우리나라 개인정보보호 관련법 및 인증제도, 국제표준에 부합하게 운영·개선돼야
국제 표준 개발 초기에서부터 직접 참여하는 선도 추진형으로 변화 필요
[보안뉴스= 염흥열 순천향대학교 정보보호학과 교수] 정보가 우리 일상생활 필수품이 되고 있다. 사회관계망, 모바일 금융, 전자정부 서비스 등의 많은 생활 친화적 정보통신서비스가 이용자 정보를 수집하고 이용하고 있다.
.jpg)
주요 국제기구에 의해 합의된 개인정보보호 원칙은 여러 가지다. 개인정보처리자가 정보주체로부터 동의를 받아 개인정보를 수집해야 하고, 당초 수집 목적대로 활용해야 한다. 개인정보 처리과정의 투명성을 유지해야 하며, 수집한 개인정보에 대한 이용자의 접근과 수정권한을 부여해야 한다. 개인정보는 최신으로 무결하게 유지해야 하고, 개인정보처리자 내에서 개인정보의 보호책임을 명확히 해야 하며, 수집된 개인정보를 안전하게 보호해야 한다는 등이다. 우리나라 개인정보보호관련 법·제도는 이러한 개인정보보호 원칙에 입각해 수립돼 운영되고 있다.
많은 정보통신 서비스는 국내 기업뿐만 아니라 다국적 기업에 의해 제공되고 있고, 다국적 기업에 의한 서비스 제공 추세는 가속화될 전망이다. 이는 우리 국민들의 개인정보 이전이 가능하게 됨을 의미한다. 국경간 정보 이전 시 정보의 통제권을 상실할 가능성이 크므로 일부 국가는 자국 국경을 넘는 개인정보의 이전을 제한하려는 움직임도 보이고 있다.
우리는 2011년 이래 지난 수년간 대규모 개인정보 유출 사고를 겪은 바 있다. 인터넷 포털, 주요 금융기관, 주요 신용카드사, 인터넷서비스제공자 등에서 국민의 개인정보가 대량으로 유출된 바 있다. 유출사고의 원인은 개인정보처리자의 개인정보 관리체계의 부실에 근거하고 있다. 이를 막기 위해서는 개인정보처리자의 개인정보보호 수준을 높여야 한다. 또한, 이를 위한 가장 효과적인 수단으로 개인정보보호관리체계 인증제도의 효과적이고 실질적인 운영이 필요하다.
최근 사이버 공격 환경도 변하고 있다. 정보 시스템 내부에 정보를 암호화해 볼 수 없게 하고 피해자에게 돈을 요구하는 랜섬웨어가 활개치고 있다. 해외 주요 금융기관의 정보 시스템이 해킹되거나 사회공학적 방법에 의해 의도되지 않은 비인가 된 자금 이체가 빈번히 발생하고 있다. 공격자는 돈을 노리고 공격을 수행하고 있다. 대규모 개인정보 유출 경험이 있던 금융기관에 대한 정보보호 수준 강화가 절실하고 시급히 필요하다.
최근 글로벌 개인정보관련 주요 이슈는 두 가지이다. 하나는 개인정보 보호와 활용의 절충점에 대한 논쟁과 국경 간 개인정보의 이전에 관한 이슈이다.
주로 보호의 대상으로 간주됐던 개인정보를 빅데이터 형태의 개인정보로 변환해 활용하고자 하는 요구가 나타나고 있다. 개인정보를 특정 정보주체와 연결할 수 없도록 만드는 기술적·관리적 방법인 비식별화 기법을 적용해 활용하고자 하는 논의가 국내를 비롯한 세계 여러 국가에서 진행되고 있고 이를 위한 법제화되고 진행되고 있는 추세다.
빅데이터 개인정보의 활용과 관련해 비식별화 조치의 안전성 논란, 비식별화된 데이터를 단순히 개인정보처리자 내에서만 활용하게 할 것인지 아니면 제3자에게 비식별화된 데이터를 제공까지 가능케 할 것인지, 그리고 제3자에 의해 비식별화된 데이터를 결합해 더 큰 비식별화된 데이터를 만들 가능성을 열어둘 것인지 등 많은 현안 이슈가 주요 당사자에 의해서 합의되어야 한다.
