스마트시티 정보보호 정책에서의 소통 구조에 관한 연구

박혜성 고려대학교 정보보호대학원 2020 국내석사

스마트 기기와 IoT 기기들의 등장들로 인해 교통, 헬스케어, 에너지 등 도시를 유지하는 영역의 다양한 기기들과 서비스를 연결하고 이를 통해 수집·분석된 데이터를 기반으로 다양한 서비스를 시민에게 제공하는 도시인 스마트시티가 부상하고 있는 상황이다. 이러한 스마트시티는 각종 도시화 문제의 해결과 시민들의 삶의 질 향상이라는 목표를 달성하기 위해 세계 각 지역에서 시범 사업 등 다양한 형태로 진행되고 있으며, 우리나라도 스마트시티 사업에 일찍부터 참여하여 현재‘제 3차 스마트도시 종합계획’ 및 국가 시범 도시 등의 정책을 추진 중에 있다. 이러한 스마트시티에 이용되는 사물 인터넷, 빅데이터, 해당 기술들을 잇는 플랫폼 기술들은 기술 내재적으로 정보와 관련된 유출을 포함한 각종 위험을 내포하고 있다. 이는 정보의 수집과정부터 시작하여 정보의 처리 및 관리에 이르기까지 정보 생애 주기 전반에 걸쳐 존재한다. 이러한 이유로 해당 위험을 관리할 수 있는 스마트시티의 정보보호에 대한 정책이 반드시 필요하나 기존의 탑다운 방식의 정보보호 정책 수립 과정을 그대로 답습하는 것은 현재와 마찬가지로 정책 수행 주체들의 정보보호 정책 내용에 대한 인식이나 이해를 어렵게 하여 해당 정책의 실현에 문제가 발생하게 될 것이다. 이는 특히 정책의 이해관계자가 많고, 적용되는 분야의 범위가 넓으며, 적용되는 기술의 전문성이 높은 스마트시티에 있어서는 더욱 악영향을 미칠 수 있다. 따라서 이러한 스마트시티 정보보호 정책의 수립에 있어 소통을 활용해야 하며, 이러한 소통을 활용한 스마트시티 정보보호 정책 수립을 어떻게 구현할 수 있는지에 대하여 하버마스의 커뮤니케이션 이론을 기반으로 필요한 요건 및 실현 방안을 제안하고자 한다. Due to the emergence of smart devices and IoT devices, Smart City, a city that connects services with various devices in areas that maintain the city, such as transportation, healthcare, and energy, and provides various services to citizens based on collected and analyzed data, is emerging. In order to achieve the goal of solving various urbanization problems and improve the quality of life of citizens, these smart cities are being carried out in various forms, including pilot projects in various regions around the world. Goverment of Republic of Korea has also participated in the smart city project early on and is currently pursuing policies such as "the 3rd smart city comprehensive plan" and national pilot cities at Sejong si and Busan Metropolitan City. Internet of Things, big data, and Platform technology that connect the Internet of Things and big data, are used in the smart cities, and those technologies pose various risks, including information leakage inherently. This exists throughout the life cycle of information, from the process of collecting information to the processing and management of information. For this reason, while a smart city's policy on information security to manage the risks is essential, following the existing top-down information security policy-making process will make it difficult for people who carry out the policy to recognize or understand the contents of the information security policy as it is today. This can be particularly detrimental to smart cities with many stakeholders, a wide range of applications, and a high degree of expertise in applied technologies. Therefore, it is necessary to utilize communication in establishing such smart city information security policies, and to propose necessary requirements and implementation measures based on Harbermas' communication theory on how to implement smart city information protection policies using such communication.

스마트그리드에서의 개인정보보호 분석 및 개선방안 연구

유진명 高麗大學校 情報保護大學院 2011 국내석사

스마트그리드의 대상이 국가주요기반시설인 전력망이기 때문에 스마트그리드의 추진에 있어 주요기반시설보호 등의 보안은 중요한 요소로 고려 될 필요가 있다. 특히 스마트그리드가 다분히 전력기반시설의 발전을 의미하는 것이 아니라 IT․통신․전력 등의 여러 기술이 융합된 디지털 사회의 핵심기반시설로써의 의미가 중요하게 고려되어 논의되고 있기 때문에 더욱 그러하다. 하지만 스마트그리드가 전력산업 위주로 추진되고 전력사업 관련 이해관계자들이 역할을 주도하기 때문에 현재 미치는 보안의 의미는 전력 공급의 안정성, 기반 시설에 대한 물리적 보호 정도에 그치고 있는 스마트 그리드 시스템의 개발에는 여러 기회와 혜택과 동시에 사생활 침해의 우려도 있다. 현재 스마트 그리드의 보안 체계에 대한 국내외적 연구로서 송·배전 보호, AMI[Advanced Metering Infrastructure, 고도화된 검침 기반 시설, 지능형 원격검침)·서비스 보안, 보안관제 기술, 보안기반 기술, 시스템 보안기술 등의 체계화된 보안 프레임워크 기술 연구와 법․제도, 조직, 기술 등의 정보보호정책 관점에서의 연구가 진행되고 있다. 그러나 미국 회계감사원[GAO) 연구보고서에서 지적했듯이 개인정보 관점에서의 보호기준 연구는 아직 필요성을 언급하는 초보적 수준에 머무르고 있다. 스마트그리드 환경 도입으로 새로운 개인정보의 유형이 발생되고 수집, 저장, 이용 및 제공, 폐기 등 개인정보 생명주기 활동에 있어서 다양한 경로를 거치고 국내 사업 자체가 초기 단계 수준이고 이중에도 개인정보보호에 관한 부분은 미약하게 다루어 지고 있어 정보유출 방지를 위한 개인정보 정의와 생명 주기별 위협을 식별하고 이를 해결하기 위한 개선 방안 제시 등 개인정보 유출 등 개인정보보호 측면에서 고려되어야 할 요건을 도출하고 개선방안을 연구하고자 한다.

