보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

PbD 인증제? 스마트 가전도 이젠 개인정보보호가 최우선 선택기준

입력 : 2023-05-22 00:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
개인정보보호 중심 설계 인증제 시범 시행, 제도의 의미와 기대효과
[이슈인터뷰] 개인정보위 신기술개인정보과 정종일 사무관


[보안뉴스 김영명 기자] 가전 시장의 전반적인 침체 속에서도 유독 시장의 주목을 받고 있는 것은 ‘스마트’ 기능이 접목된 ‘스마트 가전’ 시장이다. 특히, 가전제품 시장은 ‘프리미엄’이라는 새로운 동력을 달고, 제품군별로 다양한 기능을 추가하고 있다.

가전 제품의 ‘프리미엄’ 전략은 고사양 프리미엄 스마트폰의 확산과 함께 가전 제품과 스마트폰의 연동성과도 맥을 같이 한다. 삼성전자는 올해 출시한 모든 ‘비스포크(Bespoke)’ 제품에 와이파이 기능을 넣었으며, 인공지능(AI) 탑재 제품도 15종으로 확대했다. LG전자도 IoT 플랫폼 ‘LG 씽큐(LG ThinkQ)’를 통해 “고객이 브랜드를 느끼고 경험하도록 해야 한다”고 강조했다.

[이미지=utoimage]


이러한 가운데 개인정보보호위원회(이하 개인정보위)는 스마트 가전의 확산에 따른 개인정보 수집기기의 안전성 강화를 위해 ‘개인정보보호 중심 설계’(Privacy by Design, 이하 PbD) 인증제를 시범 시행한다고 밝혔다. 이에 따라 ‘PbD’는 무엇인지, 무엇을 준비해야 하는지, 개인정보위 신기술개인정보과 정종일 사무관과의 인터뷰를 통해 들어봤다.

Q. ‘개인정보보호 중심 설계(PbD)’의 개념은 무엇인가
PbD는 ‘프라이버시를 고려한 설계’로 프라이버시 관련 침해가 발생한 이후에 조치가 아닌 위협을 예측·예상하고 서비스 기획 및 설계단계에서 예방하는 개념이다. PbD는 1990년대 중반 캐나다 온타리오주의 정보프라이버시위원회(Information & Privacy Commissioner, IPC)의 앤 카보키안(Ann Cavoukian) 박사가 언급하면서 알려졌다.

PbD는 개인정보를 처리하는 기술 및 시스템의 설계단계, 제품 및 서비스의 초기 기획단계에서부터 프라이버시 보호 및 강화 조치를 마련하는 광범위한 과정을 의미한다. 이는 오늘날 프라이버시 침해 위험 최소화와 함께 국민과 소비자의 신뢰를 쌓는 필수도구로 여겨지고 있다.

해외에서의 관련 정책사례를 살펴보면, 유럽연합(EU)은 GDPR(General Data Protection Regulation, 유럽연합 개인정보보호법)에서 IoT, 빅데이터, AI 등 신기술로 인한 개인정보 보호 위협 대응에 적합한 프라이버시 방안으로 PbD 적용을 규정했다. GDPR에는 △권리와 자유 침해 방지 △처리 최소화 △정보 주체 권리 보호 및 안전조치 △기본 설정에 의한 개인정보보호 △적용 부분 및 시점 △접근제한 등이 있다.

EU의 ENISA(European Union Agency for Cybersecurity)는 ‘설계에 의한 개인정보 및 데이터 보호’를 의미한다. 개인정보 보호를 위한 다양한 접근방법, 전략, 기술적 요소 등의 검토를 목적으로 PbD를 적용하려는 사업자를 위해 △최소화 △숨기기 △분리 △총계화 △정보제공 △통제 △집행 △입증 등 8개 핵심전략을 발표했다. 또한, Privacy and Data Protection by Design-from policy to engineering은 프라이버시와 정보보호를 위해 정책입안자, 연구단체, 소프트웨어 개발업체 등 다양한 주체가 수행할 활동과 역할을 권고사항으로 제시했다. 그밖에도 e-Privacy Directive(전자통신 및 무선장비에 대한 개인정보보호 지침)는 전자통신 네트워크와 서비스 제공 시 사용자, 가입자의 개인정보와 프라이버시 보호를 위해 Privacy by Design 개념과 적합한 다양한 방법을 기술하고 있다.

