8월7일부터 시행되고 있다.

이에 따라 법령상 근거 없이 불필요하게 주민번호를 수집하는 행위가 엄격히 제한된다.

주민번호 수집금지 정책추진 경과를 간단히 요약하면 ▲2012년 4월 안전행정부, 방송통신위원회, 금융통화위원회 등이 참여해 주민번호 수집이용 최소화 종합대책을 마련했고 ▲2012년 8월 방송통신위원회 고시로 정보통신서비스 제공자 등 온라인상에서 주민번호 수집금지가 시행됐다.

또 ▲2014년 8월 안전행정부 고시로 오프라인 및 공공기관 등에서 주민번호 수집금지가 시행됐다.

법령상 근거는 없으나 반드시 주민번호를 수집해야 할 필요가 있는 경우에는 해당 업무 소관부처를 통해 법령근거를 마련해야 한다.

아울러 주민번호 수집 필요성이 없거나 대체 가능한 경우에는 전화번호 등 다른 수단으로 대체하고 기 보유하고 있는 주민번호는 파기해야 한다.

예를 들어 단순히 본인확인만이 필요할 때에는 회원DB 관리를 위한 키(key) 값을 활용해 인증을 해야 한다.([그림2] 참조)

▲ [그림2] 주민번호 수집금지 판단기준<자료: www.privacy.go.kr>

주민번호 정책 개정 : 주민번호 제한적 변경 정책

= 2014년 초 국내 카드3사와 통신사 등에서 대량의 개인정보 유출사고가 발생한바 있다. 이에 대응하기 위해 정부에서는 2014년 7월 주민번호 변경을 허용하고 피해자 권리구제를 강화하기 위한 7대 개인정보보호 정상화 대책을 발표했다.([그림3] 참조)

개인정보보호 정상화 대책의 핵심은 주민번호 유출로 인한 2차 피해를 방지하기 위해 주민번호 변경을 허용한다는 것이다.

▲ [그림3] 7대 개인정보보호 정상화대책 개념도<자료 : 지디넷코리아(ZDNet Korea), 2014. 7. 31>

이를 간단히 요약하면 ▲13자리로 만들어진 주민번호는 평생 고유번호로 인증되기 때문에 한번 유출되면 보이스 피싱이나 스미싱 등에 노출될 수 있는 위험성이 있다.

이에 기존에 유출된 주민번호를 악용한 2차 피해를 방지하기 위해 불가피한 경우 주민번호 변경을 허용한다는 것이다.

또 ▲2014년 8월7일부터 온·오프라인상에서 법령상 근거에 없는 주민번호 수집을 금지하고 있으나 기존에 유출된 주민번호는 여전히 여러 가지 악의적인 목적으로 악용되고 있다.

이에 주민등록법을 개정해 ‘주민번호가 유출돼 신체, 재산상 중대한 피해를 입거나 피해를 입을 우려가 큰 경우 등에 대해 예외적으로 제한적 변경을 허용한다’는 것이다.

안전행정부에서 추진하고 있는 개인정보보호 강화정책을 통해 ▲아이핀 및 마이핀 제도 외에도 다양한 개인 식별 수단을 온·오프라인 본인인증 수단으로 도입방안을 검토하고 있으며 ▲2016년 1월로 예정된 주민번호 암호화 조치(주민번호 암호화 등 보호조치는 운영 여부를 기업 자체적으로 점검할 수 있는 도구도 개발하고 있다) 의무화에 따라 업종별 특성을 고려해 적용대상, 적용시기 등에 대한 기준을 마련하여 개인정보보호법 시행령 및 고시 개정을 추진하고 있다.

또 ▲개인정보 처리에 대한 동의를 받을 경우에는 동의서의 내용을 보다 알기 쉽게 작성하도록 한다. 아울러 ▲제3자 정보제공의 경우 정보제공 대상 목적별로 그룹화해 각각 동의를 받도록 개선된다.

아와 함께 ▲스미싱 의심문자를 알려주는 스미싱 확인 서비스를 실시하며 스마트폰이 악성 앱에 감염됐을 경우 치료방법을 안내하는 모바일 사이버 치료 서비스가 구축된다.