사이버 보안 취약점과 법적 책임

전승재 고려대학교 정보보호대학원 2020 국내박사

취약점이 없는 소프트웨어를 만들기란 현실적으로 불가능하므로, 소프트웨어를 운영하는 사업자로 하여금 정보보호 조치를 통해 취약점을 최대한 방지하도록 주의의무를 부과함으로써 이것이 가급적 실제 보안사고로 이어지지 않도록 제도화해야 한다. 본 연구에서는 취약점을 막지 못한 과실로 인해 해킹(주로 이용자 개인정보 유출)을 당한 사업자에 대해 민사소송 대법원 판결, 행정청의 과징금 처분, 또는 형사판결이 내려진 일련의 사건을 망라적으로 분석하고(exhaustive case study), 관련하여 시사점을 얻을 수 있는 외국 사례를 함께 살펴보면서, 첨단기술의 안전성에 관한 분쟁을 적정하게 규율할 방안을 모색한다. 해킹 관련 우리나라 법집행은, 초창기 과소집행이 문제였다면, 지금은 과잉집행이 우려될 정도로 급격히 엄격해진 양상을 보인다. 1세대라고 할 수 있는 과거 옥션, 싸이월드, KT N-STEP 해킹 사건의 경우, 정부의 행정처분 없이 피해자들이 제기한 민사소송, 즉 사적집행(私的執行)만 진행되었는데 결국 기업의 법적 책임이 인정되지 않았다. 한편, 2세대 들어서는 정부의 과징금 처분을 비롯한 공적집행(公的執行)이 개시되었다. KT 마이올레 해킹이 첫 사건인데, 그래도 여기까지는 KT가 법적 책임을 면하는데 성공했다. 패소한 정부는 법집행 강도를 더 높였고, 후속 사건인 뽐뿌, 인터파크, 알패스 등 해킹 사건에서는 기업이 법위반책임을 벗지 못했다. 최근에는 3세대에 들어섰다. 2020년 들어 기업의 정보보호 담당자 개인을 처벌하는 형사판결까지 선고되기 시작했는데, 하나투어 및 빗썸 해킹 사건이 그 예이다. 당초 사적집행 단계에서부터 적절한 집행 수준을 찾았더라면 지금처럼 강한 정부 개입이 굳이 필요 없었을 수도 있는데, 왜 그렇게 하지 못했을까. 이는 불과 몇 년 전까지 법원에서 "정부가 고시한 보호조치만 했다면 처벌받지 않을 뿐만 아니라 정보유출 피해자에게 민사상 손해배상도 하지 않아도 된다"는 잘못된 법리가 통용되었기 때문이다. '정부가 고시한 보호조치'는 위반 시 과태료, 과징금, 형사처벌을 부과하는 제재 구성요건일 뿐 사법상 과실 여부 판단기준이 아니다. 즉, 위 법리는 마치 "교통사고를 낸 운전자가 전방주시 의무를 소홀히 했어도 형사처벌 대상이 아니므로 민사상 손해배상 책임도 없다"라고 말하는 것과 다름이 없다. 위 법리가 통용되자 정부로서는 행정입법의 불비로 피해자 구제 흠결이 발생한다는 지적을 피하기 위해 고시상 보호조치의 수준을 계속 높여야만 했다. 정부 규제의 획일성, 한번 강화되면 다시 완화되기 어려운 일방향성 등으로 인해 기업(특히 중소기업과 스타트업)에게 점점 과도한 정보보호 규제가 부과되고 있다. 이것이 본 연구가 갖는 핵심 문제의식이다. 한편, 외국의 대형 해킹 사건을 분석해본 결과, 외국에서도 공적집행 제도가 운영되기는 하지만, 정부는 금전적 제재처분 내지 형사처벌 부과 이상으로 사고 원인 조사에 더 집중하고, 그 조사 자료를 민간에 제공함으로써 소비자들이 제기한 민사소송(특히 미국의 경우 집단소송)을 통해 보상액이 조율될 수 있는 구조를 주로 취하고 있었다. 정보보호라는 첨단기술 분야에서 과잉규제와 과소집행 사이의 균형을 잘 잡아야만 산업의 발전과 소비자 보호라는 두 법익을 추구할 수 있다. 그러한 중도(中道)를 추구하려면 올바른 규제 철학이 필요하다. 본 연구의 제안은 '정부 고시상 보호조치'는 '교통사고 12대 중과실'처럼 운영하자는 것이다. 교통사고처리특례법은 신호위반과 같이 그야말로 최소한의 주의의무 범주에 속하면서 위반 여부가 명확한 유형은 처벌 대상으로, 그 이외의 일반적인 과실에 대해서는 보험처리 또는 피해자와의 합의 대상으로 각각 나누고 있다. 정보보호 분야도 마찬가지로, 고객의 데이터를 해킹 당한 기업에게는 원칙적으로 민사책임만 지우되, 중과실에 가까운 보안 소홀로 해킹을 당한 경우는 공법적 제재까지 부과하는 것으로 기준을 이원화해야 한다. 전자의 집행기관은 민사법원, 후자는 행정청이다. 개인정보 해킹 사례를 통해 형성된 제도는 장래에 소프트웨어 취약점으로 인한 인명·재산 사고 전반으로 확장 적용될 수 있다. 현재 보안사고 관련 행정처분·형사처벌은 거의 개인정보 관련 법률 위주로 집행되고 있다. 한편, 비트코인이 탈취되거나 자율주행차가 해킹을 당하는 등 개인정보보다 더 가치 있는 법익이 침해되었을 때 현재로서는 공법적 제재 근거규정이 없어 사업자와 피해자 간 민사소송으로만 규율되겠지만, 그러한 영역에서도 조만간 특별법이 마련되어 공권력의 개입 대상이 될 수 있으며, 이 때 개인정보 해킹 사고를 통해 축적되어 온 선례 및 법리가 참고가 될 것으로 예상된다. 따라서 본 연구는 현재 법률분쟁이 활발한 개인정보 해킹 사례를 중심으로 살펴보되, 법률상 보호 대상이 되는 데이터가 ‘개인정보’뿐만 아니라 향후 다른 데이터로 확장될 가능성을 염두에 두고자 한다. 이러한 맥락에서 수범자(受範者)의 호칭을 먼저 정리한다. 개인정보 보호법에서는 ‘개인정보처리자’, 정보통신망법에서는 ‘정보통신서비스 제공자’라는 용어를 쓰고 있으나, 본 연구에서는 정보보호 활동의 주체를 ‘사업자’라는 일반명사로 지칭하고자 한다.

