영상보안 제조사에서 바라본 GDPR 요구사항 및 준수방안
상태바
영상보안 제조사에서 바라본 GDPR 요구사항 및 준수방안
  • 전성필 수석연구원
  • 승인 2018.07.11 09:41
  • 댓글 0
이 기사를 공유합니다

개인정보 처리자 뿐 아니라, 제조사, SI 업체 등 Supply Chain에 있는 회사 모두가 협력해야

[CCTV뉴스=전성필 한화테크윈 수석연구원] 오늘날 CCTV 카메라는 범죄 예방, 사후 자료 제공 등 사회 안전을 위한 보안시스템 역할을 넘어서 지능형 영상분석을 기반으로 한 BI(Business Intelligence)를 제공하며 마케팅 용도로도 활용되는 등 다양한 영역에서 폭넓게 활용되고 있다. 다만, 우리가 생각해볼 것은, CCTV 외에도 블랙박스, 드론과 같은 이동형 카메라의 활용이 증가하면서 본인이 모르는 사이 개인 영상 정보가 오남용 되는 개인 프라이버시 침해 사례도 함께 증가하고 있다는 것이다.

개인 영상정보는 영상의 수집 및 취급에 대한 적법성, 투명성 및 공정성이 확보되지 않으면 이를 활용한 사회 안전망 강화가 어렵고, 영상 빅데이터 구축이 어려워 국가적으로도 디지털 정보 강국으로의 성장이 저해되는 문제점이 있다. 이를 인지해 최근 국내에서는 개인영상정보 보호법이 국회 심의 중에 있고, 유럽에서는 GDPR이 시행되어 많은 글로벌 기업에 큰 영향을 미치고 있다.

전성필 한화테크윈 수석연구원

한화테크윈은 영상보안 장비를 제조하는 글로벌 기업으로 개인 프라이버시 보호 및 정보 보호의 중요성과 파급 효과를 일찍이 인지해 사내 공론화를 통한 전사적, 선제적인 대응방안을 준비해 왔다.

개인정보보호 관련법령 위반 시 궁극적 책임은 개인정보를 수집∙처리하는 기관에 있다.  제조사는 직접 영상보안 장비를 운용하며 개인정보를 처리하는 입장이 아니므로 개인정보 보호를 위한 조치에 다소 소극적인 반응을 보일 수 있다. 그러나, 개인정보 처리 기관의 입장에서는 개인정보를 안전하게 처리하기 위해 이를 위한 기능이 탑재된 제품∙솔루션을 제조사에 요구할 것이다. 그리고, 이에 부적합한 제품은 결국 외면 받게 될 것이다. 따라서, 영상보안 시스템을 운영하고 개인영상 정보를 처리하는 기관이 관련법령을 준수하기 위해서는 개인정보 처리자 뿐 아니라, 시스템을 개발, 제조하는 제조사를 포함한 시스템 통합업체 등 공급 사슬(Supply Chain)에 있는 회사들이 모두 협력해야 하는 것이다.

앞서 언급했듯, 한화테크윈은 개인정보 보호에 대해 제조사 입장에서 대응할 수 있는 것이 무엇인지 다각적인 관점에서 분석했다. 먼저, 대표적인 개인정보 보호법인 GDPR에서 개인정보 처리의 핵심원칙 및 요구사항을 분석 후, 이를 증명하기 위한 개인정보 처리자의 책임성의 원칙 및 요구사항을 분석했다. 그 후, GDPR에서 크게 강화된 개인정보 주체의 권리에 대응하기 위한 요구사항을 분석해 실제 영상보안 시스템이 설치 된 현장에서 실 사용 시나리오를 구축해 필요한 기능들을 도출했다.

우선, 제조사 측면에서 개인정보 보호를 위해 가장 중요한 요소는 사이버 보안이다. 네트워크 장비 사용이 증가하면서 사이버 보안은 제품 설계 단계부터 고려되어야 하고, 디폴트(기본값) 설정이 요구되는 부분이다(Protection by Design 및 Protection by Default). 특히, 네트워크 기기에 원격 접속을 가능하게 하는 백도어를 제공하거나 보안에 취약한 비밀번호 정책을 운용하는 등 사이버 보안의 위험에 노출되기 쉬운 IP 카메라들은 여러 사례를 통해 알 수 있듯이 언제든지 개인정보 침해 사고에 노출될 수 있어 주의가 요망된다.

최근 미국에서는 보안에 취약한 중국산 CCTV 카메라를 국가 보안의 위협 요소로 인식해 정부 기관에 설치를 금지하는 법안이 하원을 통과했다고 하니, 사이버 보안의 중요성과 심각성을 우리 정부에서도 더욱 유념할 필요가 있어 보인다.

다음으로, 보안시스템 사용자의 입장에서는 내부 운용자(개인정보 처리자)에 의한 개인정보 침해 문제를 주시해야 한다. 내부 운용자에 의한 개인정보 침해는 외부에서 고의적으로 해킹하는 것 보다 그 피해가 더 클 수 있다. 방대하고 긴밀한 내부 정보에 접근이 가능하기 때문이다. 이에, 내부 운용자의 개인정보 처리가 투명하고 신뢰성 있게 운영되기 위해서는 개인정보 처리의 모든 행위가 시스템을 통해 기록되어야 한다. 더욱이, 취약점이 발견되면 이를 분석하고 리포트로 관리하고, 외부의 객관적인 감사가 가능하도록 한화테크윈의 VPM과 같은 내부통제 솔루션도 필요할 것으로 판단된다.

제조사와 보안시스템 사용자는 개인정보 보호에 도움이 되는 다양한 툴 개발 및 운용/활용의 의무가 있다. 개인정보 주체에게 보장되는 권리 중 열람권과 삭제권(잊혀질 권리)이 강화되었다는 것을 인식하고 이에 신속하고 효율적으로 대응할 수 있는 기능이나 솔루션을 갖출 필요가 있는 것이다. 정보 주체나 보호자가 관련 영상에 대한 열람 및 삭제를 요구하였을 때, 해당 영상을 신속하게 검색하고 찾아내는 스마트 서치 기능을 예로 들 수 있다. 또한 영상 정보 반출 전, 프라이버시 침해가 우려되는 제3자를 비식별화하는 마스킹(Masking) 기능도 대표적이다.

뿐만 아니라, 개인정보 처리 원칙 중 개인정보 처리의 최소화에 부합할 수 있도록 불필요한 영상정보 수집 및 활용을 최소화 해야 하는데, 이는 프라이버시 보호가 필요한 영역을 확실하게 유지할 수 있도록 프라이버시 영역 마스킹 기능을 적용할 수 있다. 또한, 권한이 없거나 꼭 필요하지 않은 사용자가 녹화된 영상을 재생할 때 사람을 비식별화하여 보여줄 수 있는 라이브 피플 마스킹 기능도 적용할 수 있으며, 영상 정보에 대한 단계별 접근 권한을 적용할 수도 있을 것이다.

필자는 GDPR 시행 및 개인영상정보보호법(안) 입법이 CCTV 영상정보 운영의 투명성 및 신뢰성을 제고할 수 있는 기회가 될 것이라고 믿는다. 또한, 이러한 변화를 통해 영상보안 산업을 활성화 시키고 영상정보가 빅데이터로서 다방면에 유의미하게 활용돼 부가 가치를 창출할 수 있을 것이라 본다. 한화테크윈은 향후, 개인정보 보호에 적극 대응 가능한 제품과 솔루션을 제공하고, 사용자와 함께 관련 정보를 공유함으로써 개인 영상정보가 안전하게 보호될 수 있도록 지속적으로 노력할 것이다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.