아이핀 제도 활성화

= 대량의 개인정보를 유출시켜 경제적 피해를 입히는 사례가 가장 대표적이다. 특히 불특정 다수의 주민번호를 무단으로 수집해 악용하는 사례가 많다. 이에 주민번호 대체수단으로 아이핀 제도를 운영하고 있다.

본인확인 절차를 거쳐 발급받은 아이핀을 인터넷상에서 주민번호 및 개인정보 대용으로 활용한다면 개인정보 유출을 최소화할 수 있을 것이다. 이처럼 비교적 안전성이 확보된 아이핀 제도가 활성화되지 못하는 데에는 몇 가지 문제점이 있다.

문제점을 살펴보면 우선 ▲현재로서는 주민번호 대체수단이 아이핀 밖에는 없다는 점이다. 이에 보다 더 다양하고 편리한 인증수단을 개발할 필요가 있다.

또 ▲아이핀을 통해 신원을 확인하는 웹 사이트가 몇몇 포털사이트를 제외하고는 그리 많지 않다는 것이다. 이는 정보보안 정책이 정착되지 못하고 표류하고 있다는 증거이기도 하다. 모든 웹 사이트에서 아이핀 사용을 의무화하는 것도 대안이 될 수 있을 것이다.

이와 함께 ▲아이핀 제도의 홍보부족 등으로 인해 대다수 사용자들이 이 제도 자체를 모르거나 알고 있어도 귀찮아서 아이핀을 발급받지 않는다는 것이다.

뿐만 아니라 ▲휴대폰인증을 통한 개인 신원확인 방법은 비교적 많이 활성화된 데 비해 아이핀을 통한 방법은 매우 미미한 편이다. 이에 아이핀 발급절차를 보다 더 간소화하고 아울러 이제부터라도 적극적인 홍보를 통해 아니핀 제도를 정착시켜나갈 필요가 있다.

개인정보보호 핵심원칙 및 아동의 개인정보보호 이슈

개인정보보호 핵심 원칙

= PCI, HIPPA, 바젤Ⅱ 및 CJIS 등 글로벌 개인정보보호 규제 가이드라인에는 민감한 정보를 어떻게 보호할 것인지에 대한 내용이 담겨 있다. 그러나 규제와 보안을 다르게 바라보는 국내 기업의 보안전략에는 개인정보보호 규제 가이드라인이 반영돼 있지 않다.

이러한 개인정보보호 규제에 효과적으로 대응하기 위해서는 우선적으로 개인정보의 암호화(encryption)가 필수적이다. 어떤 규제이건 90% 이상 만족시킬 수 있는 방안은 바로 암호화이기 때문이다.

아울러 개인정보보호 규제 준수와 관련된 소유·격리·분리·증명 등 4가지 보안과제들이 데이터의 유형과 위치에 관계없이 잘 처리되기 위해서는 시스템 설계 시점에서부터 보안과 정보보호 이슈를 고려해야 한다.

즉 시스템 개발단계부터 네 가지 기초와 민감한 정보를 반영한다면 각종 규제감사와 관련된 많은 도전과제를 해결할 수 있을 것이다. 개인정보보호 규제 가이드라인의 최우선 과제인 암호화 방법에는 몇가지 기본원칙을 준수할 필요가 있다.

우선 ▲암호화 시스템을 통합해 중앙 집중형 정보처리 시스템을 구축할 필요가 있다. 이를 통해 물리적 서버와 가상 서버, 정형·비정형 데이터가 혼재돼 있는 환경에 적용할 수 있는 보편적인 프레임워크를 구축할 수 있다.

아울러 개인정보보호 규제 정책을 호스트에서 일관성 있게 시행할 수 있게 된다.

또 ▲새로운 보안정책을 전사적으로 반영할 필요가 있다. 이는 보안패치 등을 수행하는 데 따른 불필요한 비용지출을 줄여줄 수 있다.