안보 목적의 온라인 정보수집 활용을 위한 법·기술적 수행방안

김창섭 고려대학교 정보보호대학원 2022 국내박사

글로벌 인터넷, 스마트폰의 대중화 및 강력한 암호화 등과 같은 정보통신 기술의 급격한 발전으로 인해 국가안보를 위한 해외정보(foreign intelligence) 수집활동은 이제 패러다임의 전환을 맞게 된다. 과거에 접근이 곤란했던 역외(국외 소재) 해외정보는 인터넷의 초국경성으로 인해 수집이 가능해지는 기회를 포착한 반면에, 과거 가능했던 국내에서의 해외정보 수집은 현대 암호의 보편적 사용으로 인해 수집이 곤란해지는 위기를 맞는 새로운 양상을 보이고 있다. 현대 국가안보의 개념은 전통적인 군사안보뿐만 아니라 경제안보, 환경안보 및 인간안보 등을 포함하는 포괄적인 안보로 확대되고 이를 뒷받침하는 해외정보도 국외 정보, 국내 안보정보 및 우주 정보를 포함하고 있어 국가의 해외정보 수집역량은 날로 그 중요성을 더하고 있다. 그러나, 전통적인 유무선 전화에서 국경이 없는 인터넷 기반의 암호통신으로 정보통신 환경이 변화됨에 따라 정보수사기관들의 기존 해외정보 수집수단이 無力化되고 있다. 최근에 구글 웹트래픽의 95% 이상이 암호통신이고 모바일 메시징의 36%가 종단간 암호를 기본으로 사용하며 스마트폰 대부분이 디바이스 암호를 적용하고 있다. 이러한 암호의 일상적인 활용은 개인정보보호에 크게 이바지하고 있지만, 국가안보와 범죄수사를 위한 국가의 합법적인 감청(lawful interception)이 불가능해지는 ‘암흑화(going dark)’ 현상을 맞게 된다. 이에, 최근 미국, 영국, 독일 등의 주요국들은 이러한 암흑화 상황을 해결하는 방안으로 해킹 소프트웨어를 활용하는 ‘온라인 정보수집 기술(online information collecting technologies)’을 감청의 수단으로 허용하고 이를 제도화하고 있다. 인터넷과 연결된 대상자의 정보통신기기에 접근하여 암호가 풀린 평문 상태의 정보를 수집할 수 있는 온라인 정보수집 기술은 글로벌 인터넷과 암호통신에 대응할 수 있는 실효적인 수집방안이 될 수 있다. 일반적으로 정보수집 법제는 범죄수사 법제보다 완화된 기준을 적용하고 있어, 해외정보 수집활동에 온라인 정보수집 기술을 적용하는 것은 충분히 합리적인 방법이 될 수 있다. 또한, 온라인 정보수집은 그 효용성에도 불구하고 기본권 침해, IT보안 훼손 등의 우려도 있어, 주요국들은 명확한 법제도와 오남용 통제장치를 마련하여 대응하고 있다. 이처럼 주요국들은 2000년 이후부터 온라인 정보수집 제도를 도입하고 이를 허용하는 법제도를 마련하고 있으나, 우리나라는 온라인 정보수집이 허용되지 않아 소프트웨어는 국가안보 목적의 수집수단일지라도 합법적인 감청수단이 아니고 악성 프로그램에 해당하여 활용시에는 통신비밀보호법, 정보통신망법 등과 같은 국내 현행법에 위반된다. 특히, 우리나라는 최첨단의 정보통신 인프라를 구축하고 있음에도 1990년대 유선 전화망 위주의 낙후된 감청제도를 유지하고 있어, 최신 암호통신의 일상적인 활용은 감청의 종말을 예견하는 듯하다. 본 논문에서는 국가안보 목적의 해외정보 수집활동 위주로 역외 및 국내에서의 온라인 정보수집의 필요성을 중점적으로 검토하고, 우리나라 환경에 적합한 온라인 정보수집제도 도입을 위한 법제도 개선과 수행체계를 다음과 같이 제안한다. 첫째, 역외 소재한 안보위협 세력에 대한 해외정보 수집을 위해 무기의 평등 차원에서 통신비밀보호법의 관할권을 역외로 확대하고 소프트웨어를 감청수단으로 인정하고 저장 통신을 감청에 포함하는 역외 온라인 정보수집을 허용하고 이를 통신비밀보호법에 규정해야 한다. 둘째, 낙후된 국내 감청체계로 인해 달리 감청수단이 없는 국내 현실을 반영하여 국내 소재한 외국인 테러 용의자나 간첩 등의 정보수집을 위해 외국인에 한해서 국내 온라인 정보수집을 통신비밀보호법상 감청으로 인정해야 하고, 또한 추가적으로 휴대전화 감청체계도 구축할 필요가 있다. 셋째, 우리 환경에 적합한 온라인 정보수집제도 도입 및 활용을 위한 수행 방안으로 수집체계 구현원칙, 동작 절차 표준설계, 수행조직의 분리배치, 수집 도구의 투명한 관리체계, 수집자료 자동선별 및 무결성 확보방안 등을 제시하고, 법제도 프레임워크 구축과 오남용 통제장치 마련 등을 제안한다. 제안된 수행원칙과 절차는 우리 법체계에 온라인 정보수집제도를 수용하기 위한 법률 및 표준 제정에 적극 활용되어야 할 것이다. 국가안보 차원의 해외정보 수집은 정당한 활동임에도 법제도 미비로 불법 논란에 휩싸여 활동이 위축되는 현실을 고려하여 기술발전과 정보환경 변화를 유연하게 반영할 수 있는 합리적인 법제도와 지침을 마련하여야 한다. 효율적으로 해외정보를 수집할 수 있는 법제도와 기술을 구현함으로써 정부는 적법 절차를 준수하면서 국가의 해외정보 경쟁력을 보다 강화할 수 있을 것이다.