미국의 연방거래위원회(Federal Trade Commission, FTC)는 ‘급변하는 시대의 소비자 프라이버시 보호 : 기업과 정책입안자를 위한 권고’에서 프라이버시 보호를 위해 PbD, 단순화된 소비자 선택, 투명성 확보 등 실체적·절차적 원칙을 제시하며 사업자 조직, 제품·서비스 개발 전 단계에서 개인정보보호를 강조했다.

일본은 GSMA(Global System for Mobile communications Association, 세계이동통신사업자협회)의 ‘모바일 프라이버시 원칙’을 적용한다. 이에 대한 기본원칙의 하나로 ‘Privacy by Design’을 채택, 관련 사업자가 새로운 앱, 서비스, 소프트웨어와 단말기를 개발할 때 이용자의 개인정보와 프라이버시가 보호되도록 설계할 것을 강조하고 있다.

Q. PbD에서 적용되는 7대 원칙을 설명한다면
7대 원칙은 △사후조치 아닌 사전예방 △초기설정부터 프라이버시 보호조치 △프라이버시 보호 내재 설계 △프라이버시 보호와 사업 기능의 균형-제로섬이 아닌 포지티브섬 △개인정보 전 생애주기 보호 △개인정보 처리과정의 가시성·투명성 유지 △이용자 프라이버시 존중 등이다.

먼저 ‘사후조치가 아닌 사전예방’은 프라이버시 침해 사고 발생 뒤 조치가 아닌 침해 사건을 예상하고 예방하는 것을 말한다. ‘초기설정부터 프라이버시 보호조치’는 IT 시스템 또는 사업 진행 과정에서 개인정보가 보호되도록 기본 설정해 최대한 보장하는 것을, ‘프라이버시 보호 내재 설계’는 프라이버시를 IT 시스템 또는 개인정보 처리와 통합·적용하는 것을 말하며, ‘프라이버시 보호와 사업 기능의 균형-제로섬이 아닌 포지티브섬’은 서비스 제공의 기능성 및 편리성과 프라이버시 보호 모두를 지키기 위해 노력해야 한다는 걸 의미한다.

이어 ‘개인정보 전 생애주기 보호’는 개인정보의 수집·이용·저장·제공·파기 전 단계에 걸쳐 보호될 수 있도록 안전조치를 적용하는 것을, ‘개인정보 처리과정의 가시성·투명성 유지’는 개인정보 처리 과정을 정보주체가 완전하고 명확하게 이해하도록 해 신뢰성을 높이는 것을 의미하며, ‘이용자 프라이버시 존중’은 프로그램, 프로세스 등에서 명시적인 보호 체계가 없더라도 사용자의 프라이버시를 보장하기 위한 활동 수행하는 것을 말한다.

▲Privacy by Design 7대 원칙[자료=행정안전부]


Q. PbD 적용을 위해 가전제품 제조사에서 고려해야 할 점은
다양한 스마트 가전 제품들이 하루가 다르게 출시되고 있지만, 사용자들은 본인이 사용하는 스마트 제품을 사용할 때 입력한 어떤 정보가 어떻게 처리되는지 정확히 알지 못한다. 이번 개인정보보호 중심설계 인증제는 이러한 스마트 가전 제품의 개인정보 유출 위험을 소비자, 즉 사용자들이 정확히 인식하도록 돕기 위한 방침이다. 또한, 이번 인증제를 통해 개인정보위가 최소한 제품을 검증하고, 개인정보 유출 우려가 없다는 것을 확인하면, 인증마크도 발행할 예정이다.

지난 3년여간 코로나19 팬데믹으로 열 체크가 중요시되면서 건물 출입구마다 열화상 카메라가 설치됐다. 하지만, 카메라에 찍힌 데이터는 어디에 저장되며, 어떻게 활용되는지 소비자들은 알지 못했다. 또한, 얼마 전 성형외과 수술실 CCTV 영상 유출 파문이 불거지기도 했다.

최근 가전 제품 출시를 준비 중인 한 국내 회사는 제품 출시에 앞서 개인정보보호 기능을 강화하겠다는 방침을 설명하기도 했다. 이번 PbD가 정착되면 개인정보 유출을 우려하는 소비자들이 개인정보보호가 더욱 강화된 제품에 대한 선호도가 높아질 것으로 예상한다.