▲더불어 데이터 생명주기 관점에서 시스템을 개발할 필요가 있다. 이는 새로운 규제에 대응하기 위해 클라우드 컴퓨팅 시스템 등으로 확장할 때도 별도의 보안시스템을 구축할 필요가 없게 된다.

중앙 집중형 관리범위에는 암호화 키 정책, 로그 관리, 감사 및 접근관리 기능을 반드시 포함시켜야 한다.

이로써 데이터 관리 관련 통제 및 조직원들의 직무에 맞는 권한관리가 잘 실행되고 있음을 증명할 수 있다. 보안과 정보 보호를 우선순위에 두고 개인정보보호 규제에 대응한다면 대량의 데이터를 보다 효과적으로 보호할 수 있을 것이다.

아동의 개인정보보호 : 아동의 연령 기준

= 아동의 연령 기준은 몇 살이며 국내 법제도상 법정대리인 제도가 적용되는 만 14세 미만은 적절한 연령 기준인지에 대한 합리성 문제가 제기되고 있다.

‘아동’에 대한 사전적 의미는 신체적 및 지적으로 미성숙한 단계에 있는 사람을 말하며 통일된 연령의 구분은 없다(아동복지법 제3조(정의)의1에서는 ‘아동이란 18세 미만인 사람’을 말하며 청소년보호법 제2조(정의)에서는 ‘청소년이란 만 19세 미만의 사람’을 말한다.

청소년기본법 3조(정의)에서는 ‘청소년이라 함은 9세 이상 24세 이하의 자’를 말하며 민법 제4조(성년)에서는 ‘사람은 19세로 성년에 이르게 된다’고 규정하고 있다).

국내 정보통신망법에서는 만 14세 미만으로 하고 있으나 이 연령으로 정한 이유는 명확하지 않다(미국이나 일본과 마찬가지로 한국의 형법에서는 형사미성년자 규정(형법 제9조)을 만 14세 미만으로 정하고 있어 이를 적용한 것으로 설명되고 있으나 정확한 사실은 확인된바 없다).

아동의 연령 기준에 대한 주요국의 제도를 살펴보면 ▲미국의 경우 부모는 18세 이하 아동의 학교기록에 대해서 해당 아동이 반대해도 접근할 수 있으며 아동에 의해 학교기록이 공개되는 것을 거부할 수 있다.

▲캐나다의 경우 13세 미만은 개인정보의 수집 및 이용 금지, 13~15세 미만은 부모의 동의가 있는 경우에만 허용하고 제3자 제공 등 추가적인 개인정보 공개는 허용하지 않는다.

법적 성숙기(18~19세)의 아동은 자신의 사전 동의와 함께 부모의 명시적 동의를 받아 개인정보의 수집 및 공개를 허용한다.

▲한국의 경우에는 위치정보의보호 및 이용 등에 관한 법률에서는 만 14세 미만의 아동에 대한 법정대리인 제도와 함께 의사무능력자인 8세 이하 아동(취학 전 영유아)에 대해서는 법정대리인이 해당 아동의 개인정보 자기결정권을 행사하도록 하고 있다.

커뮤니케이션과 상호작용 등의 온라인 활동이 대중화된 오늘날 이러한 아동의 연령 기준에 대해 10대들이 사회생활을 영위하는 데 있어 불가결한 상황이라는 주장도 있다.

아울러 10대 아동(청소년)의 온라인 활동 참여 증대와 아동 인터넷산업 활성화라는 측면에서 아동의 연령 기준을 낮춰야 한다는 의견도 있다. 아동은 인터넷을 통해 공격적인 광고나 낯선 사람과의 위험한 접촉 등 부적절한 내용을 접할 수도 있다.

이에 광고 및 유해콘텐츠 차단 프로그램 등을 이용한 기술적 제재, 자율규제, 소비자 및 기업교육 등을 통해 아동을 위한 인터넷 안전지대(safe zone)를 만드는 노력이 필요하다.

아동의 개인정보보호: 아동의 온라인 활동 대중화

= 많은 아동들이 인터넷이라는 온라인 공간에서 정보탐색 및 SNS 등 다양한 활동을 통해 그들만의 세계를 표출하고 있는 시대가 됐다.