사이버전 전문인력 양성 교육에 관한 인식 연구 : 전문가조사를 통한 실증분석 중심으로

김원철 고려대학교 정보보호대학원 2015 국내석사

<국문초록> 사이버전 전문인력 양성교육에 관한 인식 비교 연구 - 전문가조사를 통한 실증분석 중심으로 - 고려대학교 정보보호대학원 공공보안정책학 전공 김 원 철 사이버공간을 통한 공격은 2003년 ‘1. 25 인터넷 대란’을 시작으로 2013년 ‘3. 20 사이버테러’, ‘6. 25 사이버공격’까지 해를 거듭할수록 지능적이고 지속적으로 진화하고 있다. 이런 공격에 대응하기 위해 ‘정보보호 전문인력’과 더불어 ‘사이버전 전문인력’ 또한 그 수요가 증가할 것으로 예상된다. 이에 본 연구에서는 사이버전/정보보호 전문가를 대상으로 ‘사이버전 전문인력’ 양성을 위해 필요한 직무와 핵심역량, 요구조건, 교육과정 등의 제반사항에 대한 상대적 중요도와 난이도에 대해 실증분석을 통해 분석하였다. 본 연구의 주요 분석결과를 요약하면 다음과 같다. 첫째, 사이버전 수행을 위한 전문인력 인원수에 대해서 대부분 부족하다고 인식하고 있었으며, 이러한 이유로는 “② 사이버전 전문기술 보유 인원 부족(70.3%), ① 사이버전 수행 업무량 지속 증가 예상(57.6%), ③ 기존 정책/기획/전략 업무 內 사이버전 업무 확대로 추가인원 필요(39.0%), 각 국의 사이버전 전문인력 확충에 따른 대응을 위해(29.7%), ⑤ 기타(5.9%)” 등이 존재하였다. 둘째, 사이버전 전문인력 확보를 위해 “신규채용”과 “기존 인력양성” 중 대체로 신규채용보다는 기존인력에 대한 양성을 상대적으로 더 선호하는 것으로 나타났다. 이러한 이유는 “② 채용 시 자격조건 만으로 조직의 요구사항 반영 어려움(43.6%), ③ 업무 적응에 별도의 교육이 필수적이기 때문에(32.7%)” 등이 있었다. 셋째, 사이버전 전문인력 양성을 위한 별도의 교육이 필요하다는 응답이 대부분을 차지하였으며, 이러한 이유로는 “ 기존 정보보호 교육체계에서 제공하는 기술수준으로 사이버전 수행 곤란(60.9%), 기존 정보보호 교육과정에 없는 전략/전술/기획 등의 교육과정 추가 필요(54.8%), 사이버전 수행에 필요한 기초적인 군사지식 필요(32.2%), 기존 정보보호 교육의 목표가 사이버전 전문인력을 양성하는데 부적합(27.8%), ⑤ 기타(4.3%)”이 존재하였다. 넷째, 사이버전과 관련된 전체 직무군 가운데서 사이버전 작전의 중요도가 가장 높게 나타났으며, 직무군의 세부항목별로 다소 상이한 응답의 차이를 보였다. 즉, 1) 전략 및 기획 내에서는 사이버전 전략/전술 연구의 중요도와 난이도가 가장 높았으며, 2) 사이버 작전 내에서는 사이버작전 계획 수립 및 시행이 가장 중요한 항목이며, 사이버전 위기대응 시행이 가장 난이도가 높은 항목으로 분석되었다. 3) 연구개발 및 구현 내에서는 사이버전 대응 기술연구의 중요도 가장 높고, 난이도 또한 가장 높은 것으로 나타났다. 4) 교육 및 훈련 내에서는 전문가 교육(정보보호/사이버전 전문인력 양성교육 등)의 중요도가 가장 높고, 난이도 또한 가장 높은 것으로 분석되었다. 5) 관리 및 운영 내에서는 정보자산에 대한 운용, 유지, 보수의 중요도 가장 높고, 정보보호 및 사이버전 관련 사업 관리의 난이도가 가장 높은 항목으로 나타났다. 6) 사고 대응(CERT 업무) 내에서는 정보자산에 대한 관제/예방 및 즉각 대응의 중요도 가장 높고, 침해사고 발생에 대한 증거수집/분석의 난이도가 가장 높은 항목으로 분석되었다. 7) 평가 및 인증 내에서는 평가인증 및 품질보증의 중요도와 난이도가 가장 높은 항목으로 분석되었다. 다섯째, 전체 능력영역 가운데서 기술영역의 중요도가 가장 높게 나타났으며, 각 영역별 세부항목의 중요도와 난이도에 차이가 존재하였다. 1) 기술영역 내에서는 사이버대응공격 기술 이해 및 활용의 중요도와 난이도가 가장 높았으며, 2) 군사지식영역 내에서는 사이버작전 구사 및 운용이 가장 중요도와 난이도가 높은 것으로 분석되었다. 3) 운영영역 내에서는 정책/기획/계획 수립의 중요도가 가장 높게 나타났으며, 개발/연구분야의 난이도가 가장 높은 것으로 분석되었다. 한편, 제시된 능력요소 이외에 중요하다고 생각되는 능력요소에는 국가관/국가안보의식, 보안에 관련된 강한 직업과 소명의식, 인성, 발전 가능성, 잔류가능성, 체력 등에 대한 의견이 존재하였다. 여섯째, 상위 요구조건 가운데서 경력의 상대적 우선순위가 가장 높았으며, 각 요구조건별 세부항목에 차이가 존재하였다. 1) 학력 내에서는 정보보호/사이버전 관련 석박사에 대한 우선순위가 높은 것으로 분석되었다. 2) 자격증 내에서는 국제공인 자격증(CISSP, CISA 등)에 대한 우선순위가 높은 것으로 분석되었다. 3) 경력 내에서는 사이버전, 정보보호 관련 민·관·군 경력에 대한 우선순위가 가장 높은 것으로 나타났다. 4) 어학 내에서는 영어에 대한 우선순위가 높은 것으로 전문가들은 인식하고 있었다. 일곱째, 상대적으로 우선적으로 고려해야할 일반적인 업무능력에는 문제해결능력(창의성)이 가장 중요한 것으로 나타났으며, 그 다음으로는 정보습득능력, 의사소통능력 등의 순으로 상대적으로 중요한 것으로 분석되었다. 여덟째, 사이버전 관련 핵심역량과 이에 적합한 교육과정을 분석한 결과, 1) 기술영역에 해당되는 능력요소 2) 군사지식 영역에 해당되는 능력요소는 군자체교육이 적합한 것으로 분석되었다. 3) 운영영역의 능력요소의 경우는 대체로 군자체교육이 적합하다는 의견이 많았으나, 개발/연구분야에 해당되는 능력요소는 기관위탁이 다소 더 적합한 것으로 분석되었다. 이러한 분석결과를 바탕으로 향후 ‘사이버전 전문인력’ 양성교육의 구체적인 과정과 방식에 대한 후속적인 연구가 요구된다. 예를 들어, 군전문가와 민간전문가의 상대적 차이를 고려하여 어떤 요구조건이 채용 시 중요하며, 전문인력 양성을 위해서 구체적인 교육과정을 어떻게 운영하는 것이 좋을지 등에 대한 세부적, 구체적인 후속 논의들이 이루어질 필요가 있다.

