국외 개인정보보호 정책동향

(1) 미국의 정책 동향

미국 정부는 2000년부터 National Plan for Information System Protection을 수립하고 사이버공격에 대응할 수 있는 기반을 구축해 왔다. 이 계획을 통해 7개 분야에서 민간 자율의 ISAC(Information Sharing and Analytic Center)를 구축·운영하고 있다[3]. 이후 2003년 3,000만 달러를 투입하여 정보수집 및 조기경보 체계 구축을 목적으로 하는 사이버경보정보망(CWIN)을 구축했다. 

특히 9·11테러 이후 주요 기반시설보호위원회를 신설하여 민간 지원, 정보의 공유, 사고 협력과 위기 대응, 보안 전문가 양성, 연구개발, 국가 보안 요소에 대한 법 시행 협력, 국제 정보기반시설 보호 및 국가보안사무국과 협력 등의 기능을 수행하고 있다. 아울러 개인정보보호 기술개발을 위해 NSF(National Science Foundation) 및 DARPA(Defese Advanced Research Project Agency) 등과 협력을 강화하고 있다[4].

(2) EU의 정책 동향

EU는 eEurope 2005 프로젝트를 통해 안전한 정보 기반 설비 구축을 추진하고 있다. 6th Framework Programme for Research and Technological Development를 통해 관련 기술을 개발하고 있다. 아울러 정보보호 문화운동 시행, 공공서비스 간 안전한 정보전송 환경 조성 등을 추진해 왔다. 또한 유럽의회는 네트워크 보안, 개인정보보호, 해킹/바이러스 경보시스템 도입, 관련 기술개발, 법제도 정비 및 국제협력 강화 등의 정책을 추진해오고 있다[5]. 

특히 안전한 인터넷 환경 조성을 위한 실행계획(The Safer Internet Action Plan)을 통해 2004년부터 3단계의 광범위한 협력 체제를 운영하고 있다. 불건전 정보에 대한 핫라인 구축, 이용자 친화적 등급 시스템 구축, 안전한 웹 서핑 기술, 안전한 인터넷 접속 기술, 스마트카드를 이용한 접근 제어 기술, 콘텐츠 필터링 기술 등의 연구개발을 추진하고 있다[6].

(3) 일본의 정책 동향

일본 정부는 2001년 사이버 테러 대책에 관한 특별 행동 계획을 발표한 바 있다. 이를 통해 사이버 공격에 대한 대처 수단 연구, 사이버테러 방지를 위한 고성능 네트워크 보안 시스템 정비, 부정 액세스 및 바이러스 등에 관한 정보 제공 강화 등의 정책을 시행해오고 있다. 주요 정책 추진 과정은 다음과 같다[7].

- 2001년 4월 정보통신국에 기술대책과 및 경찰청에 기술센터를 설치하고 24시간 사이버 테러에 대한 긴급대처체계 강화에 주력하고 있다.

- 2002년 4월 내각관방 정보보호대책회의에서 정보보호에 대한 근본적인 인식전환의 필요성을 강조하면서 다음과 같은 세부 계획을 추진해오고 있다.

• 각 정부기관의 정보보호 대응체계 강화

• 침입감시 체계와 복구대책의 정비

• 정보보호 예산의 확충

• 긴급 대응체계의 강화

• 관련 법제도의 정비

• 인적/기술적 기반의 정비 등

개인정보보호 관리체계 국제표준화 이슈

(1) 국제표준화 진행사항

개인정보를 안전하게 보호할 수 있는 요구사항 및 프로세스 등을 구체적으로 정의한 개인정보보호 관리체계 구축에 대한 필요성이 대두되었다. 이를 효과적으로 구축하기 위해서는 요구사항 및 프로세스는 물론 정보보안 측면에서의 보호 대책, 개인정보보호 측면에서의 기술적·관리적·물리적 보호 대책이 강구되어야 한다. 