반면 악성(폭력성·도박성·사행성 등) 게임에 무방비로 노출되어 심각한 사회문제를 야기하고 있는 것도 사실이다.

아동의 온라인 활동을 안전하게 유도하기 위해서는 개인정보보호 연령 기준을 높여야 한다는 의견과 아동 스스로의 삶에 대한 책임과 개인정보자기결정권이 주어져야 한다는 의견이 있다.

중요한 건 아동은 기성세대의 행동방식이나 사회적 현상을 보고 배우기 마련이다. 따라서 사회 전반에 걸쳐 건전하고 성숙된 온라인 문화를 정착해나가는 것이 중요하다.

맺음말

네트워크를 중심으로 방화벽, 침입탐지시스템 등 경계 보안 솔루션으로 2~3중 방어를 하는 보안만으로는 더 이상 안전하지 않다. 개인정보보호 규제 준수를 위한 기술적인 핵심은 안전한 키 관리 가이드를 지키는 것이다.

암호화 강도를 측정할 때 암호화 알고리즘 자체의 견고성보다 암호화키를 보다 더 비중 있게 보는 이유다. 즉 키의 길이, 조합 및 적용 방식, 관리 등에 대한 것을 종합적으로 고려해 보안강도를 측정한다는 것이다.

이처럼 개인정보의 암호화는 데이터 유출에 대응하기 위한 가장 적극적이며 기본적인 방어수단이다.

성인에 비해 상대적으로 취약한 아동의 개인정보보호는 법정대리인의 권리로 간결하게 취급되고 있어 아동과 부모에게 개인정보 자기결정권 부여가 충분하지 않은 편이다.

이에 아동의 온라인 활동 대중화에 따른 편익과 문제점(특히 개인정보보호 관련)이 무엇인지에 대해 많은 관심과 제도적 보완장치가 필요하다.

이를 위해 보호대상이 되는 아동연령 기준을 세분화해 연령 기준의 합리성과 법률 적용의 효과성을 확보할 필요가 있다. 또 스마트폰·웹 로그·SNS 정보 등을 개인 식별 정보로 전환할 수도 있어 개인정보 보호 범위가 모호해지고 있다.

이에 개인정보를 여러 가지 기준을 적용하여 체계화함으로써 상황에 따라 보호돼야 할 개인정보를 정보주체 및 보호주체가 인지할 수 있도록 할 필요가 있다.

 

참고문헌

- 최일훈, ‘내부정보유출방지 솔루션 DLP’, 데일리시큐, 2013. 7. 1.

- www.dailysecu.com/news_view.php?article_id=4643

- 제16회 셜록홈즈 개인정보보호 및 내부정보유출방지 컨퍼런스 발표자료, 컴트루테크놀로지, 2014. 4. 16.

- 개인정보보호 종합 지원 포털 홈페이지(www.privacy.go.kr), 2014. 8.

- ‘주민번호 유출 피해 시 제한적 변경 허용’, 지디넷코리아, 2014. 7. 31.

- www.zdnet.co.kr/news/news_view.asp?artice_id=20140731140258&type=xml

- Russ Dietz, ‘개인정보보호 규제 준수의 어려움 그리고 핵심 원칙’, 세이프넷, 2013. 9.

- Allen, A, ‘Minor Distractions: Children, Privacy and E-Commerce’, 38 HOUS. L. REV. 2001.

- Office of the Ombudsman, ‘There Ought to be a Law: Protecting Children’s Online Privacy in the 21st Century‘. A Discussion paper for Canadians by the Working Group of Canadian Privacy Commissioners and Child and Youth Advocates, 2009. 11. 19.

- 김명식 외, ‘위치정보 관련 법 &#8228; 제도 개선방안’, 한국정보보호진흥원, 2006. 11.

- 유지연, ‘아동의 온라인 개인정보 보호 재고찰’, 초점, 제25권 16호, 정보통신정책연구원, 2013. 9. 2.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.