국내 금융분야 마이데이터 정책의 개인정보보호 강화방안 연구 : 유럽 PSD2 사례로 살펴본

송미정 고려대학교 정보보호대학원 2020 국내석사

데이터 기반 경제시대에서 데이터 활용능력이 경쟁력이 됨에 따라 개인정보의 보호와 더불어 개인정보의 활용을 통한 경제적 부가가치를 창출하려는 노력이 함께 강조되고 있다. 이 가운데 등장한 금융분야 마이데이터 정책은 정보 주체인 개인의 자기정보통제권을 강화하고, 혁신적인 상품과 서비스를 제공하는 핀테크 업체 등이 금융 시장에 진입하여 대형 은행들과 공평하게 경쟁함으로써 금융 산업의 효율성과 경쟁력을 크게 제고할 것으로 기대된다. 하지만 이러한 정책 시행으로 개인의 소중한 금융 데이터 및 관련 정보가 금융기관에서 제3자 회사로 이동함에 따른 데이터 프라이버시와 해 킹 등의 보안사고 위험이 커진 것도 사실이다. 본 연구에서는 전 세계 오픈뱅킹의 시초가 된 EU의 PSD2(the Second Payment Service Directive) 제도와 규제적 기술기준인 RTS(Regulatory Technical Standards)의 내용을 중심으로 국내 금융분야 마이데이터 정책들을 비교해보고, 금융분야 마이데이터 정책의 개인정보보호 및 보안 위험요소들을 개인정보 생명주기(Lifecycle)별로 나누어 분석해 보았다. 금융분야 마이데이터 정책의 개인정보 보호 및 보안 위험 요소는 크게 3가지로 나누어 볼 수 있다. 첫째 데이터 수집단계에서 정보 주체자의 동의와 관련된 위험, 둘째 데이터 제공 및 이용 단계에서데이터 전송 방식의 위험, 셋째 데이터 저장 및 파기 단계에서 정보처리자의 관리상의 위험이 존재한다. 이러한 위험들에 대해서 적절한 제도 및 기준을 설정할 필요가 있는 데, 첫째 데이터 수집단계에서는 ‘정보이동권’과 같은 정보주체의 권리 보장과 동의 제도의 합리화가 필요하고, 두 번째 데이터제공 및 이용 단계에서는 제공방식의 보안성 확보를 위한 API 방식의 의무화 및 강력한 본인인증 절차 이행 등 기술적 기준 마련과 실행이 필요하며, 세 번째 데이터 저장 및 파기 단계에서는 정보처리자의 책임 및 의무를 강화하는 규제 제도가 필요하다. 디지털 금융 시대의 빠른 기술변화에 맞추어 관련 정책과 제도들을 대응시키고 변경하는 것은 매우 어려운 일이다. 기존의 보호 위주의 개인정보보호 정책도 문제이지만 현재의 핀테크업 활성화 및 개방 중심의 규제 완화 정책 역시 위험부담이 크다. 개인정보 보호와 활용이 적절히 균형을 이루도록 국내 금융분야 마이데이터 정책들을 실효성 있게 정착시켜 국민적 신뢰를 얻고 금융 산업 경쟁력 제고를 이루어 나가야 하겠다. As the ability to use data becomes competitive power in the data-driven economy, the effort to create economic value by using personal data is emphasized as much as to protect personal data. EU’s PSD2(the second Payment Service directive) became the initiative of the Open Banking trends all over the world, as it is the Mydata policy which protects the data subject’s right by empowering the subject to control over the personal data with the right to data portability and promotes personal data usages and transfer. Since the MyData policy in financial sector is expected to greatly enhance the efficiency and competitiveness of the financial industry by empowering individuals with so much control over their own data and giving Fintech companies with innovative products and services an opportunities to compete fairly with large banks in the financial market, Korean government is now fast adopting EU’s PSD2 in financial sector and promoting various polices. However, there is growing concerns in personal data abuse and misuse, and data breach. The data privacy and security risks has increased due to the personal financial data and other personal data’s migration from banks to the third parties. This study analyzes domestic financial Mydata policy in comparison with EU’s PSD2 and focus on Personal information life-cycle risks of financial Mydata policy. Some suggestions on how to promote personal information and privacy in domestic financial Mydata Policy will be given.

K-ISMS 기반의 한국형 스마트 그리드 정보보호 관리체계 평가기준 제안

김기철 高麗大學校 情報保護大學院 2013 국내석사

스마트 그리드란 전력망에 정보통신기술을 적용하여 에너지 이용 효율을 극대화하는 차세대 지능형 전력망으로 최근 전 세계적으로 관련 기술 및 제도가 개발되고 있다. 정보보호는 스마트 그리드 개발에 필수적인 요소로써 지속적인 관리가 필요하다. 국내에서는 조직의 위험을 관리하기 위해 정보보호 관리체계 인증 제도가 이미 시행 중인 가운데 스마트 그리드에 적용할 수 있는 정보보호 관리체계 기준 마련의 필요성이 제기되고 있으나 구체적인 방법은 제시되지 않고 있다. 본 논문은 미국 스마트 그리드 제도와 비교 분석을 통해 기 시행중인 정보보호 관리체계 기반의 한국형 스마트 그리드 정보보호 관리체계 핵심 평가 기준과 추가적인 평가 기준을 제안한다. 기존의 정보보호 관리체계 인증을 받은 스마트 그리드 관련 사업자는 추가 평가 기준만으로 중복되고 불필요한 인증 평가 작업을 최소화할 수 있다.

개인정보의 제3자 제공시 정보보호 관련 법상 책임에 관한 연구 : open API 이용 핀테크 기업을 중심으로

김조은 고려대학교 정보보호대학원 2018 국내석사

핀테크 시장이 활성화되고, 금융회사, 공공기관 등이 보유하고 있는 다양한 정보를 오픈 플랫폼을 통해 적극적으로 핀테크 기업에게 개방하고 있는 추세다. 본 연구에서는 개인정보보호법, 정보통신망 이용 및 촉진에 관한 법률 등 정보보호 관련 법상 개인정보의 “제3자 제공”과 “위탁”의 개념 차이를 살펴볼 것이다. 그리고 개인정보의 “위탁”과 달리 핀테크 기업처럼 “제3자 제공”, 즉 일반적으로 “제휴” 관계인 경우 제공하는 기업의 법적 의무가 지나치게 완화되어 있는데 반해 정보유출 위험은 상대적으로 높기 때문에 현실에 맞는 정보보호 관련 법제도 정비를 제언하고자 한다. 또한 “제3자 제공“시 제공받는 기업이 스스로 정보보호 수준을 높일 수 있도록 정보보호 자가진단 체크리스트를 제시한다. 이를 통해 금융회사 오픈 플랫폼을 활용하는 31개 핀테크 기업을 진단한 결과, 수탁자보다 정보보호 수준이 상대적으로 미흡하다는 것을 확인하였다. 금융회사와 ”제3자 제공” 관계인 핀테크 기업의 정보보호 수준이 높아질 수 있도록 체크리스트의 적극적인 활용을 제언한다.