이러한 보호 대책들을 수용한 개인정보보호 관리체계에 대한 국제표준화작업(ISO/IEC 29151, ISO/IEC 27009)이 한국이 주도적으로 참여하여 진행되고 있다8). 2011년 10월~2012년 10월까지 1년 동안의 연구회기를 마치고, 2012년 10월 로마 SC27 회의에서는 다음 사항을 합의한 바 있다9)[8][9][10].

- ‌개인정보보호 관리체계를 위한 기본 요구사항을 별도로 개발하지 않고 기존의 ISO/IEC 27001 표준을 이용하기로 합의하였다.

- ‌특화된 추가 요구사항이나 보호 대책에 대한 국제표준용 템플릿 개발을 위한 국제표준을 개발하기로 합의하였다(ISO/IEC 27009, 한국에디터: 박태완).

- ‌개인정보보호지침에 대한 국제표준을 개발하기로 합의하였다(ISO/IEC 29151, 한국 에디터: 염흥열).

ISO/IEC 27009 회의결과를 기반으로 2016년 4월 미국 탬파 SC27 회의에서 프랑스, 한국, 독일, 인도 등을 중심으로 개인정보보호 관리체계를 위한 추가적인 요구사항에 대한 신규 워크 아이템을 추진하기로 했다10).

(2) 국제표준 구성

개인정보보호 관리체계 구축을 위한 개인정보보호 요구사항에 대한 신규 워크 아이템이 채택되면 국제표준화를 위한 전체 국제표준은 <그림 1>과 같이 구성될 것이다.

▲ 그림 1. 개인정보 관리체계를 위한 국제표준 구성

이러한 국제표준이 제정되면 2011년 9월 30일부터 전면 시행하고 있는 국내 개인정보보호 관리체계와 호환성을 갖는 국제표준 구성을 2018년까지 완성할 계획이다. 이러한 국제표준을 이용하여 2018년 이후부터는 글로벌 개인정보보호 관리 체계 인증도 가능할 것으로 예상하고 있다[8].

맺음말

개인정보를 수집하여 상업적으로 활용하는 행위는 소비자들에게 커다란 혜택이 주어져야 할 것이며, 반드시 공익을 목적으로 이용되어야 할 것이다. 대부분의 상거래 기업들은 고객의 개인정보를 다양한 판매(구매) 채널을 통한 O2O(Online-to-Offline/Offline-to-Online) 서비스11) 등에 적극 활용하고 있다. 일부 악의적인 목적을 가진 해커나 크래커들에게는 개인정보가 곧 서비스를 위장한 무기가 되고 있다.

개인의 고유번호인 주민번호를 대체할 수 있는 IPIN 등이 개발되어 있으나, 이용자의 편리성을 고려하지 못한 운용 방식으로 인해 사실상 무용지물이 되고 있다. 심지어는 공공기관에서조차도 IPIN을 통한 사용자 인증을 거부하는 기관도 있다. 일부 전자상거래에서는 초간편 개인인증을 통한 결제 서비스가 이루어지고 있기도 하다. 

이에 보다 편리하고 안전하며 간단하게 사용자 인증 기능을 실행할 수 있는 새로운 개인인증 방식의 개발도 고려할 필요가 있다. 또한 개인정보를 취급(수집)하는 기업(기관)들은 비용이 좀 더 들더라도 수집한 개인정보를 암호화하여 저장할 수 있도록 사회적 기반을 마련할 필요가 있다.

IDC의 Worldwide Quarterly Security Appliance Tracker 연구조사에 따르면, 2015년 1분기 전 세계 보안 어플라이언스 시장은 매출액(factory revenue) 기준 전년 동기 대비 7.5% 성장한 23억달러를 기록하며 22분기 연속 성장세를 나타냈다. 출하 대수 기준으로도 전년 대비 9.4% 성장한 526,767대를 기록하면서 6분기 연속 성장률을 나타냈다[11][12]. 