미국에서는 올해 초 정보기관인 FBI와 글로벌 스마트폰 업체인 애플간의 긴장감이 고조됐다. 이는 FBI가 테러 용의자의 아이폰의 잠금 장치를 해제해 줄 것을 요구했고, 국가안보와 정보주체의 사생활 보호간의 절충점이 어디인지에 대한 논쟁으로 진전됐다. 또한, 2000년부터 16년 여간 미국과 유럽의 양안 간 세이프하버(가칭, 안전한 피난처) 협정이 무효화되면서 유럽과 미국간의 개인정보 이전 환경에는 변화가 감지된다.
미국과 유럽의 대서양 양안 간에는 작동해 왔고 유럽 국민 개인정보를 추가적 조치 없이 미국으로 이전 가능하게 했던 세이프 하버가 유럽최고재판소에 의해 2015년 10월 무효화됐다. 에드워드 스노든의 폭로에 의해 밝혀진 미국정부의 법 집행기관의 과도한 정보수집, 글로벌 서차엔진을 운용하는 개인정보처리자의 보호수준의 부족과 보호주치 이행 미흡 등에 기인한 것으로 보인다. 이 협정 무효화 조치는 개인정보의 국경 간 이전 환경에 커다란 변화를 초래할 가능성이 커서 글로벌 개인정보처리자의 촉각을 세우고 있다.
미국 정부와 유럽 집행연합의 개인정보규제기관은 프라이버시 쉴드(가칭, 프라이버시 보호막)라는 후속대책을 2016년 2월 합의해 발표했다. 핵심 추가 요구사항은 법 집행기관에 의한 무분별한 개인정보 수집을 제한하고, 미국 정부가 개인정보처리자에 대한 관리 감독을 강화하게 했으며, 유럽 시민이 자기 개인 정보의 접근과 수정권한을 강화하는 방안이 포함됐다. 다시 말해, 안전한 피난처의 문제점을 해결하는 방안으로 대안이 제시됐다.
국내 개인정보보호 관련 인증제도는 개인정보영향평가제도, 개인정보관리체계, 공공 클라우드 사업자를 위한 인증 제도를 들 수 있다.
우리나라의 개인정보관련 인증제도는 자율적 운영과 수립 원칙으로 시행되고 있다. 그러나 이러한 자율적 시행에도 조금의 변화가 감지되고 있다. 유럽에서는 최근 발표된 일반개인정보보호법에 의하면 개인정보영향평가를 의무적으로 받도록 의무화했다. 2017년 말에 이러한 의무는 본격적으로 발효될 예정이다.
국제표준화 기구(ISO/IEC JTC 1/SC 27)에서는 개인정보관리체계, 개인정보역량평가, 개인정보영향평가, 클라우드 사업자 인증 기준을 국제 표준으로 개발하고 있다. 사용자 친화적인 고지 및 동의 방법, 빅데이터 개인정보 활용을 위한 비식별화 기법, 사물인터넷을 위한 보안과 프라이버시 등 다양한 국제 표준이 개발될 예정이다.
개인정보보호 관련 국제 표준은 우리나라에서 시행되고 있는 개인정보관련 인증제도 운영에 영향을 미칠 수 있다. 우리나라 개인정보보호 관련법이나 인증 제도도 국제표준 기준에 부합해 운영·개선돼야 한다고 생각한다. 우리만의 갈로파고스적 개인정보 인증제도 운영을 탈피해 세계화된 인증제도를 수립하고 운영할 수 있기 때문이다.
국제표준은 기업의 개인정보보호를 위한 관행과 프로세스에 대한 최소한 기준을 제공한다. 국제 표준화된 프로세스와 규정을 활용하면, 국내 기업과 외국 기업간의 개인정보보호 수준의 평가와 비교가 가능하다. 개인정보보호 제도 틀이나 인증 기준의 지속적 개선이 가능하다. 표준화 과정에서 다양한 이해당사자의 견해와 의견이 녹아들게 돼 제도 시행의 오류의 시행착오를 줄일 수 있다.