중·소형 공공기관 정보보호 관리방법 체계화에 관한 연구

강창식 고려대학교 정보보호대학원 2018 국내석사

The purpose of this study is to find out how Korea's small and medium-sized public institutions comply with the laws and regulations that form the national cyber safety management system and achieve the information security goal through effective risk management. A comprehensive control index is composed of the findings derived from evaluation, analysis, and processing processes of legal and institutional requirements and risk factors, provided that small and medium-sized public institutions start from the zero-base and constitute an autonomous information protection management system . As a key success factor in the information security management system for small and medium-sized public institutions, it was decided that all employees and employees actively participated in the system. In addition, the autonomous management model was suggested such as continuous improvement through periodic education and systematic check. In addition, in order to supplement the incompleteness of the autonomous management system, we sought to improve the maturity of the medium- and long-term information protection management system through change management, and suggested some items that need to be supplemented by the government evaluation system and the private sector outsourcing system. 이 연구는 우리나라 중‧소형 공공기관이 국가 사이버 안전관리 체계를 구성하는 법과 제도를 준수하면서도 효과적인 위험관리를 통해 정보보호 목표를 달성하는 방안에 관한 것이다. 중‧소형 공공기관이 원점에서 시작하여 자율적인 정보보호 관리체계를 구성한다는 전제하에 법‧제도적 요구사항과 위험요인에 대한 평가·분석·처리 프로세스를 거쳐 도출된 사항을 합하여 종합 통제지표를 구성하였다. 중·소형 공공기관 정보보호 관리체계의 핵심성공요인은 전 임직원의 적극적인 참여라고 판단하여 기관장을 포함한 분임체계를 마련하였다. 또한, 주기적 교육 및 체계적 점검을 통해 지속적인 개선이 이루어질 수 있도록 하는 등 자율관리모델을 제시하였다. 아울러, 자율적인 관리체계의 불완전성을 보완하기 위해 변화관리를 통한 중·장기적 정보보호 관리체계 성숙도 제고방안을 모색하였고, 정부의 평가제도 및 민간 부문의 아웃소싱 체계에 일부 개선이 필요한 사항을 제언하였다.