Q. PbD 인증기준(안)에 대한 세부 항목과 기준은
시범 인증으로 시작되는 PbD 인증제 인증기준은 크게 △기본적인 요구사항(14개 세부항목) △개인정보 처리의 적법성(26개 세부항목) △정보보안 및 프라이버시 강화(22개 세부항목) △조직적 보호조치(7개 세부항목) 등 4개 영역 69개로 기준(안)을 세웠다. 현재 이 4개 영역 69개 항목이 확정된 것은 아니며, 이 69개로 외부 연구용역을 맡겨 세부 사항을 보완 중이다.

세부 항목이 확정되더라도 제품의 유형에 따라 69개가 다 적용되는 제품이 있고, 일부만 적용되는 제품이 있기 때문에 제품별로 적용되는 숫자는 달라질 수 있다. 현재 시범 기간인 만큼 본격적으로 법제화에 들어가기 전까지는 변동 가능성이 크다.

Q. PbD 인증제의 시범 실시 및 법제화, 도입 일정은
인증제는 한국인터넷진흥원(KISA)이 시범사업을 진행하게 된다. 사업자 선정과정을 거쳐 어떤 회사의 어떤 제품을 대상으로 PbD 적용 여부를 테스트할지 검토하게 된다. ‘시범’ 사업인 만큼 상징성이 있고 문제가 불거졌던 제품군을 중심으로 3~4개 제품만 선정할 예정이다. 5월까지 인증 대상(제조사)을 선정하게 된다.

이번 PbD의 인증대상이 되는 제품들은 그다지 복잡하지 않은 기능을 가진 제품군들이기 때문에 시범 인증 시행까지는 오래 걸리지 않을 것으로 예상한다. 소비자 눈높이에 최대한 맞춰 인증을 진행하기 때문에 제조사에서도 반대하지 않을 것으로 본다.

가정의 출입 시스템은 지문인식·안면인식으로 바뀌고 있으며, 스마트 냉장고, 스마트 청소기 등 스마트 기기들이 늘어나고 있다. IT 기기의 업그레이드로 사용자 개인정보에 기반하는 제품의 증가와 함께 개인정보 침해 사례도 늘면서 소비자들은 불안해하고 있다. 제품 설계단계에서부터 개인정보를 보호하는 기능과 절차를 반영하면 국민이 안심해서 사용할 수 있을 것이다.

소비자가 제품을 선택하는 기준은 보안 기능에 특화된 제품, 보안 기능은 약해도 저렴한 제품 등으로 나뉜다. 소비자는 제품 가격이 조금 높더라도 사용자 보호를 위한 제품을 더 선호하는 경향이 있는 것으로 분석됐다.

Q. PbD의 적용 범위와 의의, 그리고 전망은

▲개인정보보호위원회 로고[로고=개인정보위]

이번 ‘PbD’ 인증제는 ‘개인정보 수집기기’를 대상으로 하는 제도다. 개인정보 수집기기는 스마트 기기와 스마트폰 간에 로컬 처리되는 것도 있고, 해당 데이터가 네트워크로 전송돼 서버에서 처리되는 것 등 2가지로 나눌 수 있다. 이때 서버와 연동되는 것은 ISMS-P 관할이 된다. 따라서, 이번 개인정보보호 중심 설계 인증제는 서버로 넘어가기 전, 기기와 전송로까지의 영역만 확인하고, 하드웨어와 소프트웨어 분야에서만 적용된다.

예를 들어, 스마트 체중계도 데이터는 체중계와 스마트폰이 직접 소통해서 데이터가 오가는 것도 있고, 사업자의 서버를 통해 기록이 관리되는 것도 있어 분리해서 봐야 한다. 서버로 넘어가는 것은 ISMS-P 영역이기 때문에 이와 중복되지 않도록 영역을 정리했다.

2021년 하반기 아파트 월패드 해킹 사건으로 개인정보가 유출됐고, 개인정보 수집 기기 수요도 확산되고 있지만, 지금까지의 IoT 기기에서 개인정보보호 중심설계는 허점이 많았다. 이번 시범인증 운영을 통해 개인정보를 보호하는 제품이 더 많은 선택을 받도록 앞장서 나갈 것이다.

PbD 인증제는 전반적으로 개인정보 취급기기가 어떤 방식으로 설계됐으며, 개인정보보호가 어떻게 적용된 제품인지 소비자가 직접 확인하고 구매하는 시장친화적인 규제가 될 것이다. 이번 제도를 통해 다양한 IoT 제품에 대한 소비자들의 신뢰와 호응을 이끌어낼 수 있으리라 기대한다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)