국경을 넘어선 개인정보처리자간의 개인정보를 이전하기 위한 기준으로도 활용 가능하다. 국제표준에 근거한 인증제도의 시행은 인증 받은 개인정보처리자의 신뢰성을 높이고, 해당 기업의 개인정보보호 역량과 수준을 가늠할 수 있다. 결과적으로 국경을 넘어선 개인정보의 이전을 가능케 한다.
.jpg)
국내 개인정보 국제 표준 추진 정책 방향도 변해야 한다. 국제 표준이 개발되고 나서 활용하는 신속 추격형에서 개발 초기에서부터 직접 참여해 우리 의견과 기준을 제시하고 반영하고 완성하는 선도 추진형으로 변해야 한다. 우리의 개인정보보호 국가 역량이 선도형 개인정보보호 국제 표준화 체계로의 변화를 요구하고 있다.
이를 위한 정부, 기업, 공공기관, 시민사회, 대학의 지속적인 관심과 역할의 증대가 필요하며, 이러한 국제표준화 활동을 지속적으로 추진하기 위한 논의의 틀과 지원이 필요한 시점이다.
[글_ 염흥열 순천향대학교 정보보호학과 교수(hyyoum@sch.ac.kr)]
필자 소개_ 순천향대학교 정보보호학과 염흥열 교수는 한양대학교 전자공학과에서 박사학위를 수여 받았고, 한국전자통신연구원 선임연구원으로 재직했으며, 한국정보보호학회 회장을 역임한 후, 현재는 한국정보보호학회 명예회장을 맡고 있다. 또한, 미래창조과학부 자체평가위원회 위원, 방송통신위원회 자체평가위원회 위원, 산업통상자원부 산업표준심의회 위원, 2018년 평창동계올림픽조직위원회 정보보호전문위원회 위원장, 한국인터넷진흥원 ISMS/PIMS 인증위원회 위원장, ITU-T SG17 부의장, AsiaJCIS 공동조직위원장, 한국수력원자력 보안자문위원회 위원장, SCH사이버보안연구센터 센터장으로 활동 중이다.
국제 표준 개발 초기에서부터 직접 참여하는 선도 추진형으로 변화 필요
[보안뉴스= 염흥열 순천향대학교 정보보호학과 교수] 정보가 우리 일상생활 필수품이 되고 있다. 사회관계망, 모바일 금융, 전자정부 서비스 등의 많은 생활 친화적 정보통신서비스가 이용자 정보를 수집하고 이용하고 있다.
주요 국제기구에 의해 합의된 개인정보보호 원칙은 여러 가지다. 개인정보처리자가 정보주체로부터 동의를 받아 개인정보를 수집해야 하고, 당초 수집 목적대로 활용해야 한다. 개인정보 처리과정의 투명성을 유지해야 하며, 수집한 개인정보에 대한 이용자의 접근과 수정권한을 부여해야 한다. 개인정보는 최신으로 무결하게 유지해야 하고, 개인정보처리자 내에서 개인정보의 보호책임을 명확히 해야 하며, 수집된 개인정보를 안전하게 보호해야 한다는 등이다. 우리나라 개인정보보호관련 법·제도는 이러한 개인정보보호 원칙에 입각해 수립돼 운영되고 있다.
많은 정보통신 서비스는 국내 기업뿐만 아니라 다국적 기업에 의해 제공되고 있고, 다국적 기업에 의한 서비스 제공 추세는 가속화될 전망이다. 이는 우리 국민들의 개인정보 이전이 가능하게 됨을 의미한다. 국경간 정보 이전 시 정보의 통제권을 상실할 가능성이 크므로 일부 국가는 자국 국경을 넘는 개인정보의 이전을 제한하려는 움직임도 보이고 있다.
우리는 2011년 이래 지난 수년간 대규모 개인정보 유출 사고를 겪은 바 있다. 인터넷 포털, 주요 금융기관, 주요 신용카드사, 인터넷서비스제공자 등에서 국민의 개인정보가 대량으로 유출된 바 있다. 유출사고의 원인은 개인정보처리자의 개인정보 관리체계의 부실에 근거하고 있다. 이를 막기 위해서는 개인정보처리자의 개인정보보호 수준을 높여야 한다. 또한, 이를 위한 가장 효과적인 수단으로 개인정보보호관리체계 인증제도의 효과적이고 실질적인 운영이 필요하다.