바이오메트릭 데이터 활용 서비스에서 바이오정보 보호에 관한 연구

정부금 고려대학교 정보보호대학원 2019 국내박사

바이오메트릭 데이터 활용 서비스란 개인의 바이오정보를 측정하여 신원을 확인하고 신분을 인증하며 개인에게 필요한 정보를 제공해주는 지능정보 서비스로 정의할 수 있다. 바이오정보는 크게 생체인식정보, 유전정보, 건강정보의 범주로 분류할 수 있다. 지문과 홍채, 목소리, DNA와 같은 사람의 신체적, 행동적, 유전적 특성, 활동 패턴 및 건강 상태를 측정하여 디지털 데이터로 변환하여 ICT 시스템 상에서 그 사람임을 확인하며, 확인된 개인기반의 유용한 서비스를 제공하는 것이다. 바이오메트릭 데이터 활용 서비스는 대면으로 눈으로 보고 확인하는 것과 같이 비대면 온라인에서 비밀번호나 추가적인 보안수단 없이 간편하고 정확하게 개인을 인식하고, 인식된 개인에 대해 다양한 서비스를 제공할 수 있다는데 의의가 있다. 서비스 제공을 위한 세부 기술로는 IoT 센서 기술, 바이오인증 기술, 개인맞춤형 서비스 기술, 이벤트기반 서비스 기술 및 클라우드 기반 기술 등이 있으며, 이러한 서비스는 사람의 신체와 행동 데이터를 디지털화하고, 여러 데이터베이스를 연결하여 분석하고, 수동 및 자동으로 인식된 데이터를 활용한다는 특성을 갖는다. 이렇게 측정되는 DNA를 포함한 사람의 바이오정보는 데이터베이스에 보관되는데 이러한 데이터베이스가 항상 안전할 것이라고는 믿을 수 없다. 바이오정보가 유출되면 그 정보를 기반으로 일반 개인정보로는 알 수 없는 개인에 대한 내적인 분석이 가능하며, 유출된 바이오정보는 그 정보의 소유주가 알지 못하는 사이에 다른 곳에서 다른 목적으로 사용될 수 있는 위험이 있다. 그럼에도 불구하고 바이오정보는 편리성과 안전성 및 공익을 위한 필요로 인하여 식별·확인 기능, 인증·검증 기능 및 모니터링 기능으로 금융, 헬스케어, 음성인식 AI 서비스, 영상인식 서비스, 공공분야 등에서 그 사용이 지속적으로 확대되고 있다. 개인정보는 오늘날 중요한 자산으로 부각되고 있고, 일반적인 개인정보보다 더 많은 민감한 정보를 담고 있는 바이오정보의 가치는 더욱 큰 것으로 볼 수 있다. 개인정보는 공공에서의 활용 및 상업적 활용의 소재로 사용되고 있어 개인정보의 유출 가능성은 더욱 높아지고, 이는 법적, 사회적, 경제적으로 중대한 문제로 대두되고 있다. 또한, 개인의 사생활 측면에서도 심각한 문제이다. 국제 규범에서는 바이오정보의 프라이버시 원칙들을 정의하고 있으며, 유럽연합 및 각국에서는 신기술의 발전을 반영하여 바이오정보의 보호와 활용을 위한 규범들을 추가하고 있다. 특히, 2018년 5월부터 실시된 유럽연합의 일반개인정보보호규정(GDPR)에서는 생체인식정보, 유전정보, 건강정보 등 민감정보를 특별한 범주의 개인정보로 명시하여 이러한 정보는 정보주체의 명시적 동의, 법령에 따른 필요에 의해서만 처리할 수 있으며, 공공, 통계목적 등의 활용을 위해서는 비식별화 조치를 취하여야 하며, 프라이버시 중심 설계, 영향평가 실시 등의 일반 개인정보보다 더 높은 수준의 특별한 처리 규정을 신설하였다. 국내법에서는 개인정보 보호법과 정보통신망법에서 개인정보와 민감정보에 대해서 규정하고 있다. 정보통신망법에서는 민감한 정보로서 건강, 유전정보를 포함하고 있으며, 생체인식정보를 포함할 수 있는 법적 여지를 두고 있다. 