글로벌 보안 어플라이언스 시장이 이처럼 성장하고 있는 것은 보안 솔루션의 필요성이 전 산업분야에 확산되고 있음을 시사하고 있다. 개인정보를 취급·관리하는 기업들은 향후 빠르게 재편될 산업 간 융합 환경 속에서 발생하는 새로운 개인정보를 적극적으로 활용하여 CRM3.0을 보다 확고히 하는 계기로 삼아야 할 것이다. 

‌‌1) ‌개인정보는 개인의 인적 사항에서부터 생체, 의료, 고용, 교육, 재산 및 문화 등 매우 다양한 형태의 사적인 정보를 의미한다. 개인정보보호법은 이러한 개인정보를 악용할 목적으로 구체적인 형태(부호, 문자, 음성, 음향 및 영상 등)로 개인의 신상정보를 알아내는 것을 방지하고자 하는 것이다.

2) ‌정보통신망이용촉진및정보보호등에관한법률 : 정보통신망의 이용을 촉진하고 이용자의 개인정보를 보호와 아울러 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성한다는 목적으로 2008. 6. 13일 개정된 법률이다.

3) ‌이는 저장되는 주요 개인정보를 암호화하지 않아도 종합적으로 접근 권한 관리와 침입차단시스템 등 기술적·관리적 보호 조치를 활용한 내부통제 등을 적절히 수행하면 적절한 개인정보보호 조치를 수행했다는 점이 인정된다는 것이다.

4) ‌금융기관에서는 개인정보 DB 암호화에 따른 오버헤드로 인해 서비스 처리가 지연될 수 있어 정상 영업에 차질을 빚을 수 있고 아울러 막대한 예산 등을 이유로 개인정보 암호화 일괄 적용에 반대해왔다. 

5) ‌이는 방대한 개인정보를 보유하고 있더라도 민간 사업자들이 이 법에 따른 암호화 조치시기를 사실상 1년간 유예기간을 둔 것이다.

6) ‌피싱(Phishing=Private Data(개인정보)+Fishing(낚시)의 합성어)은 포털, 쇼핑몰 및 온라인 게임 등 유명 기관을 사칭하여 이메일을 보내고 위장된 홈페이지에 개인정보를 입력하도록 유도한 뒤 수집한 정보를 악용하는 금융사기 수법을 의미한다.

7) ‌피싱이 의심될 때는 한국정보보호진흥원(02-405-5114, http://www.kisa.or.kr), 경찰청 사이버테러 대응센터(02-3939-112, http://www.ctrc.go.kr) 로 신고하여 피해를 막아야 한다.(“피싱(Phishing) 주의”, 한국정보보호진흥원 정보보호포털사이트「보호나라」)

8) ‌2011년 10월 케냐 나이로비 SC27 회의에서 한국의 제안으로 시작됐으며, 한국은 이를 위한 요구사항/프로세스와 지침에 대한 국제표준을 개발할 것을 제안한 바 있다.

9) ‌국제표준화기구/국제전기위원회(ISO/IEC) 합동기술위원회/부위원회27/WG5 주최로 2015년 10월 26~30일까지 인도 자이푸르에서 개최된 바 있다. 

10) ‌이 신규 워크아이템 제안은 WG5에서 개발 중인 SD5 문서에 근거하고 있다. 따라서 SD5 문서의 성숙도를 고려하여 1년간의 단기 표준개발 기간을 거쳐 신속개발 과정으로 제안될 예정이다.

11) ‌스마트 전자상거래의 발전으로 인해 쇼핑에 대한 패턴과 패러다임이 획기적으로 변화하면서 소비자는 온/오프라인 거래의 장점을 모두 취할 수 있는 기반이 마련되어가고 있다. O2O 상거래 서비스의 등장으로 인해 오프라인과 온라인을 결합한 유통(물류) 및 상거래 서비스로 빠르게 변화되고 있다.

박세환 박사 _ 한국과학기술정보연구원 전문연구위원