최근 사이버 공격 환경도 변하고 있다. 정보 시스템 내부에 정보를 암호화해 볼 수 없게 하고 피해자에게 돈을 요구하는 랜섬웨어가 활개치고 있다. 해외 주요 금융기관의 정보 시스템이 해킹되거나 사회공학적 방법에 의해 의도되지 않은 비인가 된 자금 이체가 빈번히 발생하고 있다. 공격자는 돈을 노리고 공격을 수행하고 있다. 대규모 개인정보 유출 경험이 있던 금융기관에 대한 정보보호 수준 강화가 절실하고 시급히 필요하다.
최근 글로벌 개인정보관련 주요 이슈는 두 가지이다. 하나는 개인정보 보호와 활용의 절충점에 대한 논쟁과 국경 간 개인정보의 이전에 관한 이슈이다.
주로 보호의 대상으로 간주됐던 개인정보를 빅데이터 형태의 개인정보로 변환해 활용하고자 하는 요구가 나타나고 있다. 개인정보를 특정 정보주체와 연결할 수 없도록 만드는 기술적·관리적 방법인 비식별화 기법을 적용해 활용하고자 하는 논의가 국내를 비롯한 세계 여러 국가에서 진행되고 있고 이를 위한 법제화되고 진행되고 있는 추세다.
빅데이터 개인정보의 활용과 관련해 비식별화 조치의 안전성 논란, 비식별화된 데이터를 단순히 개인정보처리자 내에서만 활용하게 할 것인지 아니면 제3자에게 비식별화된 데이터를 제공까지 가능케 할 것인지, 그리고 제3자에 의해 비식별화된 데이터를 결합해 더 큰 비식별화된 데이터를 만들 가능성을 열어둘 것인지 등 많은 현안 이슈가 주요 당사자에 의해서 합의되어야 한다.
미국에서는 올해 초 정보기관인 FBI와 글로벌 스마트폰 업체인 애플간의 긴장감이 고조됐다. 이는 FBI가 테러 용의자의 아이폰의 잠금 장치를 해제해 줄 것을 요구했고, 국가안보와 정보주체의 사생활 보호간의 절충점이 어디인지에 대한 논쟁으로 진전됐다. 또한, 2000년부터 16년 여간 미국과 유럽의 양안 간 세이프하버(가칭, 안전한 피난처) 협정이 무효화되면서 유럽과 미국간의 개인정보 이전 환경에는 변화가 감지된다.
미국과 유럽의 대서양 양안 간에는 작동해 왔고 유럽 국민 개인정보를 추가적 조치 없이 미국으로 이전 가능하게 했던 세이프 하버가 유럽최고재판소에 의해 2015년 10월 무효화됐다. 에드워드 스노든의 폭로에 의해 밝혀진 미국정부의 법 집행기관의 과도한 정보수집, 글로벌 서차엔진을 운용하는 개인정보처리자의 보호수준의 부족과 보호주치 이행 미흡 등에 기인한 것으로 보인다. 이 협정 무효화 조치는 개인정보의 국경 간 이전 환경에 커다란 변화를 초래할 가능성이 커서 글로벌 개인정보처리자의 촉각을 세우고 있다.
미국 정부와 유럽 집행연합의 개인정보규제기관은 프라이버시 쉴드(가칭, 프라이버시 보호막)라는 후속대책을 2016년 2월 합의해 발표했다. 핵심 추가 요구사항은 법 집행기관에 의한 무분별한 개인정보 수집을 제한하고, 미국 정부가 개인정보처리자에 대한 관리 감독을 강화하게 했으며, 유럽 시민이 자기 개인 정보의 접근과 수정권한을 강화하는 방안이 포함됐다. 다시 말해, 안전한 피난처의 문제점을 해결하는 방안으로 대안이 제시됐다.