개인정보보호법에서는 민감정보로 건강, 유전정보로 한정하고 있고 생체인식정보는 일반 개인정보로 규정하고 있다. 바이오정보를 포섭할 수 있는 민감정보의 판단 여부에 대해서 개인정보 보호법에서는 사생활 침해로 규정하고 있고 정보통신망법에서는 개인의 권리·이익의 침해 여부를 추가하여 포함하고 있다. 민감정보의 처리에 있어서는 개인정보보호법에서는 별도의 동의를 받도록 하고 있으며, 민감정보를 포함한 개인정보의 수집 동의 위반 시, 정보통신망법에서는 벌칙 규정으로 두고 있는 반면 개인정보보호법에서는 과태료 규정을 두고 있는 등 두 법은 바이오정보가 포섭되는 민감정보의 범위 및 처리에 있어 다소 상이한 규정을 두고 있다. 또한 바이오정보에 대한 규정은 법적인 구속력이 없고 자율적인 참조 지침으로 사용되는 바이오정보 보호 가이드라인으로 제시하고 있다는 문제점이 있다. 아울러 유럽과의 교역을 위하여 참조하여야 할 EU GDPR에서는 개인정보관리자와 개인정보처리자라는 용어를 사용하고 있는 반면 국내 개인정보 보호법에서는 개인정보관리자라는 용어 없이 개인정보처리자와 개인정보취급자라는 용어로 그 개념은 유사하지만 용어상에 다소 혼동을 가져올 수 있는 문제점이 있다. 본 논문에서는 바이오메트릭 데이터 활용 서비스에서 바이오정보 보호를 위하여 바이오정보에 대한 적절한 규정 및 효율적인 보호를 위한 방안으로 관련 법규에 대한 개정안을 다음과 같이 제시하였다. 개인정보 보호법 제2조 제5항에서 개인정보처리자의 개념에서 개인정보관리자의 역할을 수행하는 위탁자와 개인정보취급자의 역할을 수행하는 수탁자를 서로 대응되게 명시적으로 정의하여 EU GDPR과의 균형이 이루어지도록 한다. 제23조에서는 민감정보로서 생체인식정보, 건강정보, 유전정보를 명시하고, 정보주체의 자유와 권리를 현저히 침해할 우려가 있는 정보로 정의하고, 제1항에서는 민감정보의 처리를 위해서는 정보주체의 명시적 동의를 받도록 하여야 하며, 제3항에서는 정보주체의 동의와 법령에 의하여 처리할 경우에는 비식별화 조치를 하여야 함을 명시하여야 한다. 제71조 벌칙에 개인정보 및 민감정보의 미동의 수집을 추가하여야 하며, 제75조 과태료에서는 개인정보의 미동의 수집 항은 삭제하여 정보통신망법과의 일관성을 이루어야 한다. 바이오메트릭 서비스는 클라우드 서버를 기반으로 제공되고 있으며, 이에 따라 클라우드 서버가 국외에 위치하여 바이오정보가 국외로 제공될 가능성이 존재하므로 제17조에서는 유전자정보에 대해서는 국외제공을 금지하거나 제한하는 규정을 신설하여야 한다. 정보통신망법에서는 제23조 제1항 민감정보의 수집 제한에 대해서 개인정보보호법과 일치되게 명시적 사전 동의를 받도록 규정하여야 한다. 또한 제28조에서 개인정보의 보호 조치를 위하여 기존에 정의된 암호화 외에 비식별화 조치를 하여야 함을 규정하여야 한다. 추가적으로 국제적인 바이오정보 프라이버시 논점 분석을 통하여 국내 바이오정보 보호 가이드라인의 개선 방안으로 바이오정보 책임성 원칙, 정확성 유지 원칙, 프로파일링 금지 원칙을 추가로 제시하였고 기존의 기술적, 관리적 보호 조치 외에 활용을 위한 조치로 익명화, 가명화를 추가하여야 함을 제시하였다. 또한 본 논문에서는 기존의 개인정보보호 법제의 개선 방안에 대해 연구하였으나 여러 개별법에 규정되어 있는 바이오정보를 더욱 일관성 있게 규정하기 위해서는 이를 발전시켜 독립적인 자기 완결적 법률을 제정하는 방안에 대한 연구가 필요할 것이다.