국내 개인정보보호 관련 인증제도는 개인정보영향평가제도, 개인정보관리체계, 공공 클라우드 사업자를 위한 인증 제도를 들 수 있다.
우리나라의 개인정보관련 인증제도는 자율적 운영과 수립 원칙으로 시행되고 있다. 그러나 이러한 자율적 시행에도 조금의 변화가 감지되고 있다. 유럽에서는 최근 발표된 일반개인정보보호법에 의하면 개인정보영향평가를 의무적으로 받도록 의무화했다. 2017년 말에 이러한 의무는 본격적으로 발효될 예정이다.
국제표준화 기구(ISO/IEC JTC 1/SC 27)에서는 개인정보관리체계, 개인정보역량평가, 개인정보영향평가, 클라우드 사업자 인증 기준을 국제 표준으로 개발하고 있다. 사용자 친화적인 고지 및 동의 방법, 빅데이터 개인정보 활용을 위한 비식별화 기법, 사물인터넷을 위한 보안과 프라이버시 등 다양한 국제 표준이 개발될 예정이다.
개인정보보호 관련 국제 표준은 우리나라에서 시행되고 있는 개인정보관련 인증제도 운영에 영향을 미칠 수 있다. 우리나라 개인정보보호 관련법이나 인증 제도도 국제표준 기준에 부합해 운영·개선돼야 한다고 생각한다. 우리만의 갈로파고스적 개인정보 인증제도 운영을 탈피해 세계화된 인증제도를 수립하고 운영할 수 있기 때문이다.
국제표준은 기업의 개인정보보호를 위한 관행과 프로세스에 대한 최소한 기준을 제공한다. 국제 표준화된 프로세스와 규정을 활용하면, 국내 기업과 외국 기업간의 개인정보보호 수준의 평가와 비교가 가능하다. 개인정보보호 제도 틀이나 인증 기준의 지속적 개선이 가능하다. 표준화 과정에서 다양한 이해당사자의 견해와 의견이 녹아들게 돼 제도 시행의 오류의 시행착오를 줄일 수 있다.
국경을 넘어선 개인정보처리자간의 개인정보를 이전하기 위한 기준으로도 활용 가능하다. 국제표준에 근거한 인증제도의 시행은 인증 받은 개인정보처리자의 신뢰성을 높이고, 해당 기업의 개인정보보호 역량과 수준을 가늠할 수 있다. 결과적으로 국경을 넘어선 개인정보의 이전을 가능케 한다.
국내 개인정보 국제 표준 추진 정책 방향도 변해야 한다. 국제 표준이 개발되고 나서 활용하는 신속 추격형에서 개발 초기에서부터 직접 참여해 우리 의견과 기준을 제시하고 반영하고 완성하는 선도 추진형으로 변해야 한다. 우리의 개인정보보호 국가 역량이 선도형 개인정보보호 국제 표준화 체계로의 변화를 요구하고 있다.
이를 위한 정부, 기업, 공공기관, 시민사회, 대학의 지속적인 관심과 역할의 증대가 필요하며, 이러한 국제표준화 활동을 지속적으로 추진하기 위한 논의의 틀과 지원이 필요한 시점이다.
[글_ 염흥열 순천향대학교 정보보호학과 교수(hyyoum@sch.ac.kr)]
필자 소개_ 순천향대학교 정보보호학과 염흥열 교수는 한양대학교 전자공학과에서 박사학위를 수여 받았고, 한국전자통신연구원 선임연구원으로 재직했으며, 한국정보보호학회 회장을 역임한 후, 현재는 한국정보보호학회 명예회장을 맡고 있다. 또한, 미래창조과학부 자체평가위원회 위원, 방송통신위원회 자체평가위원회 위원, 산업통상자원부 산업표준심의회 위원, 2018년 평창동계올림픽조직위원회 정보보호전문위원회 위원장, 한국인터넷진흥원 ISMS/PIMS 인증위원회 위원장, ITU-T SG17 부의장, AsiaJCIS 공동조직위원장, 한국수력원자력 보안자문위원회 위원장, SCH사이버보안연구센터 센터장으로 활동 중이다.
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.png){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
